সর্বশেষ দুর্বলতার বিরুদ্ধে কী করবেন: ক্রেডিট কার্ডের ডেটা চুরি হয়েছে?

11

কিছু দিন আগে এই সংবাদ প্রকাশের পরে, আমি নতুন দুর্বলতার বিষয়ে খুব বেশি কিছু শুনিনি - এবং কোনও আনুষ্ঠানিক বিবৃতিও শুনিনি। সুচুরি বলেছেন যে ক্রেডিট কার্ডের তথ্য, বা এমনকি $_POSTঅ্যাডমিন-পাসওয়ার্ড এবং এর মতো সমস্ত ডেটা পাওয়া সম্ভব ।

আমার কাছে এখনও কোনও মামলা হয়নি যেখানে কোনও ক্লায়েন্টকে হ্যাক করা হয়েছিল, তবে পদক্ষেপ নেওয়ার ক্ষেত্রে এটি হওয়া পর্যন্ত অপেক্ষা করতে চাই না। কেউ কি এখনও প্যাচ দেখেছেন?

security  magento-ce 
simonthesorcerer
সূত্র
সর্বশেষতম সুচুরি নিবন্ধটি দেওয়া, আপনি এখানে @ বেন লেসানির (সোনাসি) এর উত্তর (গুলি) সম্পর্কেও আগ্রহী হতে পারেন: magento.stackexchange.com/a/72697/231
আন্না

উত্তর:

8

আপনি কোন ধরণের প্যাচ বা অফিসিয়াল স্টেটমেন্টটি আশা করেন? ব্লগ পোস্টটি কেবল বলেছে যে আক্রমণকারীর কোডটিতে অ্যাক্সেস পাওয়ার পরে কোনও ওয়েব অ্যাপ্লিকেশন সমঝোতা হতে পারে। এটি প্রতিটি ওয়েব অ্যাপ্লিকেশনটিতে প্রযোজ্য। ম্যাজেন্টো শব্দটি সেখানে সম্পূর্ণরূপে বিনিময়যোগ্য। বর্তমানে আক্রান্ত হোস্ট কীভাবে আপোস হয়েছে তা তাদের কোনও ধারণা নেই। প্রদত্ত উদাহরণগুলির খোলা দরজাটি সার্ভার সমস্যা থেকে শুরু করে "স্তর 8" পর্যন্ত সব কিছু হতে পারে।

যতক্ষণ না তারা এই অস্পষ্টতা অবলম্বন করে এবং মূল্যবান তথ্য না নিয়ে আসে ততক্ষণ এগুলি তাদের কোম্পানির নাম ছড়িয়ে দেওয়া, তরঙ্গ তৈরি করা, সুরক্ষা বিশেষজ্ঞ হিসাবে নিজেকে অবস্থান দেওয়া ইত্যাদির মতো বিপণন যেমন "চুরি" "ক্রেডিট কার্ড" "এর মতো বাজওয়ার্ডগুলির সংমিশ্রণ করে" ম্যাজেন্টো "স্পষ্টতই একটি ভাল গল্প তৈরি করে।

আমরা এখনও এই পোস্টটি থেকে কী শিখতে পারি:

  • অপ্রত্যাশিত পরিবর্তনের জন্য নিয়মিতভাবে আপনার কোডবেসটি দেখুন।
  • একটি পিএসপিকে অর্থ প্রদানের ডেটা হ্যান্ডলিং ছেড়ে দিন।

আপডেট: এখন বেন মার্কসের একটি অফিসিয়াল বিবৃতি আছে

mam08ixo
সূত্র
হ্যাঁ, আমি জানি যে উত্সটি বেশ অ-নির্দিষ্ট। তারা এই বিষয়টিকে নিয়ে ম্যাজেন্টো / ইবেয়ের সাথে যোগাযোগ করেছে কিনা তাও আমি জানি না। যাইহোক, এটি এখনও সম্ভব (এবং বিগত মাসগুলিতে দু'বার ঘটেছে) এটি মূল-বাগ, এবং আমি কমপক্ষে "আমরা তদন্ত করছি" বা "আমাদের দোষ নয়, কিছু মডিউল" এর মতো বিবৃতি আশা করতাম।
simonthesorcerer
আমি সম্মত হই যে মূল কারণটি সেখানে থাকা কয়েক হাজার এক্সটেনশানগুলির মধ্যে একটি বা কোনও (অপরিবর্তিত) ম্যাজেন্টো সংস্করণও হতে পারে। ইমো লক্ষ্যবস্তু পদক্ষেপ নিতে এখনও খুব কম তথ্য।
mam08ixo
3

যতক্ষণ না আপনার ম্যাজেন্টো সংস্করণটি আপ টু ডেট রয়েছে, আপনি সমস্ত সর্বশেষ প্যাচগুলি ইনস্টল করেছেন এবং আপনার সার্ভারটি সেটআপ সম্পর্কিত সর্বোত্তম অনুশীলনের সাথে মিলিত হয়েছে (ফাইলের অনুমতি, অন্য কোনও সফ্টওয়্যার / ওয়েবসাইট চলমান নয়, ফায়ারওয়াল ইত্যাদি) এই মুহুর্তে আপনি যা করতে পারেন তা কেবল এটিই করা যায় ।

আমি মনে করি এটি উল্লেখ করা গুরুত্বপূর্ণ যে এখনও কোনও নির্দিষ্ট আক্রমণকারী ভেক্টর নেই:

সুতরাং আক্রমণ কিভাবে কাজ করে? আমরা এখনও আক্রমণ ভেক্টরদের তদন্ত করছি। দেখে মনে হচ্ছে যে আক্রমণকারী Magento কোর বা কিছু ব্যাপকভাবে ব্যবহৃত মডিউল / এক্সটেনশনে দুর্বলতা ব্যবহার করছে।

