Magento Store가 해킹당했습니까? Magento 맬웨어 제거 가이드 완성

이것은 구문 분석 오류로 인해 발생했습니다. 필터 키에 입력된 모든 값 즉, ("필터":악성 값)이 잘못 분석되었습니다. 또한 공격자는 base64 인코딩을 사용했습니다. 탐지를 피하기 위해. 공격자는 기본적으로 filter 키에 값으로 SQL 문을 삽입했습니다. 그리고 이것은 분석되었습니다.

위의 요청을 디코딩할 때 결과는 다음과 같았습니다.

여기서 첫 번째 SQL 문은 기본적으로 공격자가 선택한 솔트를 사용하여 새 암호를 설정합니다. 결과적으로 다음 SQL 문 그룹은 새 user_administrator를 삽입합니다. 데이터베이스에서. 그리고 최신 SQL 문은 관리자 역할을 활용합니다. 따라서 공격자는 username=”ypwq로 새 사용자 관리자를 생성했습니다. ", 암호=" 123 ". 전체 익스플로잇은 Github에서 공개적으로 사용할 수 있습니다.

예방

다음과 같이 SQL 주입으로부터 웹사이트를 보호하세요.

1. 클라이언트 측 권한 제한
2. 준비된 문장 사용
3. 보호 설정
4. 방화벽

자세한 예방 수칙은 이 글을 참고하세요.

Magento 해킹됨:Magento XSS

Magento XSS 공격에서 공격자는 악성 JavaScript 코드를 Magento 상점의 다양한 웹 페이지에 삽입합니다. 이는 취약하거나 존재하지 않는 위생 및 검증 규칙의 결과입니다. 이 공격은 주로 저장된 쿠키 및 사용자 세션 세부 정보를 대상으로 합니다. 일반적으로 이 공격의 동기는 사용자 또는 관리자 세션 정보를 훔치는 것입니다. 세션 세부 정보에는 해당 사용자의 로그인 정보도 포함되어 있으므로 이 정보를 사용하여 위조된 방식으로 상점에 로그인할 수 있습니다.

효과

• 쿠키 도용/세션 세부정보
• 인증되지 않은 해커 액세스
• 해커는 CSRF 토큰과 같은 중요한 데이터를 읽을 수 있습니다.
• 사용자를 사칭하여 요청하기

예시

XSS 취약점이 Magento 버전 1.9.0.1에서 발견되었습니다. 취약한 요소가 포함된 파일은 다음과 같습니다.

https://[magento_url]/skin/adminhtml/default/default/media/editor.swf
https://[magento_url]/skin/adminhtml/default/default/media/uploader.swf
https://[magento_url]/skin/adminhtml/default/default/media/uploaderSingle.swf

XSS의 원인은 FlashVar 매개변수가 “브리지 이름 ExternalInterface.call 메소드로 전달되었습니다. 청소 없이 적절한. 그 결과 bridgeName 매개변수를 통해 악성 자바스크립트를 전송할 수 있었습니다. . 따라서 이 악성 JS 코드는 페이지를 로드할 때마다 실행됩니다. 전체 페이로드는 다음과 같았습니다.

https://example.com/skin/adminhtml/default/default/media/editor.swf?bridgeName=1%22]%29%29;alert%281%29}catch%28e%29{alert%281%29}//

예방

다음 단계에 따라 웹사이트 XSS를 무료로 유지할 수 있습니다.

1. 적절한 살균 및 검증 규칙 정의
2. 권한 제한

Magento 해킹됨:Magento 교차 사이트 요청 위조

Magento CSRF 공격은 기본적으로 사용자 모르게 최종 사용자를 대신하여 위조된 요청을 실행합니다. 일반적으로 CSRF 공격에는 사회 공학이 수반됩니다. 따라서 해커는 메일을 통해 대상 사용자(일반적으로 관리자)에게 악성 링크를 보낼 수 있습니다. 이러한 링크의 동기는 사용자를 대신하여 기능을 수행하는 것입니다.

효과

• 공격자가 귀하의 계정을 삭제할 수 있습니다.
• 그는 당신의 신용 카드를 사용할 수 있습니다
• 은행 계좌 정보를 사용하여 공격자는 피해자의 은행 계좌에서 자신의 계좌로 자금을 이체할 수 있습니다.
• 가격을 지불하거나 조작하지 않고 Magento 매장에서 불법적으로 주문할 수 있습니다.

