ถ้าฉันจำไม่ผิด คุณกำลังเผชิญกับสถานการณ์ที่ถูกแฮ็กของ OpenCart หรือกำลังดิ้นรนเพื่อลบการแฮ็ก ฉันสนิทไหม หากคุณเข้ามาที่หน้านี้ด้วยความตั้งใจที่จะล้างร้านค้า OpenCart ที่ถูกแฮ็ก แสดงว่าคุณมาถูกที่แล้ว
ในบทความนี้ เราจะเจาะลึกกรณีที่ถูกแฮ็กของ OpenCart พูดคุยเกี่ยวกับอาการที่ถูกแฮ็กทั่วไป สาเหตุ และจะดำเนินการตามแผนการลบการแฮ็กของ Opencart ที่ใช้งานได้
ข้อจำกัดความรับผิดชอบ: กระบวนการที่กล่าวถึงในบทความนี้เหมาะสำหรับผู้ที่คุ้นเคยกับความรู้ด้านเทคโนโลยีขั้นพื้นฐานมากกว่า กระบวนการนี้อาจใช้เวลาและอาจดูน่าเบื่อ ดังนั้น หากคุณไม่เคยมีประสบการณ์ในการจัดการแบ็กเอนด์ที่ละเอียดอ่อนของร้านค้ามาก่อน เราขอแนะนำให้คุณขอความช่วยเหลือจากผู้เชี่ยวชาญ ที่จริงแล้ว แม้ว่าคุณจะมีความชำนาญด้านเทคโนโลยีในระดับปานกลาง การดำเนินการล้างมัลแวร์อย่างสมบูรณ์และประสบความสำเร็จก็เป็นเรื่องที่พูดง่ายกว่าทำ
การล้างมัลแวร์แบบมืออาชีพไม่เพียงแต่ช่วยประหยัดเวลาและความพยายามของคุณ แต่ยังช่วยลดเวลาในการตอบสนองต่อเหตุการณ์ของคุณได้อย่างมหาศาล การควบคุมความเสียหายและการย้อนกลับในเวลาเป็นปัจจัยสำคัญสำหรับเว็บไซต์ที่ถูกแฮ็ก และมากกว่านั้นสำหรับอีคอมเมิร์ซ
OpenCart ถูกแฮ็ก อาการ
ร้านค้า OpenCart ของคุณแสดงสัญญาณหลายอย่างเมื่อถูกแฮ็ก อาการทั่วไปบางประการของการแฮ็ก OpenCart คือ:
1. การเข้าสู่ระบบหลายครั้งจากสถานที่ที่ไม่ได้รับอนุญาต
ด้วยการเข้าสู่ระบบพอร์ทัลผู้ดูแลระบบหลายครั้งจากสถานที่ต่างๆ จึงเป็นสัญญาณที่ชัดเจนของ OpenCart Hacked คุณสามารถตรวจสอบประวัติการเข้าสู่ระบบและเวลาในการเข้าถึงพร้อมกับที่อยู่ IP ของการเข้าถึงครั้งล่าสุดได้
2. บัญชีผู้ดูแลระบบหลายบัญชี
แดชบอร์ดควรมีบัญชีผู้ดูแลระบบเพียงบัญชีเดียว เว้นแต่ว่าคุณมีผู้ร่วมให้ข้อมูลรายอื่น แต่เมื่อคุณเปิดแดชบอร์ด คุณจะเห็นบัญชีผู้ดูแลระบบหลายบัญชี ซึ่งคุณไม่ได้เป็นผู้สร้างขึ้น มันเป็นสัญญาณบอกเล่า
3. รายละเอียดการชำระเงินที่รั่วไหล
นี่อาจเป็นธงสีแดงที่ใหญ่ที่สุด เมื่อคุณเริ่มได้รับการร้องเรียนจากผู้ใช้เว็บไซต์ของคุณว่ารายละเอียดเงินพลาสติกรั่วไหล คุณควรใช้วิธีแก้ไข ซึ่งหมายความว่ามีการใช้เว็บไซต์ของคุณเพื่อสร้างธุรกรรมที่เป็นการฉ้อโกง
4. สั่งซื้อฟรี
OpenCart เมื่อถูกแฮ็กด้วยรหัสที่เป็นอันตราย สามารถสั่งซื้อได้โดยไม่ต้องชำระเงิน ด้วยวิธีนี้ คุณจะเห็นว่ามีการส่งมอบสินค้า แต่ไม่มีรายได้จากการจัดส่ง
5. จดหมายขยะ
การรับอีเมลขยะจากเซิร์ฟเวอร์ของคุณถึงผู้ใช้จะต้องเป็นสัญญาณที่ต้องระวัง
