Security 18.6.2020

Sicherheit von Magento-Shops bei integer_net - Die SanSec-Integration

Um Hacks und Datendiebstähle zu verhindern, nutzen wir bei integer_net mehrere Mechanismen:

  • Immer die aktuellste Magento-Version - dank unserer Magento-Partnerschaft erhalten wir diese meist schon vor dem offiziellen Release
  • Einsatz einer Web Application Firewall ("WAF"), um SQL-Injection-Angriffe abzufangen
  • Regelmäßige Scans von Programmcode und Datenbank mit dem ToolSanSec eComscan

Diesen letzten Punkt beschreiben wir in diesem Blogpost ausführlich.

Anatomie der häufigsten Angriffe

Die meisten Angriffe auf einen Magento-Shop laufen, vereinfacht gesagt, wie folgt ab:

  1. Finden einer Sicherheitslücke
  2. Einschleusen von zusätzlichen oder angepassten Programmcodes - in das Dateisystem oder in die Datenbank
  3. Ausführen des Schadcodes - durch den Angreifer oder durch Kunden im Shop

Die Idee hinter dem Sansec eComscan-Tool

Das Sansec eComscan-Tool (kurz Sansec-Scanner) hat zwei Einsatzzwecke:

1. Erkennen von Sicherheitslücken

Hierfür wird der Programmcode (Magento-Core, Drittmodule und Eigenentwicklungen) auf bekannte Sicherheitslücken geprüft. Sansec betreibt eine der größten und renommiertesten entsprechenden Datenbanken im Magento-Umfeld.

2. Erkennen von Schadcode

Nach Schadcode wird im Dateisystem und in der Datenbank gesucht. Der Sansec-Scanner kann dabei auf eine Vielzahl bekannter Angriffe und Angriffsmuster zurückgreifen.

Ausführung und Details

Der Sansec-Scanner wird als Kommandozeilen-Tool auf dem Server ausgeführt. Die Installation ist in wenigen, vorgegebenen Schritten auf jedem Linux-System schnell erledigt:

mkdir -p ~/bin
curl -sL https://mageintel.com/ecomscan/ecomscan-linux_amd64.gz |gzip -d> ~/bin/ecomscan
chmod 755 ~/bin/ecomscan

Anschließend lässt sich der Scanner ausführen. Dies geschieht entweder manuell oder automatisiert per Cronjob.

Der Sansec-Scanner aktualisiert sich dabei regelmäßig automatisch, damit er stets über die neuesten Signaturen verfügt.

Die Erstausführung benötigt einige Minuten. Anschließende Durchläufe konzentrieren sich auf die Änderungen, sodass sie deutlich schneller ausgeführt sind. So erzeugt auch ein Scan alle paar Minuten keine erhebliche Zusatzlast auf einem Server.

Das Tool bietet dabei noch einige Zusatzoptionen:

Bild von Code

Bild von Code

Im Fall einer festgestellten Sicherheitslücke oder Infektion wird der Versand einer Benachrichtigung per E-Mail an die konfigurierte Adresse ausgelöst.

Unsere Erfahrungen mit Sansec

Wir haben grundsätzlich positive Erfahrungen mit Sansec und dem eComscan-Tool gemacht - andernfalls würden wir diesen Blogbeitrag nicht schreiben. Das Tool funktioniert einwandfrei (ja, wir haben auch die Alarmfunktion getestet), und die Fragen, die wir hatten, wurden jeweils kurzfristig und kompetent von den Inhabern persönlich beantwortet. Daher haben wir den Scanner nach einer Testphase auch all unseren Kunden empfohlen.

Über Sansec

Sansec ist eine kleine Firma in den Niederlanden, gegründet von Willem de Groot und Gruus van Woerkom. Ersterer hat sich bereits vor der 2017 erfolgten Gründung einen Namen durch das Tool MageReport gemacht, mit dem Sicherheits­lücken in Magento-Shops von außen erkannt werden können - er ist einer der renommiertesten Sicherheitsexperten im Magento-Umfeld, der uns auch bei einem Zwischenfall in einem der von uns betreuten Shops beraten hat. Durch unseren persönlichen Kontakt zu Willem sind wir dann auch auf Sansec aufmerksam geworden.

Unsere Partnerschaft mit Sansec

Da wir in den letzten Jahren bereits sehr intensiv mit Sansec zusammengearbeitet haben, sind wir vor Kurzem eine strategische Partnerschaft eingegangen. Während keinerlei finanzielle Vorteile damit verbunden sind, arbeiten wir jetzt noch enger zusammen - so erhalten wir tiefere Einsichten in aktuelle Entwicklungen in der Magento-Welt, nicht nur bezogen auf Sicherheitsthemen.