Um Hacks und Datendiebstähle zu verhindern, nutzen wir bei integer_net mehrere Mechanismen:
- Immer die aktuellste Magento-Version - dank unserer Magento-Partnerschaft erhalten wir diese meist schon vor dem offiziellen Release
- Einsatz einer Web Application Firewall ("WAF"), um SQL-Injection-Angriffe abzufangen
- Regelmäßige Scans von Programmcode und Datenbank mit dem ToolSanSec eComscan
Diesen letzten Punkt beschreiben wir in diesem Blogpost ausführlich.
Anatomie der häufigsten Angriffe
Die meisten Angriffe auf einen Magento-Shop laufen, vereinfacht gesagt, wie folgt ab:
- Finden einer Sicherheitslücke
- Einschleusen von zusätzlichen oder angepassten Programmcodes - in das Dateisystem oder in die Datenbank
- Ausführen des Schadcodes - durch den Angreifer oder durch Kunden im Shop
Die Idee hinter dem Sansec eComscan-Tool
Das Sansec eComscan-Tool (kurz Sansec-Scanner) hat zwei Einsatzzwecke:
1. Erkennen von Sicherheitslücken
Hierfür wird der Programmcode (Magento-Core, Drittmodule und Eigenentwicklungen) auf bekannte Sicherheitslücken geprüft. Sansec betreibt eine der größten und renommiertesten entsprechenden Datenbanken im Magento-Umfeld.
2. Erkennen von Schadcode
Nach Schadcode wird im Dateisystem und in der Datenbank gesucht. Der Sansec-Scanner kann dabei auf eine Vielzahl bekannter Angriffe und Angriffsmuster zurückgreifen.
Ausführung und Details
Der Sansec-Scanner wird als Kommandozeilen-Tool auf dem Server ausgeführt. Die Installation ist in wenigen, vorgegebenen Schritten auf jedem Linux-System schnell erledigt:
mkdir -p ~/bin
curl -sL https://mageintel.com/ecomscan/ecomscan-linux_amd64.gz |gzip -d> ~/bin/ecomscan
chmod 755 ~/bin/ecomscanAnschließend lässt sich der Scanner ausführen. Dies geschieht entweder manuell oder automatisiert per Cronjob.
Der Sansec-Scanner aktualisiert sich dabei regelmäßig automatisch, damit er stets über die neuesten Signaturen verfügt.
Die Erstausführung benötigt einige Minuten. Anschließende Durchläufe konzentrieren sich auf die Änderungen, sodass sie deutlich schneller ausgeführt sind. So erzeugt auch ein Scan alle paar Minuten keine erhebliche Zusatzlast auf einem Server.
Das Tool bietet dabei noch einige Zusatzoptionen:
Im Fall einer festgestellten Sicherheitslücke oder Infektion wird der Versand einer Benachrichtigung per E-Mail an die konfigurierte Adresse ausgelöst.
Unsere Erfahrungen mit Sansec
Wir haben grundsätzlich positive Erfahrungen mit Sansec und dem eComscan-Tool gemacht - andernfalls würden wir diesen Blogbeitrag nicht schreiben. Das Tool funktioniert einwandfrei (ja, wir haben auch die Alarmfunktion getestet), und die Fragen, die wir hatten, wurden jeweils kurzfristig und kompetent von den Inhabern persönlich beantwortet. Daher haben wir den Scanner nach einer Testphase auch all unseren Kunden empfohlen.
Über Sansec
Sansec ist eine kleine Firma in den Niederlanden, gegründet von Willem de Groot und Gruus van Woerkom. Ersterer hat sich bereits vor der 2017 erfolgten Gründung einen Namen durch das Tool MageReport gemacht, mit dem Sicherheitslücken in Magento-Shops von außen erkannt werden können - er ist einer der renommiertesten Sicherheitsexperten im Magento-Umfeld, der uns auch bei einem Zwischenfall in einem der von uns betreuten Shops beraten hat. Durch unseren persönlichen Kontakt zu Willem sind wir dann auch auf Sansec aufmerksam geworden.
Unsere Partnerschaft mit Sansec
Da wir in den letzten Jahren bereits sehr intensiv mit Sansec zusammengearbeitet haben, sind wir vor Kurzem eine strategische Partnerschaft eingegangen. Während keinerlei finanzielle Vorteile damit verbunden sind, arbeiten wir jetzt noch enger zusammen - so erhalten wir tiefere Einsichten in aktuelle Entwicklungen in der Magento-Welt, nicht nur bezogen auf Sicherheitsthemen.