Взлом WebAsyst ShopScript и шантаж владельцев интернет-магазинов

Хакеры снова активно эксплуатируют уязвимость “движка” интернет-магазина WebAsyst ShopScript старых версий.

За последнюю неделю к нам обратилось несколько владельцев интернет-магазинов с одинаковой историей: злоумышленник уничтожает базу данных сайта, изменяет шаблон стартовой страницы, вписывая в него свой email (сейчас это pavel.websupport@yandex.ru), после чего начинает шантажировать по email владельца, требуя компенсацию за восстановление базы и якобы закрытие найденной уязвимости.
Успешная атака на интернет-магазин становится возможной при наличие двух компонентов:

1. доступности файла кэша настроек WebAsyst ShopScript через веб (в файле хранится логин и пароль в открытом виде)
2. установленного на хостинге phpmyadmin или аналогичного инструмента для работы с базой данных
   

Взлом интернет-магазина происходит следующим образом: хакер извлекает логин и пароль от базы данных, получает доступ к админ-панели интернет-магазина, редактирует шаблоны страниц (например, выполняет дефейс) и удаляет базу данных для иллюстрации того, что он взял сайт под контроль.
В качестве превентивной меры рекомендуем всем владельцам магазинов на версиях WebAsyst ShopScript 3 и 4

1. сделать резервную копию базы данных и файлов, и сохранить ее вне хостинга
2. сменить пароли от базы данных и
3. запретить доступ к файлам в каталоге ./temp/, а также всех вложенных каталогах. На большинстве хостингов для этого достаточно положить файл .htaccess в каталог temp и все вложенные в него каталоги:
   Order Deny,Allow
   Deny from All
   

Если у вас VPS сервер, рекомендуем также ограничить доступ к phpMyAdmin и проверить, нет ли в корневом каталоге файлов adminer.php, sxd.php, dumper.php, которые любят оставлять разработчики и веб-мастера для удобства администрирования базы данных.
В случае возникновения проблем, вы всегда можете обратиться к нам в “Ревизиум” за оперативной помощью.