Nếu tôi không nhầm, bạn đang phải đối mặt với tình huống bị hack OpenCart hoặc đang vật lộn để gỡ bỏ bản hack. Tôi có thân thiết không? Nếu bạn truy cập trang này với ý định dọn dẹp cửa hàng OpenCart bị tấn công của mình, bạn đã đến đúng nơi.
Trong bài viết này, chúng ta sẽ đi sâu vào các trường hợp bị tấn công OpenCart, nói về các triệu chứng bị tấn công phổ biến, nguyên nhân của chúng và sẽ đưa ra kế hoạch loại bỏ hack Opencart đang hoạt động.
Tuyên bố từ chối trách nhiệm: Quy trình được thảo luận trong bài viết này phù hợp hơn với những người đã quen thuộc với bí quyết công nghệ cơ bản. Quá trình này sẽ mất thời gian và có vẻ tẻ nhạt. Vì vậy, nếu bạn chưa có kinh nghiệm xử lý chương trình phụ trợ nhạy cảm của cửa hàng trước đó, chúng tôi khuyên bạn nên tìm sự trợ giúp chuyên nghiệp. Trên thực tế, ngay cả khi bạn am hiểu công nghệ ở mức độ vừa phải, thì việc thực hiện dọn dẹp phần mềm độc hại hoàn chỉnh, thành công, là một việc nói dễ hơn làm.
Dọn dẹp phần mềm độc hại chuyên nghiệp không chỉ giúp bạn tiết kiệm thời gian và công sức mà còn giảm đáng kể thời gian phản hồi sự cố của bạn. Kiểm soát thiệt hại và khắc phục nó kịp thời là một yếu tố quan trọng đối với một trang web bị tấn công, hơn thế nữa đối với thương mại điện tử.
OpenCart bị tấn công Các triệu chứng
Cửa hàng OpenCart của bạn có nhiều dấu hiệu khi bị tấn công. Một số triệu chứng phổ biến của OpenCart bị tấn công là:
1. Nhiều lần đăng nhập từ các vị trí trái phép
Với nhiều lần đăng nhập vào cổng quản trị từ các vị trí khác nhau, đó là dấu hiệu rõ ràng của việc OpenCart bị tấn công. Bạn có thể kiểm tra lịch sử đăng nhập và thời gian truy cập cùng với địa chỉ IP của lần truy cập gần đây nhất.
2. Nhiều tài khoản Quản trị viên
Trang tổng quan được cho là chỉ có một tài khoản Quản trị viên trừ khi bạn có một cộng tác viên khác, Tuy nhiên, khi bạn mở trang tổng quan, bạn sẽ thấy nhiều tài khoản Quản trị viên không phải do bạn tạo. Đó là một dấu hiệu kể chuyện.
3. Chi tiết thanh toán bị rò rỉ
Đây có thể là lá cờ đỏ lớn nhất. Khi bạn bắt đầu nhận được khiếu nại từ người dùng trang web của mình rằng các chi tiết tiền nhựa đã bị rò rỉ, bạn nên sử dụng một giải pháp. Điều này có nghĩa là trang web của bạn đã được sử dụng để tạo ra các giao dịch gian lận.
4. Đơn hàng miễn phí
OpenCart khi bị mã độc tấn công, có thể thực hiện các đơn đặt hàng chưa được thanh toán. Bằng cách này, bạn có thể thấy rằng hàng của bạn đang được giao, nhưng không có doanh thu nào được tạo ra từ đó.
5. Thư rác
Nhận email spam từ máy chủ của bạn tới người dùng phải là một dấu hiệu cần lưu ý.
6. Bị Google đưa vào danh sách đen
Mặc dù triệu chứng này cũng có thể do nhiều lý do khác, nhưng nếu bạn thấy thông báo này trong một thời gian dài, điều đó có nghĩa là trang web của bạn đã bị xâm phạm.
7. D IP phổ biến trong nhật ký FTP
Trong phiên đăng nhập, nhật ký FTP lưu các hoạt động trong phiên cùng với địa chỉ IP. Khi nhật ký FTP hiển thị bất kỳ địa chỉ IP đáng ngờ nào, điều quan trọng là bạn phải thực hiện một số hành động nghiêm túc đối với vấn đề này.
8. Lạm dụng thẻ tín dụng
Tin tặc tiêm chương trình lướt thẻ, hình thức thanh toán giả mạo, phương thức thanh toán giả mạo cũng là nguyên nhân gây ra một trong những triệu chứng OpenCart bị tấn công phổ biến nhất. Trong hầu hết các trường hợp hack thẻ tín dụng, chủ cửa hàng biết được vụ hack từ khách hàng. Vì vậy, hãy chú ý đến các khiếu nại lạm dụng thẻ tín dụng của khách hàng.
