Là một nền tảng thương mại điện tử thành công, không nghi ngờ gì nữa, PrestaShop là một mục tiêu béo bở của các hacker. Tin tặc liên tục săn lùng một lỗ hổng bị bỏ sót trong (các) CMS phổ biến. Họ luôn tìm kiếm các phương pháp mới để cung cấp tải trọng của mình như tiêm phần mềm độc hại vào lưu lượng truy cập Wi-Fi mở thông qua ngộ độc ARP. Hơn nữa, Phần mềm độc hại PrestaShop là bất kỳ loại mã độc nào được tin tặc triển khai thông qua lỗ hổng để khai thác cửa hàng Prestashop.
Theo sách Học phần mềm độc hại
Phân tích,
Nếu bạn đang thắc mắc về các loại phần mềm độc hại khác nhau của Prestashop và cách bảo vệ bản thân khỏi chúng, thì không cần tìm đâu xa. Bài viết này là phương thuốc bạn cần.
Bài viết liên quan- Hướng dẫn loại bỏ phần mềm độc hại và các phương pháp bảo mật cuối cùng trước khi mua hàng
PrestaShop Malware Injection:Các phương thức phân phối
Việc đưa phần mềm độc hại vào PrestaShop có thể được thực thi bằng cách sau:
Lỗ hổng mã
Rất có thể xảy ra nhiễm phần mềm độc hại Prestashop do mã lỗi. Điều này có thể áp dụng cho cả tệp lõi và plugin. Hãy để chúng tôi xem xét một số lỗ hổng phổ biến và cách chúng có thể được sử dụng để đưa phần mềm độc hại vào PrestaShop.
SQL Injection trong PrestaShop
Một lỗ hổng SQL có thể được sử dụng để đưa mã độc vào các bảng của cửa hàng PrestaShop. Trong một số trường hợp, lỗ hổng SQLi có thể được sử dụng để tải tệp lên máy chủ. Do đó, trong những trường hợp như vậy, những kẻ tấn công có thể tải lên tập lệnh độc hại trên máy chủ web của cửa hàng PrestaShop. PrestaShop dễ bị tấn công bởi một lỗ hổng SQLi, được gọi là CVE-2018-8824.
Bài viết liên quan- Hậu quả của SQL Injection trong trang web PHP và CMS
Kịch bản trang web chéo (XSS) trong PrestaShop
Nếu cửa hàng PrestaShop dễ bị tấn công bởi lỗ hổng XSS, những kẻ tấn công có thể đưa trực tiếp phần mềm độc hại vào trong trường hợp đó là lỗ hổng XSS được lưu trữ. Nếu lỗ hổng là một XSS được phản ánh, những kẻ tấn công có thể gửi một URL được tạo riêng cho quản trị viên của cửa hàng Prestashop. Sau đó, điều này có thể tải một tập lệnh độc hại từ máy chủ do kẻ tấn công kiểm soát, do đó tiêm phần mềm độc hại PrestaShop. PrestaShop 1.7.2.4 bị phát hiện dễ bị tấn công bởi XSS được gọi là CVE-2018-5681.
Thực thi mã từ xa trong PrestaShop
Lỗ hổng thực thi mã từ xa có thể cho phép những kẻ tấn công tương tác trực tiếp với máy chủ của cửa hàng PrestaShop. Do đó, nếu cửa hàng PrestaShop dễ bị tấn công bởi RCE, những kẻ tấn công có thể đưa trực tiếp phần mềm độc hại vào các trang hợp pháp của trang web. Loại phần mềm độc hại này có thể khó phát hiện nếu mã bị xáo trộn. PrestaShop (1.5 đến 1.7) gần đây đã bị phát hiện dễ bị tấn công bởi RCE, được gọi là CVE-2018-19355.
Kỹ thuật xã hội và lượt tải xuống do Drive-By
Các cuộc tấn công kỹ thuật xã hội vẫn còn phù hợp cho đến ngày nay để cung cấp phần mềm độc hại. Đôi khi những kẻ tấn công có thể đưa phần mềm độc hại vào cửa hàng Prestashop với lý do cung cấp 'Hỗ trợ khách hàng'. Thông thường, email của quản trị viên web của cửa hàng Prestashop là mục tiêu của những kẻ tấn công để tiến hành tải xuống từng bước. Điều đó có nghĩa là quản trị viên web bị lừa nhấp vào một URL và do đó phần mềm độc hại được cài đặt âm thầm trên cửa hàng Prestashop. Các phiên bản Prestashop lên đến 1.7.2.5 được phát hiện dễ bị tấn công bởi sự cố bảo mật UI-Redress / Clickjacking. Điều này cho phép những kẻ tấn công ẩn phần mềm độc hại đằng sau các nút hoặc liên kết hợp pháp. Kỹ thuật xã hội cũng có thể được kết hợp với XSS được phản ánh như đã đề cập ở trên để phân phối phần mềm độc hại Prestashop.
Zero-day và Trojan trong PrestaShop
Đôi khi, những kẻ tấn công có thể chạm tay vào một số lỗ hổng chưa được phát hiện trong Prestashop. Những thứ này sau đó được những kẻ tấn công sử dụng để tiến hành các cuộc tấn công phần mềm độc hại quy mô lớn vào nhiều cài đặt Prestashop trên web. Ngoài ra, đã có những trường hợp tin tặc đã nhắm mục tiêu phần mềm từ máy chủ kho lưu trữ cốt lõi của nó và tiêm phần mềm độc hại vào phần mềm đó. Ví dụ, trình quản lý gói PHP Pear đã bị nhiễm phần mềm độc hại từ trang web chính thức của nó. Loại phần mềm độc hại Prestashop trông giống như một phần mềm hợp pháp được gọi là Trojan.
Quảng cáo độc hại trong PrestaShop
Như đã đề cập trước đây, tin tặc phát triển các cách mới để đưa phần mềm độc hại vào Prestashop mỗi ngày và sử dụng quảng cáo để cung cấp phần mềm độc hại là một ví dụ khác. Trong trường hợp bạn đã thuê một số không gian web của mình để quảng cáo, những kẻ tấn công có thể mua nó để cung cấp phần mềm độc hại cho khách hàng của bạn. Việc phát hiện phần mềm độc hại như vậy có thể khó khăn vì mọi thứ dường như đã sạch sẽ từ phía bạn nhưng việc lây nhiễm phần mềm độc hại Prestashop đang được gây ra do các quảng cáo độc hại.
Các loại Phần mềm độc hại PrestaShop:
Phần mềm độc hại PrestaShop:Công cụ khai thác tiền điện tử
Biến thể này của phần mềm độc hại Prestashop dự định sử dụng sức mạnh xử lý của máy chủ và người dùng truy cập cửa hàng Prestashop của bạn để khai thác tiền điện tử. Một phần mềm độc hại khai thác tiền điện tử đơn giản chứa mã trông giống như sau:
Coin hive là một dịch vụ hợp pháp thường xuyên bị tin tặc lạm dụng do dễ thực hiện. Đây chỉ là một biến thể đơn giản của phần mềm độc hại. Phần mềm độc hại khai thác tiền điện tử phức tạp hơn làm xáo trộn mã của chúng và do đó không dễ phát hiện. Một biến thể sử dụng ký hiệu thập phân không dấu chấm cho tên máy chủ. Hơn nữa, để ẩn thư viện Coin hive này, phần mềm độc hại sử dụng một tập lệnh jQuery giả mạo. Nó cũng sử dụng tên biến của công cụ khai thác tương tự như các thông số Google Analytics để tránh bị phát hiện.
Phần mềm độc hại PrestaShop:Ransomware
PrestaShop ransomware là phần mềm độc hại mã hóa các tệp hệ thống và khiến hệ thống không thể sử dụng được. Sau đó, chỉ một tệp, thường là index.php được hiển thị có chứa thông báo yêu cầu thanh toán bằng bitcoin đến một địa chỉ cụ thể. Điều độc hại hơn ở đây là ngay cả sau khi trả tiền chuộc, không có gì đảm bảo rằng các tệp sẽ được giải mã. Việc loại bỏ phần mềm độc hại như vậy không khó nhưng khôi phục dữ liệu máy chủ trở thành một nhiệm vụ đầy thách thức. Một số cuộc tấn công ransomware như wanna cry đã làm tê liệt các hệ thống quan trọng trên toàn thế giới, do đó, trong trường hợp này, ngăn chặn có vẻ là cách chữa trị tốt nhất.
Phần mềm độc hại PrestaShop:Thẻ tín dụng Skimmer
Một số loại phần mềm độc hại PrestaShop được tùy chỉnh để lấy cắp thông tin giao dịch từ cửa hàng PrestaShop của bạn. Đoạn mã từ một phần mềm độc hại như vậy được đưa ra trong hình ảnh bên dưới.
Rõ ràng từ mã, phần mềm độc hại này trước hết thiết lập một kết nối cơ sở dữ liệu. Sau đó, phần mềm độc hại đánh cắp thông tin sau từ ps_payment_cc bảng:
- ID thanh toán của giao dịch.
- Số thẻ tín dụng.
- Tên thương hiệu của thẻ tín dụng.
- Ngày hết hạn thẻ tín dụng.
Sau khi nhận được những thông tin chi tiết này, phần mềm độc hại sẽ loại bỏ những thông tin chi tiết này đến các máy chủ do kẻ tấn công kiểm soát.
Bài viết liên quan - Khắc phục sự cố hack thẻ trong PrestaShop
Phần mềm độc hại PrestaShop:Vi rút
Virus PrestaShop có thể thực hiện nhiều hoạt động độc hại trên cửa hàng của bạn. Chúng có thể bao gồm từ một trò đùa vô hại đến xóa toàn bộ hệ thống tệp! Tuy nhiên, để duy trì tính bền bỉ, virus PrestaShop cần phải làm xáo trộn mã của chúng. Vì PrestaShop được xây dựng bằng PHP, một chữ ký virus điển hình có thể là một cái gì đó giống như ‘ php.malware.fopo ‘Virus như được hiển thị trong hình ảnh bên dưới.
Như đã thấy trong hình ảnh, FOPO đã khiến con người không thể đọc được mã do đó tránh bị phát hiện. Để đọc mã xóa phần mềm độc hại, cần phải có trình giải mã FOPO. Một số nhà phát triển plugin của PrestaShop sử dụng công cụ FOPO để bảo vệ mã của họ. Vì vậy, việc phát hiện phần mềm độc hại này trở nên phức tạp và không bao giờ được thực hiện bởi các chuyên gia chưa qua đào tạo. Hơn nữa, đây là tài liệu tham khảo về một loại vi rút PrestaShop chung và có nhiều loại vi rút phức tạp như vậy nên việc bao gồm tất cả mọi người nằm ngoài phạm vi của bài viết này.
Loại bỏ phần mềm độc hại PrestaShop
Trong trường hợp cửa hàng của bạn bị nhiễm phần mềm độc hại PrestaShop, bạn nên bắt đầu bằng cách xem xét hệ thống tệp. Vì PrestaShop sử dụng PHP nên tin tặc sửa đổi các tệp cấu hình PHP như php.ini , user.ini , v.v. Các tệp này cũng chịu trách nhiệm thiết lập quyền của hệ thống và do đó có thể cung cấp tài nguyên lớn hơn cho những kẻ tấn công. Một tệp quan trọng khác là .htaccess tập tin. Tệp này được phần mềm độc hại PrestaShop sửa đổi để chuyển hướng lưu lượng truy cập của một trang web đến một trang web spam. Tuy nhiên, vì các tệp này nhạy cảm, không xóa mã bạn thấy đáng ngờ. Thay vào đó, hãy bình luận và liên hệ với các chuyên gia bảo mật. Để tìm phần mềm độc hại PrestaShop ẩn ở định dạng cơ sở 64, hãy sử dụng lệnh này qua SSH:
tìm thấy . -name “* .php” -exec grep “base64 ″‘ {} ’; -print &> code.txt
Lệnh này sẽ tìm kiếm tất cả mã ẩn trong các tệp PrestaShop ở dạng mã hóa base64 và lưu nó vào tệp code.txt để có thể giải mã sau. Ngoài mã hóa base64, FOPO cũng được sử dụng để ẩn mã. Mã FOPO có thể được làm mờ bằng các công cụ có sẵn trực tuyến. Bây giờ để làm sạch cơ sở dữ liệu, hãy sử dụng công cụ PHPMyAdmin. Công cụ này có thể được sử dụng để tìm kiếm các mục nhập độc hại trong cơ sở dữ liệu. Một số từ khóa độc hại cần chú ý là:
$ _POST, $ _GET, eval, execute, system, passthru, gzdecode, gzuncompress, base64_decode, file_get_contents, file_put_contents, strtoupper.
Mỗi thuật ngữ này có thể được nhập riêng vào phpMyAdmin và được tìm kiếm trong các tệp hoặc bảng. Hãy xem ví dụ được hiển thị trong hình ảnh bên dưới.
Bảo vệ phần mềm độc hại tối ưu của PrestaShop
Tất cả quá trình thủ công này có vẻ mệt mỏi và vẫn không có gì đảm bảo rằng việc lây nhiễm phần mềm độc hại PrestaShop sẽ biến mất. Để tránh rắc rối này, hãy sử dụng giải pháp bảo mật như giải pháp mà Astra cung cấp. Tường lửa Astra chặn tất cả các nỗ lực độc hại do những kẻ tấn công thực hiện để lây nhiễm cửa hàng PrestaShop của bạn. Trong khi giải pháp bảo mật Astra quét hệ thống tệp của bạn để tìm sự lây nhiễm. Astra tự động dọn dẹp và cập nhật các tệp PrestaShop của bạn. Chỉ cần cài đặt Astra và để nó xử lý mọi thứ.