6. ขึ้นบัญชีดำโดย Google
แม้ว่าอาการนี้อาจเกิดจากสาเหตุอื่นๆ ได้เช่นกัน แต่หากคุณเห็นข้อความนี้เป็นเวลานาน แสดงว่าเว็บไซต์ของคุณถูกบุกรุก
7. DIP ที่แพร่หลายในบันทึก FTP
ระหว่างเซสชันการเข้าสู่ระบบ บันทึก FTP จะบันทึกกิจกรรมระหว่างเซสชันพร้อมกับที่อยู่ IP เมื่อบันทึก FTP แสดงที่อยู่ IP ที่น่าสงสัย คุณควรดำเนินการอย่างจริงจังกับปัญหา
8. การใช้บัตรเครดิตในทางที่ผิด
แฮกเกอร์ที่ฉีดการ์ด skimmers แบบฟอร์มการชำระเงินปลอม วิธีการชำระเงินปลอมยังทำให้เกิดอาการ OpenCart ที่ถูกแฮ็กที่พบบ่อยที่สุด ในกรณีการแฮ็กบัตรเครดิตส่วนใหญ่ เจ้าของร้านจะรู้จักการแฮ็กจากลูกค้า ดังนั้นโปรดใส่ใจกับการร้องเรียนการละเมิดบัตรเครดิตของลูกค้าของคุณ
ตัวอย่างต่างๆ ของการโจมตี OpenCart ที่ถูกแฮ็ก
กรณีที่ถูกแฮ็กของ OpenCart ส่วนใหญ่เกี่ยวข้องกับการแทรกมัลแวร์ลงในไฟล์หลักและไฟล์ย่อย รวมถึงไฟล์ปลั๊กอินและธีม อย่างไรก็ตาม แฮ็กเกอร์ยังสามารถกำหนดเป้าหมายฐานข้อมูล แผงการดูแลระบบ ผู้ใช้ที่มีอยู่ ผู้ดูแลระบบ หรือวิธีการอื่นๆ เพื่อเข้าไปในร้านค้าและกำจัดมัลแวร์
กล่าวคือ กรณีที่ถูกแฮ็กของ OpenCart แตกต่างกันอย่างมาก ยังมีรูปแบบที่ระบุถึงการโจมตีของแฮ็กเกอร์เหล่านี้ซึ่งเราได้พยายามระบุไว้ที่นี่:
- รับข้อมูลลับๆ – ผ่านช่องโหว่ในการดาวน์โหลด – เพื่อส่งรายละเอียดบัตรเครดิตของผู้ใช้ไปยังบัญชี yopmail
- การฉีดโค้ดที่เป็นอันตรายในแผงการดูแลระบบเพื่อทริกเกอร์ข้อความขาออกไปยัง ID ที่เป็นอันตรายจากเว็บไซต์ของเหยื่อ
- การเข้าสู่ระบบแผงการดูแลระบบและ
- ขโมยข้อมูลการชำระเงิน
- จัดการรายละเอียดคำสั่งซื้อ
- แก้ไขเนื้อหาเว็บไซต์ (defacement)
- ยุ่งกับรายการสินค้า
- แทรกลิงก์ที่เป็นอันตราย และอื่นๆ
- เปลี่ยนโมดูลบัตรเครดิตด้วยโมดูลที่เป็นอันตรายหรือพายการ์ดผ่าน
ด้วยกิจกรรมดังกล่าวในแผงการดูแลระบบที่สร้างความสับสนวุ่นวายทั่วทั้งเว็บไซต์ของคุณ การค้นหาสาเหตุของการโจมตีดังกล่าวจึงเป็นเรื่องสำคัญ
สาเหตุที่ถูกแฮ็กของ OpenCart
1. การสร้างมัลแวร์บนเว็บไซต์
การเขียนสคริปต์ของมัลแวร์บนเว็บไซต์และการติดเซิร์ฟเวอร์เป็นสาเหตุหลัก ด้วยวิธีนี้ เว็บไซต์อื่นๆ ที่อยู่ในเซิร์ฟเวอร์เดียวกันก็จะได้รับผลกระทบเช่นกัน ก่อนหน้านี้ทีม Astra ได้จัดการปัญหาดังกล่าวของการโจมตีมัลแวร์บน OpenCart ยิ่งไปกว่านั้น แม้แต่การโจมตีที่ขโมยรายละเอียดบัตรเครดิตก็ยังได้รับการแก้ไขโดย Astra ซึ่งทำให้ดีที่สุดในธุรกิจความปลอดภัยทางไซเบอร์ในปี 2020