Các ví dụ khác nhau về cuộc tấn công bị tấn công bởi OpenCart
Hầu hết các trường hợp bị tấn công của OpenCart đều liên quan đến việc chèn phần mềm độc hại vào lõi và các tệp phụ của nó - bao gồm cả tệp plugin &chủ đề. Tuy nhiên, tin tặc cũng có thể nhắm mục tiêu vào cơ sở dữ liệu, bảng điều khiển quản trị, người dùng hiện tại, quản trị viên hoặc bất kỳ phương tiện nào khác để xâm nhập vào cửa hàng và tạo ra phần mềm độc hại.
Điều này có nghĩa là, các trường hợp bị hack OpenCart rất khác nhau. Tuy nhiên, có một số mô hình được xác định cho các cuộc tấn công của tin tặc này mà chúng tôi đã cố gắng liệt kê ở đây:
- Nhận một mục nhập cửa sau - thông qua lỗ hổng tải xuống - để gửi thông tin chi tiết về thẻ tín dụng của người dùng đến tài khoản yopmail.
- Chèn mã độc hại vào Bảng điều khiển dành cho quản trị viên để kích hoạt các thông báo gửi đi tới các ID độc hại từ trang web nạn nhân.
- Đăng nhập vào bảng điều khiển Quản trị và
- đánh cắp thông tin thanh toán,
- thao tác chi tiết đơn đặt hàng,
- sửa đổi nội dung trang web (defacement),
- can thiệp vào danh sách sản phẩm,
- chèn các liên kết độc hại, v.v.
- Việc thay thế mô-đun thẻ tín dụng bằng mô-đun độc hại hoặc bộ đọc lướt thẻ cũng được thực hiện.
Với các hoạt động như vậy trong bảng điều khiển Quản trị tạo ra xung đột trong toàn bộ trang web của bạn, điều quan trọng là phải tìm ra nguyên nhân gốc rễ của các cuộc tấn công như vậy.
Nguyên nhân bị tấn công bởi OpenCart
1. Tạo phần mềm độc hại trên trang web
Kịch bản của phần mềm độc hại trên trang web và lây nhiễm vào máy chủ là nguyên nhân chính. Thông qua phương pháp này, các trang web khác có mặt trên cùng một máy chủ cũng bị ảnh hưởng. Astra Team trước đây đã xử lý các vấn đề như vậy của một cuộc tấn công bằng phần mềm độc hại vào OpenCart. Hơn nữa, ngay cả cuộc tấn công đánh cắp chi tiết thẻ tín dụng cũng đã được Astra khắc phục, điều này khiến chúng trở thành hoạt động kinh doanh an ninh mạng tốt nhất vào năm 2020.
2. Lỗ hổng đối với quyền truy cập từ xa của những kẻ tấn công
OpenCart dễ bị tấn công bởi RCE. Một số phiên bản của OpenCart có thể dễ dàng bị tấn công và các mã độc hại có thể được tiêm vào chúng từ xa. Sự hiện diện của hàm JSON trong OpenCart là nguyên nhân dẫn đến việc OpenCart bị tấn công.
3. Lỗ hổng CSRF
Lỗ hổng Cross-Site Request Forgery cho phép hacker thay mặt người dùng thực hiện các yêu cầu giả mạo tới máy chủ. Người ta có thể khai thác lỗ hổng này để thực hiện các thay đổi đối với trang web, thêm quản trị viên giả mạo, chèn cửa hậu hoặc thậm chí xóa trang web. Thiếu xác thực và vệ sinh thích hợp, thiếu kiểm tra liên tục, không thoát là một số cách mà cửa hàng của bạn dễ bị tấn công bởi lỗ hổng CSRF.
Chèn SQL
Cách đây không lâu, phần trang của OpenCart có lỗ hổng SQL injection. Với lỗ hổng này, kẻ tấn công có thể dễ dàng thực hiện các tuyên bố độc hại, do đó làm ảnh hưởng đến trang web.
Đây là những nguyên nhân chính đằng sau một vụ hack cửa hàng OpenCart. Thêm vào đó, người ta cũng đã ghi nhận rằng mật khẩu yếu là một phần không thể thiếu của việc OpenCart bị tấn công khiếu nại.
Quy trình loại bỏ phần mềm độc hại OpenCart
1. Thay đổi mật khẩu thành mật khẩu mạnh hơn
Đầu tiên, hãy thay đổi mật khẩu của Bảng quản trị thành một mật khẩu mạnh hơn. Tiến hành thay đổi mật khẩu của cơ sở dữ liệu để ngăn chặn bất kỳ sự thay đổi nào trong cơ sở dữ liệu. Mật khẩu cơ sở dữ liệu có thể được thay đổi bằng cách sử dụng tập lệnh sau:
update users set pass = concat(‘ZZZ’, sha(concat(pass, md5(rand()))));
2. Tạo bản sao lưu
Tiếp theo, tạo một bản sao lưu của cửa hàng của bạn. Bản sao lưu có thể cứu mạng bạn khi bạn vô tình xóa trang web của mình. Một bản sao lưu chức năng và đẹp mắt nên bao gồm tất cả các tệp quan trọng cho hoạt động trơn tru của cửa hàng của bạn. Nó cũng phải bao gồm các tệp xác định giao diện và sự chuyên nghiệp của cửa hàng của bạn.
Tóm lại, một bản sao lưu phải bao gồm:Tệp lõi, tệp plugin &chủ đề, cơ sở dữ liệu, v.v.
3. Bật chế độ bảo trì
Bây giờ bạn đã tạo bản sao lưu, đã đến lúc cho khách hàng của bạn biết rằng bạn đang sửa chữa mọi thứ trên cửa hàng. Cách tốt nhất để làm điều này là bật chế độ bảo trì. Tính năng chế độ bảo trì trong cửa hàng OpenCart của bạn cho phép bạn thêm màn hình ‘Sắp có’ trên cửa hàng. Bạn cũng có thể tùy chỉnh màn hình này bằng biểu trưng của cửa hàng, đồng hồ đếm ngược, thông báo hoặc hình ảnh tùy chỉnh.
4. Quét cửa hàng của bạn bằng Máy quét phần mềm độc hại OpenCart
Bước tiếp theo là phát hiện phần mềm độc hại. Trình quét phần mềm độc hại OpenCart là công cụ bảo mật mạnh mẽ có thể cho biết trang web của bạn có vấn đề gì trong vài phút.
Máy quét phần mềm độc hại thông minh và hỗ trợ máy học của Astra gắn cờ tất cả các liên kết, tệp hoặc mã độc hại trên cửa hàng OpenCart của bạn. Nó cũng cung cấp cho bạn một tiện ích xem lại nhanh chóng để xem các sửa đổi mã và một tùy chọn để loại bỏ các tệp độc hại chỉ bằng một cú nhấp chuột.
5. Kiểm tra các cửa hậu mở trong trang web
Các cửa hậu có trong trang web là cổng vào của những kẻ tấn công. Với sự hiện diện của các cửa hậu, cho dù bạn thay đổi mật khẩu bao nhiêu lần, bạn vẫn có thể vô tình chia sẻ mật khẩu với kẻ tấn công.
Do đó, hãy tìm kiếm các cửa hậu có trong trang web. Sử dụng các công cụ giám sát luồng dữ liệu, như Wireshark là hữu ích. Bạn có thể theo dõi dữ liệu gửi đi và niêm phong các cửa hậu để ngăn chặn bất kỳ sự rò rỉ dữ liệu nào. Khi bạn được xác nhận rằng trang web đang có cửa sau, chúng tôi khuyên bạn nên chuyển sang chế độ ngoại tuyến. Sau khi đưa trang web vào chế độ ngoại tuyến, bạn cần xóa mã độc hại khỏi trang web trước khi làm cho nó hoạt động trở lại.
5. Xem lại định dạng base64
Về mặt kỹ thuật, base64 đại diện cho sự chuyển đổi từ dạng nhị phân sang dạng văn bản của việc mã hóa dữ liệu. Bạn có thể phải tìm định dạng base64 của mã có trong trang web của bạn. Phương pháp mã hóa như vậy có thể được các chuyên gia hiểu rõ hơn.
Bạn có thể thử khám phá mã bằng dòng lệnh sau:
find . -name “*.php” -exec grep “base64″‘{}’; -print &> hiddencode.txt
Dòng lệnh sẽ lưu các mã được mã hóa khác nhau trong một tệp có tên hiddencode.txt, tệp này có thể được giải mã thêm bằng các công cụ trực tuyến. Bạn có thể theo dõi nó bằng cách tìm kiếm vị trí có mã cụ thể và sau đó sửa lại như cũ.
6. So sánh tổng kiểm tra
Tải xuống các bản sao lõi mới (còn được gọi là tổng kiểm tra) từ thư viện OpenCart và so sánh chúng với phiên bản tệp hiện tại của bạn. Lặp lại quy trình tương tự cho các tệp plugin và chủ đề. Đối với cơ sở dữ liệu, nếu bạn có một bản sao lưu tốt và cũ, hãy so sánh cơ sở dữ liệu của bạn với bản sao lưu đó. Tuy nhiên, đó có thể không phải là cách tối ưu nhất để tìm sự lây nhiễm cơ sở dữ liệu.
Lưu ý:Hãy quan tâm đến phiên bản tổng kiểm tra mà bạn đang tải xuống. Nó phải phù hợp với phiên bản OpenCart của bạn.
7. Xóa tất cả các nhiễm trùng
Bây giờ, bạn có thể đã xác định được vị trí bị hack. Vì vậy, bước tiếp theo là xóa nó.
Các cách ngăn chặn các cuộc tấn công tiếp tục bị tấn công bởi OpenCart
Điều quan trọng là phải ngăn chặn bất kỳ cuộc tấn công nào nữa khi OpenCart bị tấn công . Những cuộc tấn công như vậy không chỉ tốn thời gian mà còn dẫn đến mất khách hàng do kém uy tín. Để ngăn chặn bất kỳ cuộc tấn công nào như vậy, hãy làm theo danh sách kiểm tra sau:
Sao lưu trang web thường xuyên
Luôn cập nhật và sao lưu trang web của bạn một cách thường xuyên. Các bản cập nhật giúp bảo vệ trang web của bạn khỏi các lỗ hổng bảo mật. Bản vá mới trong các bản cập nhật giúp tăng cường khả năng bảo vệ khỏi bất kỳ kẽ hở nào trong các tiện ích mở rộng.
Xử lý thư mục cài đặt
Thư mục cài đặt có thể là một nguyên nhân khiến bạn đau đầu. Có nhiều ứng dụng sàng lọc thư mục cài đặt trên máy chủ. Hầu hết, các thư mục cài đặt được để mở trên các máy chủ. Nó luôn luôn được đề xuất để loại bỏ thư mục cài đặt. Chúng chứa nhiều thông tin có tính bảo mật cao. Đảm bảo rằng thư mục cài đặt vQMod không bị xóa!
Quy định quyền truy cập vào Bảng điều khiển quản trị
Bảo mật của bảng điều khiển Quản trị OpenCart phải được cải thiện. Điều quan trọng cần lưu ý là sau khi cuộc tấn công đã được thực hiện, bạn có trách nhiệm duy trì tính bảo mật cao của bảng điều khiển Quản trị viên.
- URL của quản trị viên phải được đổi tên để tin tặc không thể theo dõi lại URL. Nhiều cuộc tấn công có thể được ngăn chặn nếu URL được thay đổi thành một số ghi nhớ ngẫu nhiên mà bạn dễ nhớ.
- Luôn luôn là một quyết định khôn ngoan khi chỉ giới hạn quyền truy cập vào Bảng điều khiển dành cho quản trị viên đối với bạn. Sử dụng tệp .htaccess và thêm mã sau vào tệp:
<Files *.*>
Order Deny, Allow
Deny from all
Allow from "IP"
</Files>
Where IP =địa chỉ IP của bạn.
Việc sử dụng mã này sẽ hạn chế quyền truy cập vào các thư mục và thư mục con khác nhau.
- Sử dụng vị trí sau để truy cập các tệp quan trọng trong bảng điều khiển quản trị như admin.php hoặc index.php:
Người dùng> Nhóm người dùng Các tệp này không cần được sửa đổi mỗi khi có cuộc tấn công bảo mật trên trang web của bạn. Bạn có thể đặt quyền của tệp thành 644 hoặc 44 và ngăn các thay đổi tệp tiếp theo.
Có Tường lửa trên Trang web Thương mại Điện tử của bạn
Mọi trang web thương mại điện tử đều có các giao dịch tiền tệ trên nền tảng của nó. Với các giao dịch tiền tệ, điều quan trọng là tính bảo mật được đánh giá cao. Tuy nhiên, các vấn đề bị tấn công của OpenCart có thể dẫn đến việc đánh cắp thông tin thanh toán của người dùng. Để ngăn chặn bất kỳ hoạt động nào như vậy, chúng tôi khuyên bạn nên sử dụng các giải pháp bảo mật phù hợp. Tường lửa là dòng tấn công đầu tiên của kẻ tấn công. Astra’s OpenCart Security Suite cung cấp một bức tường lửa mạnh mẽ để bảo vệ trang web của bạn khỏi bất kỳ cuộc tấn công nguy hiểm nào. Được đề xuất b OpenCart, giải pháp bảo mật tất cả trong một cho trang web của bạn là Astra.