Tin tặc đang sử dụng các kỹ thuật thông minh để hack thông tin thẻ tín dụng trong Magento 1.9 - bao gồm việc sửa đổi các tệp lõi để thêm phần mềm độc hại được gọi là phần mềm độc hại Visbot. Đọc tiếp để biết cách tìm và sửa lỗi.
Cách thức hoạt động của phần mềm độc hại Visbot
Phần mềm độc hại Visbot, được tìm thấy trên các trang web Magento bị tấn công, chạy mỗi khi trang web tải. Nó chặn các yêu cầu POST được gửi đến máy chủ, thu thập bất kỳ thông tin nào do khách truy cập gửi đến trang web và mã hóa và lưu trữ nó vào một tệp hình ảnh.
Hình ảnh này có thể chứa thông tin như mật khẩu, địa chỉ, và thậm chí cả thông tin thẻ tín dụng và thanh toán. Các tin tặc thỉnh thoảng lấy lại hình ảnh này và bán nó trên thị trường chợ đen. Đôi khi, tệp này có thể lớn tới 850 MB!
Phần mềm độc hại thường được tìm thấy trong các tệp Magento cốt lõi, chẳng hạn như tệp bên dưới tại đường dẫn tệp /var/www/html/includes/config.php:
Cách tìm Phần mềm độc hại Visbot
Cách đơn giản nhất để tìm phần mềm độc hại Visbot là chạy quá trình quét sau:
grep -r Visbot --include='*.php' /my/document/root
Phần mềm độc hại Visbot thường được ẩn trong một tệp lõi được chạy trên mỗi lần tải trang, chẳng hạn như app / Mage.php hoặc include / config.php như trong ví dụ trên. Dữ liệu thu thập được có thể được lưu trữ ở nhiều vị trí khác nhau. Dưới đây là một số vị trí tệp được tìm thấy được lưu trữ:
- /media/mage.jpg
- / media / catalog / category /
- /skin/adminhtml/default/default/images/accordion_open_bg.gif
- /skin/adminhtml/default/default/images/btn_gr_on_bg.gif
- /skin/adminhtml/default/default/images/notice-msg_bg.png
- /skin/adminhtml/default/default/images/sort-arrow-down_bg.png
- /skin/adminhtml/default/default/images/side_col_bg_bg.gif
- /skin/adminhtml/default/default/images/left_button_back.gif
Một máy quét phần mềm độc hại chuyên dụng có thể tìm thấy nhiều loại tệp và mã độc hại, như Astra’s, là lựa chọn tốt nhất để tìm phần mềm độc hại Visbot mà không cần nỗ lực nhiều.
Cách khắc phục trang web của bạn sau cuộc tấn công bằng phần mềm độc hại Visbot
1. Sao lưu trang web của bạn trước khi làm sạch.
Bạn nên đưa trang web vào chế độ ngoại tuyến để người dùng không truy cập các trang bị nhiễm khi bạn đang làm sạch nó. Đảm bảo sao lưu tất cả các tệp và cơ sở dữ liệu cốt lõi. Bạn nên sao lưu ở định dạng tệp nén, chẳng hạn như .zip.
2. Thay thế các tệp lõi, plugin và chủ đề.
Bạn có thể thay thế các tệp lõi bị nhiễm bằng phiên bản gốc của cùng một nguồn từ các nguồn có uy tín. Sau khi tải xuống các phiên bản mới và cập nhật của các tệp &thư mục này, bạn có thể xóa các phiên bản cũ hơn. Điều này đặc biệt quan trọng trong việc dọn dẹp phần mềm độc hại Visbot, vì mã độc hại đã được tìm thấy bên trong các tệp lõi.
3. Làm sạch mọi tệp đáng ngờ, được sửa đổi gần đây.
Bạn có thể tìm thấy các tệp có khả năng bị nhiễm bằng cách xem các tệp đã được sửa đổi gần đây. Bạn có thể khôi phục các tệp này từ một bản sao lưu sạch mà bạn có hoặc từ một nguồn đáng tin cậy.
4. Chạy quét phần mềm độc hại.
Chạy quét phần mềm độc hại trên máy chủ web của bạn để tìm phần mềm độc hại và các tệp độc hại. Bạn có thể sử dụng công cụ ‘Trình quét vi-rút’ trong cPanel do máy chủ lưu trữ web của bạn cung cấp hoặc yêu cầu chuyên gia dọn dẹp phần mềm độc hại bằng Astra Pro Plan, công cụ này sẽ chặn cuộc tấn công và cả các bot cố tải xuống dữ liệu bị đánh cắp.
Ngoài các bước này, bạn có thể thấy bài viết này về bảo mật Magento hữu ích.
Phần mềm độc hại Visbot:Kết luận
Phần mềm độc hại Visbot có thể rất nguy hiểm ở chỗ nó chủ yếu được tìm thấy trong các tệp chính và lấy cắp thông tin nhạy cảm như thông tin thẻ tín dụng. Do đó, điều rất quan trọng là bạn phải giữ cho trang web của mình không có phần mềm độc hại. Ngoài việc sử dụng các phiên bản phần mềm cập nhật, bạn nên có một Tường lửa trang web như Astra cho trang web của mình. Bộ bảo mật của chúng tôi giúp tự động bảo mật trang web của bạn và hầu như vá phần mềm bằng cách ngăn chặn các yêu cầu độc hại tiếp cận trang web của bạn. Bằng cách này, bạn không bao giờ phải lo lắng về việc bị tấn công nữa!
Giới thiệu về Astra
Astra là bộ bảo mật web cần thiết chống lại tin tặc, các mối đe dọa từ internet &bot cho bạn. Chúng tôi cung cấp bảo mật chủ động cho các trang web của bạn chạy các CMS phổ biến như WordPress, OpenCart, Magento, v.v. Đội ngũ bảo mật của chúng tôi luôn sẵn sàng phục vụ 24 × 7 suốt năm để giúp bạn giải quyết các thắc mắc của mình.