Nowości

Hakerzy wykorzystują odzyskane tylne drzwi, aby utrzymać kontrolę nad zhakowanym serwerem e-commerce

Hakerzy wykorzystują odzyskane tylne drzwi, aby utrzymać kontrolę nad zhakowanym serwerem e-commerce

Kto potrzebuje lepszej pułapki na myszy, kiedy stara jest w porządku?

Takie było podejście hakerów, którzy niedawno włamali się na serwer z otwartą platformą handlu elektronicznego Magento. Aby uchronić się przed możliwością zablokowania dostępu do serwera w przypadku wykrycia naruszenia przez prawowitych operatorów, atakujący pozostawili prosty, ale skuteczny skrypt.

Gołym okiem łatwo było przeoczyć skrypt wśród niezliczonych innych plików Magento. Jednak badanie kodu wewnątrz ujawniło, że był to backdoor, który został aktywowany przez wysłanie do serwera prostego i niewinnie wyglądającego żądania internetowego. Dzięki temu osoba atakująca, która w przeciwnym razie mogłaby zostać wyrzucona z serwera, mogłaby natychmiast zostać administratorem serwera z nieograniczoną kontrolą nad systemem.

Skrypt – zawierający 92 wiersze, w tym komentarze i puste wiersze – jest skuteczny i łatwy do przeoczenia – powiedział Krasimir Konov, analityk złośliwego oprogramowania w firmie zajmującej się bezpieczeństwem witryn internetowych, Sucuri, który niedawno go zauważył. Jedna rzecz, której skrypt nie jest, jest nowa. Konov powiedział, że jest to prawie lustrzana kopia kodu, który zobaczył po raz pierwszy w 2012 roku, a następnie próbek udokumentowanych później w 2013 i 2014 roku.

„Domyślam się, że ktoś był zbyt leniwy, aby napisać własny scenariusz, więc po prostu skądś go skopiowali i wykorzystali w swoich atakach” – powiedział mi Konov we wtorek. „Te skrypty są równie efektywne, z niewielkimi modyfikacjami wymaganymi do pracy z nowszymi wersjami Magento”.

Skuteczność backdoora to łatwość użycia. Hasło administratora i wszystko inne, czego potrzebuje osoba atakująca, jest zakodowane w skrypcie. Wszystko, czego potrzeba, w przypadku wyrzucenia hakera, to wysłanie żądania Get do lokalizacji pliku skryptu. Dzięki temu osoba atakująca ma nowe konto administratora, które korzysta z wybranej przez siebie nazwy użytkownika, hasła i adresu e-mail.

Skrypt ma kilka innych sztuczek, które zwiększają ukrywanie się. Nowo utworzone konto administratora uzyskuje wszystkie prawa, co oznacza, że ​​prawdopodobnie stanie się nową rolą administracyjną dla witryny internetowej. Może to spowodować ukrycie użytkownika, jeśli ktoś sprawdzi listę administratorów w Magento CMS. Po utworzeniu nowego konta administratora skrypt usuwa się.

Oto zdjęcia i krótkie opisy skryptu:

Konov powiedział, że nie jest pewien, w jaki sposób atakującym udało się zainstalować skrypt na serwerze, który niedawno wyleczył. Ponieważ na serwerze internetowym działał Magento 1.9.4.2, podejrzewa, że ​​wykorzystali jedną z wielu luk w tej wersji (na przykład tej lub tej). Powiedział, że nie może być pewien, ponieważ nie przeprowadził analizy kryminalistycznej.

Jednak backdoor się tam dostał, jego dalsze używanie sugeruje, że nadal działa.

W opublikowanym we wtorek poście Konov napisał: „Jeśli backdoor nie zostanie prawidłowo usunięty ze środowiska witryny, plik może pozostać i może być używany w kółko do dodawania nowych użytkowników z podwyższonymi uprawnieniami⁠ – zwłaszcza jeśli właściciel witryny nie jest tego świadomy infekcja lub uważa, że ​​samo usunięcie nowego użytkownika z Magento wystarczy, aby zapobiec nieautoryzowanemu dostępowi. ”

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook