ম্যাজেন্টো স্টোর নিরাপদ নয়

15

সম্প্রতি আমি একটি ম্যাজেন্টো স্টোর পরিচালনার দায়িত্ব নিয়েছি। গতকাল আমরা একটি আইটি সংস্থার একটি ইমেল পেয়েছি যাতে বলা হচ্ছে যে আমাদের দোকানটি নিরাপদ নয়। ইমেলটির বৈধতা সম্পর্কে আমি সন্দেহ করি না কেন, এটি স্টোরের সর্বশেষ অর্ডার, নিবন্ধিত গ্রাহকদের পরিমাণ এবং সর্বশেষ যুক্ত পণ্যটি দেখায়।

যেহেতু আমি সম্প্রতি অ্যাডমিন হয়েছি, উপলব্ধি হওয়ার পরে, আমি ঠিক জানি না কী সুরক্ষা ব্যবস্থা নেওয়া হয়েছে। নিম্নলিখিত জিনিসগুলি আমি নিশ্চিতভাবে জানি:

  • অ্যাডমিন প্যানেলের জন্য একটি কাস্টম পাথ রয়েছে
  • ডেটাটি https এর মাধ্যমে প্রেরণ করা হয়
  • অ্যাডমিন পাসওয়ার্ডটি এলোমেলো ছোট বা বড় হাতের অক্ষরের একটি স্ট্রিং

যদি এই মেইলটি বৈধ হয় তবে আমি কীভাবে এই সমস্যাটি সমাধান করতে পারি?

ce-1.8.1.0  security 
ডেভ
সূত্র
1
তালিকায় যুক্ত করুন: অ্যাডমিন লগইন "প্রশাসক" বা 'প্রশাসক "নয়
নিকোলালিয়াস
1
আপনি যদি সর্বশেষ প্যাচ স্তরে প্যাচ না করে থাকেন তবে অ্যাডমিনের পথ পরিবর্তন করা হ'ল হ'ল সময় হ'ল ম্যাগন্টোকে অবহেলিত পথটি উন্মোচন করার পক্ষে যথেষ্ট সহজ। আপনার ইনস্টলেশনটিতে সমস্ত সুরক্ষা প্যাচ প্রয়োগ হয়েছে তা নিশ্চিত করুন।
ফায়াসকো ল্যাবগুলি

উত্তর:

7

আপনি কি সমস্ত প্যাচ ইনস্টল করেছেন? https://www.magentocommerce.com/download#cat_1735_files

প্যাচগুলি প্রয়োগ করার পরে, সমস্ত প্রশাসক পাসওয়ার্ড পরিবর্তন করুন change

এবং তৃতীয় পক্ষের মডিউলগুলি ইনস্টল করা যাই হোক না কেন, তারা যা খুশি করতে পারে, যেমন ম্যাজেন্টোতে বড় বড় সুরক্ষা গর্ত তৈরি করে।

ফ্যাবিয়ান ব্ল্যাচসমিড্ট
সূত্র
4

Https://shoplift.byte.nl/ এ আপনার দোকান-সুরক্ষা পরীক্ষা করুন

আপনার ব্যাকএন্ড অ্যাকাউন্টটি পরীক্ষা করুন, তাদের প্রয়োজন নেই ঠিক সরান

সমস্ত প্যাচ ইনস্টল করুন। এ http://de.nr-apps.com/blog/2015/05/11/magento-security-patches/ আপনি দেখতে পারেন, যা প্যাচ কোন সংস্করণটি জন্য আপনাকে করতে হবে।

পারলে তৃতীয় পক্ষের মডিউলগুলি পর্যালোচনা করুন।

কেভিন ক্রিগার
সূত্র
3

ওপি-র বর্ণনার ভিত্তিতে, আপোস করা ম্যাগেন্টো সম্পর্কিত সিস্টেমের বর্তমান অবস্থা নির্ধারণ করা কঠিন। দুর্ভাগ্যক্রমে, আমি নীচে আলোচনা হিসাবে, আপনি ইতিমধ্যে আপোস করা থাকলে ফিক্সগুলি ইনস্টল করা আপনার সমস্যার সমাধান করবে না। তারা কেবল ভবিষ্যতের আক্রমণগুলি থামায়, তারা এমন একটি সিস্টেম ফিক্স করার জন্য কিছুই করে না যা ইতিমধ্যে সম্পূর্ণ করা হয়েছে।