2. ช่องโหว่ในการเข้าถึงระยะไกลโดยผู้โจมตี
OpenCart มีความเสี่ยงต่อ RCE OpenCart บางเวอร์ชันอาจถูกแฮ็กได้ง่าย และสามารถแทรกโค้ดที่เป็นอันตรายจากระยะไกลได้ การมีอยู่ของฟังก์ชัน JSON ใน OpenCart มีหน้าที่ในการแฮ็ก OpenCart
3. ช่องโหว่ CSRF
ช่องโหว่ Cross-Site Request Forgery ทำให้แฮ็กเกอร์ส่งคำขอปลอมไปยังเซิร์ฟเวอร์ในนามของผู้ใช้ เราสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการเปลี่ยนแปลงเว็บไซต์ เพิ่มผู้ดูแลระบบปลอม แทรกแบ็คดอร์ หรือแม้แต่ลบเว็บไซต์ การขาดการตรวจสอบและการฆ่าเชื้อที่เหมาะสม ไม่มีการตรวจสอบแบบ nonce การไม่หลบหนีเป็นวิธีที่ร้านค้าของคุณเสี่ยงต่อช่องโหว่ของ CSRF
การฉีด SQL
ไม่นานมานี้ ส่วนของหน้าของ OpenCart มีช่องโหว่ในการฉีด SQL ด้วยช่องโหว่นี้ ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตราย ซึ่งทำให้เว็บไซต์เสียหายได้
นี่คือสาเหตุหลักที่อยู่เบื้องหลังการแฮ็กร้าน OpenCart นอกจากนี้ ยังมีการบันทึกว่ารหัสผ่านที่ไม่รัดกุมเป็นส่วนสำคัญของการแฮ็ก OpenCart ร้องเรียน
กระบวนการกำจัดมัลแวร์ OpenCart
1. เปลี่ยนรหัสผ่านให้แข็งแกร่งขึ้น
ประการแรก เปลี่ยนรหัสผ่านของแผงการดูแลระบบเป็นรหัสผ่านที่รัดกุมยิ่งขึ้น ดำเนินการเปลี่ยนรหัสผ่านของฐานข้อมูลเพื่อป้องกันการเปลี่ยนแปลงใดๆ ในฐานข้อมูล รหัสผ่านฐานข้อมูลสามารถเปลี่ยนได้โดยใช้สคริปต์ต่อไปนี้:
update users set pass = concat(‘ZZZ’, sha(concat(pass, md5(rand()))));
2. สร้างข้อมูลสำรอง
ถัดไป สร้างข้อมูลสำรองของร้านค้าของคุณ การสำรองข้อมูลสามารถช่วยชีวิตคุณได้เมื่อคุณลบเว็บไซต์ของคุณโดยไม่ได้ตั้งใจ การสำรองข้อมูลที่ดีและใช้งานได้ควรรวมไฟล์ทั้งหมดที่มีความสำคัญต่อการทำงานของร้านค้าของคุณอย่างราบรื่น นอกจากนี้ยังควรรวมไฟล์ที่กำหนดรูปลักษณ์และการทำงานของร้านค้าของคุณด้วย
เรื่องสั้นโดยย่อ ข้อมูลสำรองควรประกอบด้วย:ไฟล์หลัก ไฟล์ปลั๊กอินและธีม ฐานข้อมูล ฯลฯ
3. เปิดโหมดบำรุงรักษา
เมื่อคุณได้สร้างข้อมูลสำรองแล้ว ก็ถึงเวลาแจ้งให้ลูกค้าของคุณทราบว่าคุณกำลังแก้ไขสิ่งต่างๆ ในร้านค้า วิธีที่ดีที่สุดคือเปิดโหมดบำรุงรักษา คุณลักษณะโหมดการบำรุงรักษาในร้านค้า OpenCart ของคุณช่วยให้คุณเพิ่มหน้าจอ 'เร็วๆ นี้' ในร้านค้าได้ คุณยังสามารถปรับแต่งหน้าจอนี้ด้วยโลโก้ร้านค้าของคุณ นาฬิกาจับเวลาถอยหลัง ข้อความหรือรูปภาพที่กำหนดเองได้
4. สแกนร้านค้าของคุณด้วยเครื่องสแกนมัลแวร์ OpenCart