예

1. Magento 1에서 원격 공격자가 실행을 위해 영향을 받는 서비스 모듈의 애플리케이션 측에 스크립트 코드를 삽입할 수 있는 심각한 CSRF 버그가 발견되었습니다. 이에 취약한 구성요소는 'filename 매개변수였습니다. ' 이미지 업로드 모듈. 공격자는 이 공격을 수행하기 위해 애플리케이션 측에서 POST 요청을 사용했습니다. 그러나 이를 악용하기 위해 공격자는 낮은 권한의 웹 응용 프로그램 사용자 계정과 중간 수준의 사용자 상호 작용이 필요했습니다. 취약한 스크립트의 코드 스니펫은 아래와 같습니다.

여기에서 공격자는 ' to 매개변수를 조작했습니다. ' 및 parent_message_id 적절한 견제와 균형이 없기 때문입니다. 공격자는 이를 사용하여 다른 사용자의 동의 없이 메시지를 보낼 수 있습니다. 또한 공격자에게 해킹된 Magento 스토어의 콘텐츠를 조작할 수 있는 다른 능력도 부여했습니다.

예방

• CSRF 공격을 방지하는 가장 좋은 방법은 토큰 기반 방지를 사용하는 것입니다.
• 동일 출처 정책을 사용하면 CSRF의 경우에도 작동합니다.
• 또 다른 방법은 동기화 토큰을 사용하는 것입니다.
• 보안문자 사용

CSRF에 대한 자세한 정보를 보려면 여기를 방문하십시오.

Magento 해킹됨:Magento 원격 코드 실행

Magento 코드 실행은 공격자가 웹사이트에 악성 코드를 삽입할 수 있는 공격 유형입니다. 이 공격은

효과

• 공격자는 웹사이트와 웹 서버를 손상시킬 수 있습니다.
• 파일 및 데이터베이스를 조회, 수정 및 삭제할 수 있습니다.

예

2.0.10 / 2.1.2 이전의 Magento CE 및 EE는 원격 코드 실행에 취약했습니다. 이것은 APPSEC-1484로 명명되었으며 심각도 등급은 9.8(심각)이었습니다. 취약점의 원인은 특정 결제 수단을 통해 검증 과정에서 사용자가 악성 PHP 코드를 실행할 수 있었기 때문입니다. 이 취약점에 대한 익스플로잇과 Metasploit 모듈은 이미 공개되었습니다.

예방

• 적절한 분석 방법을 정의합니다.
• 사용자에 대해 더 엄격한 권한을 설정합니다.

Magento 해킹:기타 원인

• 약하거나 하드코딩된 식별자.
• LFI, RFI, OWASP 상위 10위 등
• 사용되지 않는 버전.
• 열린 포트 등의 서버 구성 오류
• 서브넷이 없는 열악한 호스팅

해킹된 Magento 사이트를 청소하는 데 전문가의 도움이 필요하십니까? 채팅 위젯으로 메시지를 보내주시면 기꺼이 도와드리겠습니다. 지금 해킹된 Magento 스토어를 수정하세요.

해킹된 Magento 매장 정리

피해 통제

손상 관리부터 시작하십시오. 이렇게 해도 해킹이 해결되지 않습니다. 그러나 그것은 분명히 분노를 멈출 것입니다. 피해 관리로 고려해야 할 사항은 다음과 같습니다.

1. 기본적이고 명백한 자격 증명을 단단하고 임의적이며 고유한 것으로 변경합니다.
2. 단일 SQL 문으로 사용자 비밀번호를 업데이트하여 모든 공격자를 차단합니다. 이것은 다음 SQL 문을 통해 수행할 수 있습니다.
   

   update users set pass = concat(‘ZZZ’, sha(concat(pass, md5(rand()))));

3. 민감한 폴더에 대한 액세스를 거부합니다. .htaccess 파일을 만들어 이를 수행할 수 있습니다. 내부에. 이 파일에 다음 코드를 추가합니다.

   Order Deny,AllowDeny from allAllow from xx.xx.xx.xx

IP 주소로 xx.xx.xx.xx를 편집합니다. 더 많은 IP 주소를 추가하려면 다른 IP로 "허용..." 행을 반복하십시오. 이러한 코드 줄은 이러한 특정 폴더에 대한 원치 않는 액세스를 차단합니다.