আমরা আমাদের আক্রমণ সম্পর্কিত পরিচিত স্বাক্ষরগুলির একটি তালিকা সরবরাহ করার জন্য নথিভুক্ত করেছি যাতে আপনি তাদের সিস্টেমের প্রমাণের জন্য আপনার সিস্টেমগুলি পরীক্ষা করতে পারেন এবং সেই অনুযায়ী প্রতিক্রিয়া জানাতে পারেন। মনে রাখবেন আমরা কখনই দুটি সমঝোতা দেখিনি যা হুবহু একই, তাই আপনার বিশেষ সিস্টেমটি কিছুটা আলাদা হওয়ার সম্ভাবনা রয়েছে - আপনি যদি আপনার সিস্টেমে এমন কিছু আবিষ্কার করেন যা আমরা ইতিমধ্যে নথিভুক্ত না করেছি তবে দয়া করে আমাদের সাথে এটি ভাগ করুন আমরা আক্রমণ স্বাক্ষর নির্দেশিকা বা কেবল কাঁটাচামচ আপডেট করতে পারি, আপডেট করতে এবং একটি টানার অনুরোধ জমা দিতে পারি।

আমরা এই আইটেমটির প্রতিকারটি স্বয়ংক্রিয় করতে একটি টুলকিট নিয়ে কাজ করছি তবে এটি বিতরণের জন্য প্রস্তুত না হওয়া পর্যন্ত এক বা দুই সপ্তাহ হতে পারে। ইতিমধ্যে, আমরা আশা করি যে যতটা নিরাপদ তা নিশ্চিত করার চেষ্টা করার জন্য আমরা এই সমঝোতার মাধ্যমে সম্প্রদায়ের প্রত্যেকের সাথে কাজ করে যে জ্ঞান অর্জন করেছি তা ভাগ করছি ।

আমি নীচে একটি 3-পদক্ষেপের সুরক্ষা বিশ্লেষণ ও প্রতিক্রিয়া প্রক্রিয়াটি অন্তর্ভুক্ত করছি যা ধারাবাহিক ফলাফল পেতে আমরা বারবার কাজ করেছি। আপনি যে মূল অনুমানটি করতে যাচ্ছেন তা হ'ল আপনি জানেন না যে আপনি আপনার সিস্টেমে ম্যাজেন্টো প্রদত্ত ডিফল্ট সোর্স কোড বা আপনার তৈরি হওয়া অনুলিপিটির বিপরীতে ফাইলগুলি পৃথক না করা পর্যন্ত আপনি কী করতে পারেন বা কী কী তা নিয়ে আপোস করা হয়নি your (গিট / মার্কিউরিয়াল / এসভিএন) সংগ্রহস্থল। আপনি অবশ্যই বিবেচনা করবেন যে আপনার ডাটাবেস এবং লগইনগুলি আপোস করা হয়েছে এবং সেগুলি সব পরিবর্তন করতে পারেন।

গুরুতর নোট: ম্যাজেন্টো থেকে প্যাচগুলি ইনস্টল করা আপনার যদি ইতিমধ্যে আপস করা থাকে তবে আপনাকে সাহায্য করবে না। সর্বোপরি, এটি পরিচিত ধরণের সংযোজনীয় আপসগুলি বন্ধ করে দেবে, তবে আপনি যদি ইতিমধ্যে আপস করে থাকেন তবে আপনাকে প্যাচগুলি ইনস্টল করতে হবে এবং নীচে হাইলাইট করার সাথে সাথে আপনার সিস্টেমটি পুনঃস্থাপন করতে হবে।

