10 Ноября, 2016

Шпионское ПО в интернет-магазинах на базе CMS Magento

revisium
Если ваш сайт работает на базе CMS Magento и вы не устанавливаете патчи безопасности сразу, как только они анонсируются на сайте производителя, то скорее всего ваш сайт взломан и заражен.

Наиболее популярный в последнее время вариант использования взломанного сайта на Magento – это установка скрипта-шпиона, который отслеживает формы и отсылает вводимые в них значения хакеру. Так хакер получает доступ к данным банковских карт, с которых клиенты оплачивают покупки в магазине, а также персональные данные владельца карты. То есть все те значения, которые покупатель вводит на стадии оформления заказа.

Скрипт загружается на любой странице магазина, но проявляет активность только там, где осуществляется ввод чувствительных данных. Обычно, эти страницы содержат в адресе фрагменты «onepage», «checkout», «onestep» — страницы оформления заказа.
Скрипт извлекает данные из полей формы input, select, textarea, checkbox, формирует из них сообщение и отсылает на сайт злоумышленника через ajax.
Примеры таких скриптов приведены ниже.


Проверить свой интернет-магазин на заражение можно с помощью нашего бесплатного сервиса https://rescan.pro/

Наличие вирусной сигнатуры «shop.spy.logger» подтверждает заражение сайта и присутствие шпиона, поэтому действовать нужно оперативно. Под угрозой оказываются конфиденциальные и платежные данные ваших покупателей.
Данный скрипт внедряют в шаблон Magento (рядом со счетчиками посещений).
Зайдите в админ-панель сайта, перейдите в
Система->Конфигурация->Дизайн->HTML Заголовок->Разнообразные скрипты.
В тексте вы увидите внедренный код.


Удалите его и сохраните изменения. После этого действия веб-шпион удалится со страниц.
Но следует учитывать, что данная процедура – это лишь устранение последствий. Код появился в результате уязвимости на сайте, раскрытия, утечки или перехвата доступов и легко появится снова, если не выполнить превентивных мер по повышению защищенности сайта. То есть крайне важно сразу установить защиту от взлома на ваш интернет-магазин. Или, как минимум, выполнить следующие действия:
  1. Установите новые сложные и разные пароли на все административные аккаунты магазина, на панель хостинга и FTP/SFTP.
  2. Примените все патчи безопасности, доступные для текущей версии. Дополнительную информацию можно посмотреть на сайте https://www.magereport.com
  3. Установите на сайте проактивную защиту (WAF)
  4. Просканируйте файлы сайта на наличие фишинговых страниц и хакерских бэкдоров с помощью сканера AI-BOLIT https://revisium.com/ai/
Для защиты коммерческого проекта эффективнее всего обратиться к специалистам, которые не просто удалят последствия взлома, но проведут необходимые процедуры для защиты Magento от возможных взломов и заражений в будущем, а при необходимости и возьмут ваш интернет-проект на сопровождение.
Если самостоятельно справиться с данным видом заражения не получается, вы всегда можете обратиться к специалистам компании «Ревизиум» .