사이트 백업

Magento 매장 정리를 시작하기 전에 먼저 백업을 만드십시오. 이 백업에는 기본 파일과 데이터베이스가 모두 포함되어야 합니다. 상점의 작동 방식과 모양을 정의하는 추가 파일이 있는 경우 해당 파일도 백업에 포함합니다. 명확히 하기 위해 코어, 확장 및 데이터베이스를 백업하십시오.

해킹 확인

도구 사용

백업을 만든 후 상점을 스캔하여 시작하십시오. 이제 웹 사이트가 감염되었는지 여부를 확인하는 수십 가지 무료 도구가 있습니다. Virustotal은 가장 인기 있는 도구입니다.

Google Search Console을 확인하여

도구 외에도 검색 엔진 보안 보고서도 도움이 될 수 있습니다. 웹마스터(Google의 경우 Google Search Console)에도 로그인하여 보안 보고서를 확인합니다. 다음의 간단한 단계에 따라 웹사이트가 감염되었는지 확인하십시오.

1. Google Search Console(웹마스터 도구)에 로그인
2. '보안 탭'으로 이동
3. 보고서를 확인합니다. 일반적으로 해킹된 웹 사이트는 검색 엔진에 의해 거의 즉시 플래그가 지정됩니다. 감염 유형과 감염을 포함하는 정확한 파일을 자세히 설명하는 보고서가 표시됩니다.

이제 실제로 감염이 있다는 것을 알았습니다. 정확한 위치를 찾아야 할 때입니다. Magento 해킹 제거 프로세스에서 대부분은 스캔에 들어간다는 것을 기억하십시오. 이제 코어 파일, 확장 파일, 모듈 파일, 데이터베이스 등에서 감염 여부를 찾아보겠습니다.

주 파일 스캔

해커는 데이터베이스와 코어 파일에 코드를 삽입하여 Magento 웹사이트를 손상시킬 수 있습니다. 따라서 이러한 파일에서 최근 알 수 없는 변경 사항을 확인해야 합니다. 명령을 실행하거나 diff 검사 도구를 사용하여 이를 수행할 수 있습니다. 그러나 귀하의 편의를 위해 다음 두 가지 방법을 나열하겠습니다.

SSH 명령줄 실행:

명령줄이 작동하려면 먼저 깨끗한 정품 버전의 Magento 스토어를 업로드해야 합니다. Magento 공식 웹사이트 또는 Github에서 쉽게 다운로드할 수 있습니다. 다음 명령은 이 두 복사본에 이상이 있는지 확인합니다.

$ mkdir magento-2.2.5

$ cd magento-2.2.5

$ wget https://github.com/magento/magento2/archive/2.2.5.tar.gz

$ tar -zxvf 2.2.5.tar.gz

$ diff -r 2.2.5 ./public_html

참고:이것은 Magento 2.2.5입니다. 자체 파일로 사용되며 현재 설치는 public_html 폴더로 표시됩니다.

diff 명령줄 실행:

최근에 수정된 파일은 해킹에 대비하여 항상 의심해 보아야 합니다. diff 명령은 정의된 기간 동안 파일에서 이러한 모든 변경 사항을 표시합니다. 예를 들어, 이 경우 기간을 10일로 설정했습니다(mtime -15 참조).
명령을 실행하는 방법은 다음과 같습니다.

1. Magento 웹 서버에 연결합니다.
2. SSH로 접속 시 다음 명령어를 실행합니다. 여기에는 지난 10일 간의 모든 변경 사항이 나열됩니다.

   $ find ./ -type f -mtime -10

3. SFTP에 액세스할 때 서버에 있는 모든 파일의 마지막 수정 날짜 열을 확인하세요.

이를 통해 지난 10일 동안 변경된 모든 목록을 얻을 수 있습니다. 아래에서 변경 사항을 수동으로 탐색할 수 있습니다.

사용자 로그 검토

다음으로 웹사이트 사용자를 확인합니다. 때때로 해커가 귀하의 웹사이트에 무단으로 액세스합니다. 그리고 그들은 자신을 사용자로 추가합니다. 이것이 사용자 계정을 감사해야 하는 이유입니다. 관리 테이블에서 불량 사용자를 찾아 삭제합니다. 이 계정을 삭제하면 웹사이트 손상을 확인하는 데 도움이 됩니다.

사용자 로그를 감사하려면 다음 단계를 따르세요.