প্রথম পর্যায়: আপনার আপস করার সুযোগটি চিহ্নিত করুন। আমি নীচে তালিকাভুক্ত আইটেমগুলির প্রত্যেকটি হ'ল স্বাক্ষরগুলি যা আমরা আপত্তিজনক Magento সাইটগুলিতে সুনির্দিষ্টভাবে SUPEE-5344 এবং SUPEE-5994 দুর্বলতার ঘোষণার সাথে সম্পর্কিত পেয়েছি discovered আপনি সর্বাধিক সাম্প্রতিক প্যাচগুলি ইনস্টল করার পরে ( এবং ম্যাগেন্টো থেকে আপনার অন্য কোনও প্রয়োজন হতে পারে ) আপনার নিজের সিস্টেমে স্বাক্ষরের কোনও প্রমাণ খুঁজে পেয়েছেন কিনা তা পরীক্ষা করে দেখতে হবে। আক্রমণকারীকে আপনার সিস্টেমটি প্যাচ করার পরে পুনরায় প্রবেশের অনুমতি দেওয়ার জন্য তাদের মধ্যে বেশিরভাগই পর্যাপ্ত, তাই আপনাকে পরিশ্রমী হতে হবে এবং নিশ্চিত করতে হবে যে আপনি কোনও কিছু এড়াতে বা পুনরায় সংশোধন করতে ব্যর্থ হন।

আপনি ম্যাজেন্টো থেকে অনলাইন স্ক্যানারটিও ব্যবহার করতে পারেন তবে আপনি কেবল প্যাচগুলি ইনস্টল করেছেন এবং ভবিষ্যতের আপসগুলি প্রতিরোধ করেছেন কিনা তা কেবলমাত্র আপনাকে জানায়। যদি আপনি ইতিমধ্যে আপস করা হয়ে থাকেন তবে এগুলি পিছনের অন্যান্য দরজা বা আক্রমণগুলির জন্য স্ক্যান করবে না যা আপনার উপর প্রথম আক্রমণ করার সময় ইনস্টল করা থাকতে পারে। আমরা যে পরীক্ষাগুলি স্বাক্ষর করেছি সেগুলির মধ্যে কমপক্ষে কোনওটিই আবিষ্কার করি নি। গভীরতার সাথে প্রতিরক্ষা হ'ল উপায়, যার অর্থ আপনি যদি ফলাফলগুলিতে আত্মবিশ্বাসী হতে চান তবে একাধিক সরঞ্জাম এবং দৃষ্টিভঙ্গি থেকে একাধিক স্ক্যান এবং পর্যালোচনা।

দ্বিতীয় ধাপ: আপনার যা মুছতে হবে তা মুছুন এবং আপনি যা পারেন তা প্রতিস্থাপন করুন: আপনার সংগ্রহশালা বা ম্যাজেন্টো উত্স ফাইলগুলি থেকে মূল ফাইলগুলি ব্যবহার করুন। আপনি যদি সর্বশেষতম সংস্করণগুলির কোনওটি চালাচ্ছেন না, তবে আপনি তাদের সাইট থেকে পুরানো সংস্করণ উত্সগুলি দখল করতে ম্যাজেন্টো ডাউনলোড পৃষ্ঠাটি ব্যবহার করতে পারেন।

পর্যায় 3: রিসেট শংসাপত্রসমূহ: আপনার স্থাপনার সাথে সম্পর্কিত দূরবর্তীভাবে সম্পর্কিত লগইন নাম এবং পাসওয়ার্ডের প্রতিটি ব্যবহারের তালিকা এবং সেগুলি সহ সকলকে পুনরায় সেট করুন

  • মার্চেন্ট অ্যাকাউন্ট লগইন এবং এপিআই কীগুলি
  • ম্যাজেন্টো অ্যাডমিন লগইনস এবং পাসওয়ার্ডগুলি
  • ইমেল অ্যাকাউন্ট শংসাপত্র
  • এলডিএপি / এডি / প্রাথমিক প্রমাণীকরণ সিস্টেম
  • পাসওয়ার্ড
  • সবকিছু
  • আপনি যুক্তিসঙ্গতভাবে নিশ্চিত হতে পারেন যে পূর্ববর্তী পদক্ষেপগুলি আপনাকে সংক্রামকৃত ফাইগুলি রক্ষা করতে সহায়তা করবে তবে আপনি জানতে পারবেন না যে পাসওয়ার্ডগুলি স্নিফ করা হয়েছে বা কী লগ হয়েছে বা অন্য কোনও আক্রমণে ক্ষতিগ্রস্থ হয়েছে কিনা, তাই আপনি যদি যাচ্ছেন তবে সম্পর্কিত সমস্ত শংসাপত্রগুলি পুনরায় সেট করা সবচেয়ে নিরাপদ বিকল্প is আপোস করা সিস্টেমটি পুনরায় করার চেষ্টা করুন।