ขั้นตอนต่อไปคือการตรวจหามัลแวร์ เครื่องสแกนมัลแวร์ OpenCart เป็นเครื่องมือรักษาความปลอดภัยที่ทรงพลังที่สามารถบอกสิ่งผิดปกติกับเว็บไซต์ของคุณได้ในเวลาไม่กี่นาที
เครื่องสแกนมัลแวร์ที่ชาญฉลาดและการเรียนรู้ด้วยเครื่องของ Astra จะตั้งค่าสถานะลิงก์ ไฟล์ หรือโค้ดที่เป็นอันตรายทั้งหมดในร้านค้า OpenCart ของคุณ นอกจากนี้ยังให้ยูทิลิตี้ตรวจสอบอย่างรวดเร็วเพื่อดูการแก้ไขโค้ดและตัวเลือกในการลบไฟล์ที่เป็นอันตรายด้วยการคลิกเพียงครั้งเดียว
5. ตรวจสอบประตูหลังที่เปิดอยู่ในเว็บไซต์
แบ็คดอร์ที่มีอยู่ในเว็บไซต์คือประตูทางเข้าสำหรับผู้โจมตี ด้วยแบ็คดอร์ที่มีอยู่ ไม่ว่าคุณจะเปลี่ยนรหัสผ่านกี่ครั้ง คุณอาจจะแชร์รหัสผ่านกับผู้โจมตีโดยไม่รู้ตัว
ดังนั้นให้มองหาแบ็คดอร์ที่มีอยู่ในเว็บไซต์ การใช้เครื่องมือที่ตรวจสอบการไหลของแพ็กเก็ตข้อมูล เช่น Wireshark นั้นมีประโยชน์ คุณสามารถติดตามข้อมูลขาออกและปิดผนึกแบ็คดอร์เพื่อป้องกันการรั่วไหลของข้อมูล เมื่อคุณได้รับการยืนยันแล้วว่าเว็บไซต์มีแบ็คดอร์ เราขอแนะนำให้คุณออฟไลน์ หลังจากออฟไลน์เว็บไซต์แล้ว คุณต้องลบโค้ดที่เป็นอันตรายออกจากเว็บไซต์ก่อนเผยแพร่อีกครั้ง
5. ตรวจทานรูปแบบ base64
ในแง่เทคนิค base64 แสดงถึงการแปลงรูปแบบไบนารีเป็นข้อความของการเข้ารหัสข้อมูล คุณอาจต้องมองหารูปแบบ base64 ของโค้ดที่มีอยู่ในเว็บไซต์ของคุณ ผู้เชี่ยวชาญจะเข้าใจวิธีการเข้ารหัสดังกล่าวได้ดีขึ้น
คุณสามารถลองเปิดรหัสโดยใช้บรรทัดคำสั่งต่อไปนี้:
find . -name “*.php” -exec grep “base64″‘{}’; -print &> hiddencode.txt
บรรทัดคำสั่งจะบันทึกรหัสต่างๆ ที่เข้ารหัสไว้ในไฟล์ชื่อ hiddencode.txt ซึ่งสามารถถอดรหัสเพิ่มเติมได้โดยใช้เครื่องมือออนไลน์ คุณสามารถติดตามได้โดยค้นหาตำแหน่งที่มีรหัสเฉพาะแล้วแก้ไขให้ถูกต้อง
6. เปรียบเทียบเช็คซัม
ดาวน์โหลดสำเนาหลักใหม่ (หรือที่เรียกว่าเช็คซัม) จากไลบรารี OpenCart และเปรียบเทียบกับไฟล์เวอร์ชันปัจจุบันของคุณ ทำซ้ำขั้นตอนเดียวกันนี้สำหรับไฟล์ปลั๊กอินและธีม สำหรับฐานข้อมูล หากคุณมีข้อมูลสำรองที่ดีและเก่า ให้เปรียบเทียบฐานข้อมูลของคุณกับสิ่งนั้น อย่างไรก็ตาม นั่นอาจไม่ใช่วิธีที่เหมาะสมที่สุดในการค้นหาการติดฐานข้อมูล
หมายเหตุ:ดูแลเวอร์ชันเช็คซัมที่คุณกำลังดาวน์โหลด ควรตรงกับเวอร์ชันของ OpenCart
7. ลบการติดเชื้อทั้งหมด
ถึงตอนนี้ คุณอาจพบแฮ็กแล้ว ดังนั้นขั้นตอนต่อไปคือการเอาออก
วิธีป้องกันการโจมตีที่ถูกแฮ็กของ OpenCart เพิ่มเติม