1. 관리자 패널에 로그인
2. 시스템>권한>모든 사용자로 이동
3. 이 목록을 주의 깊게 확인하세요.

맬웨어 찾기

SQL 주입의 경우 공격자는 종종 사람이 읽을 수 없는 형식으로 코드를 난독화합니다. 그리고 Base64 형식은 공격자에게 매우 편리합니다. 파일에서 base64 코드를 검색하려면 다음 명령을 실행하십시오.

find . -name "*.php" -exec grep "base64"'{}'; -print &> hiddencode.txt

이 명령은 base64 eth로 인코딩된 코드 줄을 검색합니다. 그리고 hiddencode.txt 안에 저장하십시오. . 추가 분석을 위해 온라인 도구를 사용하여 이를 디코딩할 수 있습니다.

그러나 스팸 공격의 경우 phpMyAdmin과 같은 도구가 유용할 수 있습니다. Magento 스팸 공격에는 해킹된 모든 Magento 페이지에 삽입된 횡설수설이 포함됩니다. 쉽게 말해서 찾아내고 제거하는 것은 상당히 어렵습니다. 따라서 phpMyAdmin을 사용하여 한 번에 여러 페이지에서 악성 코드를 검사하는 것이 좋습니다.

Magento Security:파일 복원

악성코드가 노출되면 해킹된 Magento 페이지에서 제거하십시오. 코드가 확실하지 않으면 주석을 달고 전문가에게 문의하십시오. 백업에서 페이지를 복원합니다. 백업을 사용할 수 없는 경우 새 복사본을 사용하십시오.

Magento 해킹 방지

업데이트 및 백업

Magento 2로 마이그레이션합니다. Magento 팀은 모든 새로운 업데이트로 치명적인 결함을 업데이트합니다. 이는 변경 로그를 사용하여 확인할 수 있습니다. 또한 버그가 있는 코드를 포함할 가능성이 있으므로 선언되지 않은 확장을 사용하지 마십시오. 사이트의 사본을 만드십시오. 이것은 공격 후 사이트를 복원하는 데 유용할 수 있습니다. 업데이트와 백업은 Magento 매장을 보호하는 가장 저렴하고 효과적인 방법입니다.

Magento 보안에 대한 전체 단계별 가이드(동영상, 확장 프로그램, 코드 및 인포그래픽) (해킹 위험 90% 감소)

보안 감사

보안 감사는 공격으로부터 Magento 저장소를 보호할 수 있습니다. 모든 Magento 사용자가 보안 전문가가 될 수 있는 것은 아닙니다. 따라서 Astra와 같은 온라인 서비스를 사용하십시오. 이 외에도 Astra의 보안 감사 및 펜 테스트는 상점에 존재하는 심각한 위협을 발견할 수 있습니다. 이러한 취약점은 공격자가 악용하기 전에 패치할 수 있습니다!

Astra:Magento 맬웨어 스캐너 및 Magento 방화벽 플러그인

매월 Magento 전자상거래 솔루션에서 새로운 취약점이 발견됩니다. 한 달에 $9만 내면 사기와 맬웨어로부터 상점을 보호할 수 있습니다. 상점에 사용할 수 있는 방화벽을 구입하십시오. Astra는 클라우드에 배포된 즉시 사용 가능한 솔루션입니다. 이는 리소스 집약적인 바이러스 백신 솔루션을 사용하지 않고 매장을 보호한다는 것을 의미합니다. 또한 일반 사용자도 간단한 대시보드를 통해 Astra를 편안하게 조작할 수 있습니다. Magento Firewall 플러그인을 설치하는 것은 매우 쉽습니다. 여전히 알아낼 수 없다면 Astra 엔지니어가 해결해 드립니다. Astra Security Firewall은 매우 강력하고 확장 가능한 당신을 위한 올바른 선택입니다.

해킹된 Magento 스토어를 청소하고 복원하는 것은 때때로 혼란스럽고 힘들 수 있습니다. 이 모든 문제에 대한 해결책은 Astra와 같은 자동 도구입니다. Astra Magento 맬웨어 스캐너는 몇 분 안에 해킹된 사이트에서 여러 맬웨어 서명을 감지하고 제거할 수 있습니다. 또한 파일에 대해 걱정하지 마십시오. Astra에서 파일을 수정해 드립니다.

지금 Astra를 데모하세요!