Anleitung für das Modul Kowal_SecurityScan

Überblick

Das Modul erweitert Magento 2 um eine Sicherheitsüberwachungsschicht für Anwendungsdateien, ausgewählte Datenbanktabellen, verdächtige URLs sowie die optionale Analyse von Sicherheitsvorfällen durch OpenAI.

Berichte werden in der Tabelle kowal_securityscan_report gespeichert und können per E-Mail versendet werden.

Hauptfunktionen

• Scan von Magento-Dateiänderungen mit Vergleich zum Snapshot,
• heuristischer Scan von php-, phtml-, php5-, inc-, phar-, js-, html-, htm-, svg-, htaccess-Dateien,
• Analyse von PHP-Tokens über token_get_all(),
• Scan ausgewählter Datenbanktabellen auf schädliches HTML, JavaScript, SVG, data:-URI und verdächtige URLs,
• Integration mit Google Safe Browsing API,
• optionale OpenAI-Analyse für Erkennungen,
• konfigurierbare Allowlists für Domains, Dateien, Inhaltsmuster und Regeln,
• Berichte mit fertigen Vorschlägen für die Allowlist sowie Export einer normalisierten JSON-Konfiguration.

Anforderungen

• Magento 2,
• verfügbares Modul kowal/base,
• funktionierender Magento-Cron,
• korrekt konfigurierte E-Mail-Zustellung,
• optional: OpenAI API-Schlüssel sowie Google Safe Browsing API-Schlüssel.

Installation

1. Paket-Repository hinzufügen

Falls das Paket nicht im Standard-Composer-Repository verfügbar ist, fügen Sie die Quelle hinzu:

composer config repositories.securityscan vcs https://github.com/kowalco/module-securityscan

Falls das Repository eine Autorisierung erfordert:

composer config --global --auth github-oauth.github.com 

2. Paketinstallation

composer require kowal/module-securityscan

3. Modul aktivieren

php bin/magento module:enable Kowal_SecurityScanphp bin/magento setup:upgradephp bin/magento cache:flush

Führen Sie in der Produktivumgebung die Standard-Deployment-Schritte von Magento gemäß Ihrem Implementierungsprozess aus.

Cron und Scan-Zeitplan

Das Modul registriert eine eigene Cron-Gruppe securityscan.

• kowal_securityscan_filecheck - täglich um 00:00,
• kowal_securityscan_malwarecheck - täglich um 01:00,
• kowal_securityscan_dbcheck - täglich um 02:00,
• kowal_securityscan_cleanup_reports - täglich um 02:30.

Ohne funktionierenden Magento-Cron werden automatische Scans nicht ausgeführt.

Scans manuell starten

Zum manuellen Starten der Scans verwenden Sie:

php bin/magento kowal_securityscan:filecheckphp bin/magento kowal_securityscan:malwarecheckphp bin/magento kowal_securityscan:dbcheck

Dies ist die empfohlene Methode zum Testen nach der Installation und nach Konfigurationsänderungen.

Konfiguration

Konfigurationspfad:

Stores -> Configuration -> kowal -> kowal_security

Allgemeine Einstellungen

• Modul aktivieren
• E-Mail-Adresse für Berichte
• Absender-E-Mail-Adresse
• Aufbewahrung der Berichte in Tagen
• Google Safe Browsing API Key
• Allowlist für Domains
• Allowlist für Dateien
• Allowlist für Datenbankmuster
• Allowlist für Dateiregeln
• Allowlist für Datenbankregeln

Minimale Konfiguration

1. Modul aktivieren,
2. Empfängeradresse für Berichte festlegen,
3. Absenderadresse für Berichte festlegen,
4. sicherstellen, dass der Magento-E-Mail-Versand funktioniert,
5. sicherstellen, dass der Magento-Cron funktioniert.

OpenAI-Analyse

Der Abschnitt OpenAI-Analyse ermöglicht es, Berichte um Risikobewertung und Handlungsempfehlungen zu erweitern.

Verfügbare Felder:

• AI-Analyse aktivieren,
• OpenAI API Key,
• OpenAI-Modell,
• Maximaler Kontext für AI.

So aktivieren Sie es

1. AI-Analyse aktivieren einschalten,
2. OpenAI API Key ergänzen,
3. Konfiguration speichern,
4. Konfigurationsformular aktualisieren,
5. Modell auswählen.

