แฮกเกอร์ใช้เทคนิคอันชาญฉลาดในการแฮ็กข้อมูลบัตรเครดิตใน Magento 1.9 รวมถึงการแก้ไขไฟล์หลักเพื่อเพิ่มมัลแวร์ที่เรียกว่ามัลแวร์ Visbot อ่านต่อเพื่อทราบวิธีค้นหาและแก้ไข
วิธีการทำงานของมัลแวร์ Visbot
มัลแวร์ Visbot ที่พบในเว็บไซต์ Magento ที่ถูกแฮ็ก ทำงานทุกครั้งที่เว็บไซต์โหลด มันสกัดกั้นคำขอ POST ที่ทำกับเซิร์ฟเวอร์ รวบรวมข้อมูลใด ๆ ที่ส่งโดยผู้เยี่ยมชมเว็บไซต์และเข้ารหัสและจัดเก็บไว้ในไฟล์รูปภาพ
รูปภาพนี้สามารถประกอบด้วยข้อมูลต่างๆ เช่น รหัสผ่าน ที่อยู่ หรือแม้แต่ข้อมูลบัตรเครดิตและข้อมูลการชำระเงิน แฮกเกอร์บางครั้งดึงภาพนี้และขายในตลาดมืด บางครั้ง ไฟล์นี้อาจมีขนาดใหญ่ถึง 850 MB!
มัลแวร์มักพบในไฟล์หลักของ Magento เช่นไฟล์ด้านล่างที่พาธไฟล์ /var/www/html/includes/config.php:
วิธีค้นหามัลแวร์ Visbot
วิธีที่ง่ายที่สุดในการค้นหามัลแวร์ Visbot คือการเรียกใช้การสแกนต่อไปนี้:
grep -r Visbot --include='*.php' /my/document/root
มัลแวร์ Visbot มักจะซ่อนอยู่ในไฟล์หลักซึ่งทำงานทุกครั้งที่โหลดหน้า เช่น app/Mage.php หรือรวมถึง/config.php ดังในตัวอย่างข้างต้น ข้อมูลที่รวบรวมสามารถเก็บไว้ในสถานที่ต่างๆ ต่อไปนี้คือบางตำแหน่งที่พบไฟล์ที่จะจัดเก็บ:
- /media/mage.jpg
- /media/catalog/category/
- /skin/adminhtml/default/default/images/accordion_open_bg.gif
- /skin/adminhtml/default/default/images/btn_gr_on_bg.gif
- /skin/adminhtml/default/default/images/notice-msg_bg.png
- /skin/adminhtml/default/default/images/sort-arrow-down_bg.png
- /skin/adminhtml/default/default/images/side_col_bg_bg.gif
- /skin/adminhtml/default/default/images/left_button_back.gif
เครื่องสแกนมัลแวร์เฉพาะทางที่สามารถค้นหาโค้ดและไฟล์ที่เป็นอันตรายได้หลายประเภท เช่น Astra เป็นตัวเลือกที่ดีที่สุดในการค้นหามัลแวร์ Visbot โดยไม่ต้องใช้ความพยายามมาก
วิธีแก้ไขเว็บไซต์ของคุณหลังจากการโจมตีด้วยมัลแวร์ Visbot
1. สำรองข้อมูลไซต์ของคุณก่อนทำความสะอาด
ขอแนะนำให้ใช้เว็บไซต์แบบออฟไลน์เพื่อที่ผู้ใช้จะไม่เข้าชมหน้าที่ติดไวรัสในขณะที่คุณกำลังทำความสะอาด อย่าลืมสำรองข้อมูลไฟล์หลักและฐานข้อมูลทั้งหมด ขอแนะนำให้สำรองข้อมูลในรูปแบบไฟล์บีบอัด เช่น .zip
2. แทนที่ไฟล์หลัก ปลั๊กอิน และธีม
คุณสามารถแทนที่ไฟล์หลักที่ติดไวรัสด้วยไฟล์เวอร์ชันดั้งเดิมจากแหล่งที่เชื่อถือได้ หลังจากดาวน์โหลดไฟล์และไดเร็กทอรีเวอร์ชันใหม่และอัปเดตแล้ว คุณสามารถลบไฟล์ที่เก่ากว่าได้ นี่เป็นสิ่งสำคัญอย่างยิ่งในการล้างมัลแวร์ Visbot เนื่องจากพบรหัสที่เป็นอันตรายในไฟล์หลัก
3. ทำความสะอาดไฟล์ที่น่าสงสัยที่เพิ่งแก้ไข
คุณอาจพบไฟล์ที่อาจติดไวรัสโดยดูจากไฟล์ที่เพิ่งแก้ไข คุณสามารถกู้คืนไฟล์เหล่านี้จากการสำรองข้อมูลใหม่ทั้งหมดที่คุณมีหรือจากแหล่งที่เชื่อถือได้
4. เรียกใช้การสแกนมัลแวร์
เรียกใช้การสแกนมัลแวร์บนเว็บเซิร์ฟเวอร์ของคุณเพื่อหามัลแวร์และไฟล์ที่เป็นอันตราย คุณสามารถใช้เครื่องมือ 'Virus Scanner' ใน cPanel ที่โฮสต์เว็บของคุณจัดเตรียมไว้ให้ หรือล้างมัลแวร์โดยผู้เชี่ยวชาญด้วย Astra Pro Plan ซึ่งจะบล็อกการโจมตีและบอทที่พยายามดาวน์โหลดข้อมูลที่ถูกขโมย
นอกจากขั้นตอนเหล่านี้แล้ว คุณอาจพบว่าบทความนี้เกี่ยวกับการรักษาความปลอดภัยวีโอไอพีมีประโยชน์
มัลแวร์ Visbot:บทสรุป
มัลแวร์ Visbot อาจเป็นอันตรายได้เนื่องจากมักพบในไฟล์หลักและขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลบัตรเครดิต ดังนั้นจึงเป็นเรื่องสำคัญมากที่คุณจะต้องรักษาไซต์ของคุณให้ปราศจากมัลแวร์ นอกเหนือจากการใช้ซอฟต์แวร์เวอร์ชันที่อัปเดตแล้ว ขอแนะนำให้ใช้ไฟร์วอลล์เว็บไซต์ เช่น Astra สำหรับเว็บไซต์ของคุณ Security Suite ของเราช่วยรักษาความปลอดภัยให้กับเว็บไซต์ของคุณโดยอัตโนมัติและซอฟต์แวร์แพตช์เสมือนโดยป้องกันไม่ให้คำขอที่เป็นอันตรายเข้าถึงเว็บไซต์ของคุณ ด้วยวิธีนี้ คุณจะไม่ต้องกังวลกับการถูกแฮ็กอีกต่อไป!
เกี่ยวกับแอสตร้า
Astra เป็นชุดความปลอดภัยบนเว็บที่จำเป็นสำหรับคุณ เราให้การรักษาความปลอดภัยเชิงรุกสำหรับเว็บไซต์ของคุณที่ใช้ CMS ยอดนิยม เช่น WordPress, OpenCart, Magento เป็นต้น ทีมรักษาความปลอดภัยของเราพร้อมให้บริการตลอด 24 ชั่วโมงทุกวันเพื่อช่วยคุณในการสอบถาม