এই প্রতিক্রিয়াটিতে গাইডটি পোস্ট করতে খুব দীর্ঘ কিন্তু স্বাক্ষর তালিকাটি আমাদের ম্যাজেন্টো সিকিউরিটি টুলকিট গিটহাব সংগ্রহস্থলটিতে তত্ক্ষণাত ডাউনলোড করা যায় ।

ব্রায়ান 'বিজে' হফপাউয়ার জুনিয়র
সূত্র
2

আপনি তালিকাভুক্ত জিনিসগুলি ভাল প্রথম পদক্ষেপ তবে এগুলি আপনার সাইটের সুরক্ষিত করার জন্য আপনার কেবলমাত্র কিছু করা উচিত নয়।

আপনার সাইটের সম্পর্কে ঠিক কী অনিরাপদ তা আপনার সাইটের দিকে না তাকিয়ে কোনও উত্তর দিতে সক্ষম হবে না। এটি সত্যিই আপনার সেটআপের উপর নির্ভর করে, যেমন আপনি যদি অ্যাপাচি বা এনগিনেক্স ব্যবহার করেন তবে সেগুলি সঠিকভাবে কনফিগার করা আছে? আপনি কি সর্বশেষতম ম্যাজেন্টো সুরক্ষা প্যাচগুলি ইনস্টল করেছেন ?

যদি তারা আপনাকে সর্বশেষ আদেশ এবং নিবন্ধিত গ্রাহকদের সংখ্যা সম্পর্কে বলতে সক্ষম হয় তবে আমি এটিকে গুরুত্ব সহকারে নেব ...

অ্যান্ড্রু কেট
সূত্র
0

ইমেলটির বৈধতা সম্পর্কে আমি সন্দেহ করি না কেন , এটি স্টোরের সর্বশেষ অর্ডার, নিবন্ধিত গ্রাহকদের পরিমাণ এবং শেষ যুক্ত পণ্যটি দেখায়।

এটা বৈধ মনে হচ্ছে ...

আমি মনে করি না যে এটি উল্লেখ করা হয়েছে, তবে এই ফিশিং ইমেলের কয়েকটি ওকে সংস্থাগুলির হতে পারে এবং সমস্যাটি সমাধানের জন্য তারা কী চার্জ করবে তা অন্তত দেখার পক্ষে মূল্যবান হতে পারে। (দেখে মনে হচ্ছে তারা কোথায় শুরু করবেন সে সম্পর্কে তাদের একটি ভাল ধারণা থাকবে) যদি সংস্থাকে ছায়াময় মনে হয় তবে হ্যাঁ, এড়িয়ে চলুন।

উপরে কিছু ভাল পয়েন্ট আছে; যদি আপনি নিজেই এটি করতে চলেছেন তবে আপনাকে পরিচিত প্রারম্ভিক পয়েন্টগুলির তুলনায় ফাইলগুলি পৃথক করতে হবে, অথবা, সম্ভবত আরও সহজ (আপনার সেটআপের উপর নির্ভর করে) অন্য সার্ভারে একটি নতুন ম্যাজেন্টো ইনস্টল করতে হবে এবং সেখান থেকে যেতে হবে (নতুন সংস্করণ ইনস্টল করুন) আপনার যে কোনও এক্সটেনশনের, পণ্যগুলি আমদানি করুন (ম্যাগমির মতো সরঞ্জাম ব্যবহারে দ্রুত হতে পারে) এবং অবশেষে আপনার অর্ডার / গ্রাহকদের বর্তমান সাইট থেকে রফতানি করুন এবং তারপরে নতুন সেটআপে আমদানি করুন)।

জিম মু
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.