সম্পাদনা:

উপরে আমার মন্তব্যে উল্লিখিত হিসাবে, আপনি কিছু অন্যান্য ব্যাকগ্রাউন্ড-তথ্য সরবরাহ করে এমন আরও একটি সম্পর্কিত প্রশ্নের বেন লেসানীর বিস্তারিত উত্তরও দেখতে পারেন: /magento//a/72697/231

আনা Völkl
সূত্র
2

(কেবল) ম্যাজেন্টো নয়

আমি অন্য অনেক ওয়েবসাইটকে এইভাবে হ্যাক করতে দেখেছি, কোড বেসে দূষিত কোডটি সন্নিবেশ করানো হয়েছে, এবং কেবলমাত্র ম্যাজেন্টোতে নয়। এবং এখানে অনেকগুলি রূপ রয়েছে: স্ক্রিপ্টগুলি পোস্টের ডেটা চুরি করে, স্ক্রিপ্টগুলি এক্সএসএস যুক্ত করে, স্ক্রিপ্টগুলি রুট পাসওয়ার্ড চুরি করার চেষ্টা করে, স্ক্রিপ্টগুলি ইনকামিং কলগুলি ডেটা প্রক্রিয়া করার অনুমতি দেয় (বিটকয়েন খনির জন্য, সেই সার্ভার থেকে স্প্যাম ইমেল প্রেরণ করতে পারে), ইত্যাদি ...

কিছু ক্ষেত্রে কারণটি ক্লায়েন্টের কম্পিউটার থেকে এফটিপি শংসাপত্রগুলি (ভাইরাস / ম্যালওয়্যার দ্বারা) চুরি করা হয়েছিল অন্যান্য ক্ষেত্রে এটি প্রয়োগে একটি শোষণ ব্যবহার করেছিল।

আরও অনেক অ্যাপ্লিকেশন রয়েছে যা শোষকদের মাধ্যমে সার্ভারে অ্যাক্সেস সরবরাহ করতে পারে, উদাহরণস্বরূপ ওয়ার্ডপ্রেস।

কেবলমাত্র একটি মামলা রয়েছে যেখানে ম্যাজেন্টোকে দোষারোপ করা হবে এবং ম্যাজেন্টো থেকে একটি পদক্ষেপ প্রত্যাশিত হওয়া উচিত এবং তা হ'ল: যদি শোষিত অ্যাপ্লিকেশনটি সর্বশেষ সংস্করণটির ম্যাজেন্টো এবং পুরোপুরি প্যাচ করা হত।

সুতরাং কেবলমাত্র সামান্য সুযোগ আছে এই প্রথমটি হাইলাইটেড কেসটি প্রথম জায়গায় ম্যাজেন্টোতে একটি ত্রুটির কারণে হয়েছিল। এজন্য আপনি ম্যাজেন্টোর কাছ থেকে কিছু শুনছেন না।

এখানে নতুন জিনিসটি হল যে theোকানো কোডটি খুব নির্দিষ্টভাবে ম্যাগেন্তোকে লক্ষ্যবস্তু করছে এবং ম্যাজেন্টোর কোড আর্কিটেকচার এবং নীতিগুলি ব্যবহার করছে।

কি করো

আপনার প্রশ্নের উত্তর দেওয়ার জন্য এখন "এর বিপরীতে কী করতে হবে?"


  • ওয়ার্ডপ্রেস + ম্যাজেন্টোর মতো একই সার্ভারের উদাহরণগুলিতে কখনও দুটি পৃথক অ্যাপ্লিকেশন চালাবেন না । আপনি যখন দেখেন যে ওয়ার্ডপ্রেসটি www.magentoshop.com/blog/ তে চলছে বা ম্যাজেন্টো www.wordpresswebsite.com/shop/ তে চলছে। এটা করবেন না। ওয়ার্ডপ্রেসের শোষণগুলি আক্রমণকারীকে আপনার ম্যাজেন্টো ডেটাতে অ্যাক্সেস দিতে পারে।


  • আমি জিআইটি ব্যবহার করছি এমন একটি সংস্করণ নিয়ন্ত্রণ ব্যবস্থা ব্যবহার করুন এবং ওয়েবসাইটটি মোতায়েনের জন্য এটি সার্ভারে (কেবল পঠনযোগ্য অ্যাক্সেস) থাকতে হবে। এটি আমাকে চালিয়ে সিস্টেমে পরিবর্তনগুলি সম্পর্কে দ্রুত অন্তর্দৃষ্টি দেয় git status

  • কখনও এফটিপি ব্যবহার করবেন না, কেবল এসএফটিপি, কখনও পাসওয়ার্ড সংরক্ষণ করবেন না
    আমি উপরে উল্লিখিত করেছি যে কোনও ক্লায়েন্ট কম্পিউটার থেকে এফটিপি পাসওয়ার্ড চুরি হয়েছিল। এছাড়াও এফটিপি ব্যবহার নিরাপদ নয় কারণ এটি ইন্টারনেটের মাধ্যমে এনক্রিপ্ট করা ডেটা প্রেরণ করবে। সুতরাং এসএফটিপি ব্যবহার করুন এবং কখনই আপনার পাসওয়ার্ডগুলি আপনার এফটিপি অ্যাপ্লিকেশনটিতে সংরক্ষণ করবেন না, অলসতা বোধ করবেন না এবং প্রতিবার আপনার সার্ভারের সাথে সংযোগ করার সময় এগুলি টাইপ করুন।

7ochem
সূত্র
ওহেম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.