Standardverhalten

• Standardmodell: gpt-4.1-mini,
• Standard-Kontextlimit: 12000,
• Werte unter 2000 werden auf 12000 angehoben,
• das maximale Kontextlimit beträgt 50000.

Wenn OpenAI deaktiviert ist oder ein Schlüssel fehlt, funktioniert das Modul weiterhin und verwendet lokale Heuristiken.

Google Safe Browsing

Wenn Sie den Google Safe Browsing API Key ergänzen, wird das Modul:

• in Dateien und Datenbank erkannte URLs prüfen,
• die Basisadresse des Shops prüfen.

Das Fehlen des Schlüssels blockiert die grundlegenden Scans nicht, sondern deaktiviert nur diesen Schritt.

Scan von Dateiänderungen

filecheck arbeitet auf Basis eines Snapshots, der hier gespeichert wird:

var/security_scan_hashes.json

Beim ersten Start:

• wird ein Snapshot erstellt,
• gibt es noch keinen Änderungsvergleich,
• informiert der Bericht über die Erstellung der Referenzbasis.

Weitere Ausführungen melden Änderungen der Typen ADDED, MODIFIED und REMOVED.

Unter anderem werden folgende Verzeichnisse ignoriert:

• var/,
• generated/,
• vendor/,
• pub/static/,
• node_modules/.

Malware-Scan in Dateien

malwarecheck scannt Anwendungsdateien auf Basis von:

• Regex-Regeln mit rule_id,
• PHP-Token-Heuristiken,
• URL-Prüfungen über Safe Browsing.

Beispielhafte Erkennungstypen:

• file.obfuscated_eval_chain,
• file.command_execution_from_request,
• file.encoded_payload_blob,
• file.token.decode_execute_chain,
• file.token.include_from_request,
• file.inline_svg_or_event_handler.

In Berichten werden die Gründe im Format dargestellt:

[file.encoded_payload_blob] Encoded payload blob detected

Datenbank-Scan

dbcheck analysiert ausgewählte Magento-Tabellen:

• cms_block,
• cms_page,
• core_config_data,
• email_template,
• newsletter_template,
• review_detail,
• catalog_product_entity_text.

Beispielhafte Regeln:

• db.inline_script_tag,
• db.html_event_handler,
• db.external_iframe,
• db.javascript_uri,
• db.data_uri_executable,
• db.embedded_svg_payload,
• db.javascript_dom_redirect.

Der Inhalt wird zuvor normalisiert durch:

• html_entity_decode,
• rawurldecode,
• Whitespace-Normalisierung,
• Analyse mehrerer Varianten desselben Inhalts.

Erweiterte Konfiguration: Allowlists

Allowlists dienen dazu, false positives zu begrenzen, ohne das gesamte Modul zu deaktivieren.

1. Allowlist für Domains

Feld: kowal_security/general/allowlisted_domains

Format:

• eine Domain pro Zeile oder
• eine durch Kommas getrennte Liste.

cdn.example.comstatic.example.org

Effekt:

• URLs aus diesen Domains werden nicht als verdächtig behandelt,
• Safe Browsing wird sie nicht prüfen.

2. Allowlist für Dateien

Feld: kowal_security/general/allowlisted_file_patterns

Format:

• relative Pfade,
• Unterstützung für Globs.

app/code/Vendor/Module/Test/*pub/media/custom.js

Effekt: Dateien, die dem Muster entsprechen, werden vom Malware-Scan vollständig ignoriert. Diese Einstellung hat eine große Reichweite.

3. Allowlist für Datenbankmuster

Feld: kowal_security/general/allowlisted_db_patterns

Format:

• Phrasen,
• HTML- oder JS-Fragmente,
• Einträge getrennt durch neue Zeilen oder Kommas.

trusted-inline-widgetdata:image/svg+xml,

pfad_oder_glob | rule_id

app/code/Vendor/Module/* | file.encoded_payload_blobpub/media/custom.js | file.javascript_redirect_or_rewrite

tabelle_oder_* | rule_id

cms_block | db.inline_script_tag* | db.fetch_or_xhr_loader

- cms_block | db.inline_script_tag | sicherheit=MEDIUM | reichweite=LOW- app/code/Vendor/Module/* | file.encoded_payload_blob | sicherheit=MEDIUM | reichweite=LOW- data:image/svg+xml,