สิ่งสำคัญคือต้องป้องกันการโจมตีใดๆ เนื่องจาก OpenCart ถูกแฮ็ก การโจมตีดังกล่าวไม่เพียงแต่ใช้เวลานาน แต่ยังนำไปสู่การสูญเสียลูกค้าเนื่องจากชื่อเสียงที่ไม่ดี เพื่อป้องกันการโจมตีดังกล่าวต่อไป โปรดปฏิบัติตามรายการตรวจสอบนี้:
สำรองข้อมูลเว็บไซต์เป็นประจำ
อัปเดตและสำรองข้อมูลเว็บไซต์ของคุณอย่างสม่ำเสมอ การอัปเดตช่วยในการปกป้องเว็บไซต์ของคุณจากช่องโหว่ แพตช์ใหม่ในการอัปเดตช่วยเพิ่มการป้องกันช่องโหว่ในส่วนขยาย
การจัดการโฟลเดอร์การติดตั้ง
โฟลเดอร์การติดตั้งอาจทำให้คุณปวดหัวได้ มีแอพพลิเคชั่นมากมายที่หน้าจอสำหรับโฟลเดอร์การติดตั้งบนเซิร์ฟเวอร์ ส่วนใหญ่ โฟลเดอร์การติดตั้งจะเปิดทิ้งไว้บนเซิร์ฟเวอร์ แนะนำให้ลบโฟลเดอร์การติดตั้งเสมอ พวกเขามีข้อมูลจำนวนมากที่มีความลับสูง ตรวจสอบให้แน่ใจว่าโฟลเดอร์การติดตั้ง vQMod ไม่ถูกลบ!
การควบคุมการเข้าถึงแผงการดูแลระบบ
ต้องปรับปรุงความปลอดภัยของแผง OpenCart Admin สิ่งสำคัญที่ควรทราบคือเมื่อมีการโจมตีแล้ว คุณต้องรับผิดชอบในการรักษาความปลอดภัยระดับสูงของแผงการดูแลระบบ
- ต้องเปลี่ยนชื่อ URL ของผู้ดูแลระบบ เพื่อให้แฮกเกอร์ไม่สามารถติดตาม URL ได้อีก สามารถป้องกันการโจมตีหลายครั้งได้หาก URL ถูกเปลี่ยนเป็นตัวช่วยจำแบบสุ่มซึ่งง่ายต่อการจดจำ
- เป็นการตัดสินใจที่ฉลาดเสมอที่จะจำกัดการเข้าถึงเฉพาะคุณในแผงการดูแลระบบเท่านั้น ใช้ไฟล์ .htaccess และเพิ่มรหัสต่อไปนี้ลงในไฟล์:
<Files *.*>
Order Deny, Allow
Deny from all
Allow from "IP"
</Files>
โดยที่ IP =ที่อยู่ IP ของคุณ
การใช้รหัสนี้จำกัดการเข้าถึงโฟลเดอร์และโฟลเดอร์ย่อยต่างๆ
- ใช้ตำแหน่งต่อไปนี้เพื่อเข้าถึงไฟล์สำคัญในแผงการดูแลระบบ เช่น admin.php หรือ index.php:
ผู้ใช้>กลุ่มผู้ใช้ไฟล์เหล่านี้ไม่จำเป็นต้องแก้ไขทุกครั้งที่มีการโจมตีความปลอดภัยบนเว็บไซต์ของคุณ คุณสามารถตั้งค่าการอนุญาตของไฟล์เป็น 644 หรือ 44 และป้องกันการเปลี่ยนแปลงไฟล์เพิ่มเติมได้
การมีไฟร์วอลล์บนเว็บไซต์อีคอมเมิร์ซของคุณ
เว็บไซต์อีคอมเมิร์ซทุกแห่งมีธุรกรรมทางการเงินผ่านแพลตฟอร์ม ด้วยธุรกรรมทางการเงิน ความปลอดภัยจึงมีความสำคัญสูง แต่ปัญหาที่ถูกแฮ็กของ OpenCart อาจนำไปสู่การขโมยข้อมูลการชำระเงินของผู้ใช้ เพื่อป้องกันกิจกรรมดังกล่าว เราขอแนะนำให้ใช้โซลูชันการรักษาความปลอดภัยที่เหมาะสม ไฟร์วอลล์คือแนวแรกของการโจมตีโดยผู้โจมตี OpenCart Security Suite ของ Astra มีไฟร์วอลล์ที่แข็งแกร่งเพื่อปกป้องเว็บไซต์ของคุณจากการโจมตีที่เป็นอันตราย ตามคำแนะนำของ OpenCart โซลูชันความปลอดภัยแบบครบวงจรสำหรับเว็บไซต์ของคุณคือ Astra