当前位置:首页 > 网站入侵 > 正文内容

近 2000 家 Magento 1 店遭到黑客攻击

访客4年前 (2020-09-14)网站入侵1040

2020年9月12日至13日,全球近2000家Magento 1店遭到黑客攻击,这是迄今为止规模更大的一次有记录的活动。这是一个典型的Magecart攻击:注入的恶意代码将截获不受怀疑的商店客户的付款信息。被检查的商店发现运行Magento版本1,该版本于去年6月宣布停止使用。

Sansec早期漏洞检测系统监控全球电子商务领域的安全威胁,检测到1904个不同的Magento商店,在结账页面上有一个独特的键盘记录(skimmer)。9月11日,有10家商店被感染,12日是1058家,13日是603家,14日是233家。

另请阅读:Adobe与Sansec合作,以提高Magento平台的安全性。

这项自动化活动是Sansec自2015年开始监测以来发现的更大规模的活动。此前的纪录是去年7月一天内有962家店铺被黑客入侵。本周末事件的规模之大说明了 *** 浏览的复杂性和盈利能力的提高。犯罪分子已经越来越自动化他们的黑客操作,以运行 *** 掠取计划在尽可能多的商店。

据Sansec估计,上周末,数万名顾客的私人信息通过其中一家受损商店被盗。

Magento exploit $ 5000

在此之前,许多受害商店没有发生过类似的安全事故。这表明攻击者使用了一种新的攻击 *** 来获得这些存储的服务器(写)访问权限。虽然我们仍在调查确切的原因,但这次活动可能与最近几周前上市的Magento 10天(漏洞利用)有关。

用户z3r0day在一个黑客论坛上宣布以5000美元的价格出售Magento 1“远程代码执行”攻击 *** ,包括指令视频。据称,不需要事先的Magento管理员帐户。z3r0day强调,由于Magento 1已经过时,Adobe不会提供官方补丁来修复这个漏洞,这使得这个漏洞对使用传统平台的店主造成了额外的伤害。

为了使交易更加顺利,z3r0day承诺只出售10份危险漏洞利用程序。

根据Sansec的实时数据,截至今天,仍有大约9.5 万家Magento 1商店仍在营业。

官方PCI要求在服务器上使用恶意软件和漏洞扫描程序,如Sansec的eComscan。Sansec还建议订阅替代的Magento 1补丁程序支持,例如Mage One提供的支持。

更新:攻击 ***

截至周一,Sansec正在对两台受感染的服务器进行调查。攻击者使用IP 92.242.62.210(美国)和91.121.94.121(OVH,FR)与Magento管理面板进行交互,并使用“Magento Connect”功能下载和安装各种文件,包括名为的恶意软件mysql.php。将恶意代码添加到后,该文件已自动删除prototype.js。

2020-09-14T09:57:06  92.242.62.210  GET /downloader/ HTTP/1.1

2020-09-14T09:57:09  92.242.62.210  POST /downloader/ HTTP/1.1

2020-09-14T09:57:09  92.242.62.210  GET /index.php/admin/?SID=XXXX HTTP/1.1

2020-09-14T09:57:10  92.242.62.210  GET /index.php/admin/dashboard/index/key/<hash>/ HTTP/1.1

2020-09-14T09:57:13  92.242.62.210  GET /index.php/admin/system_config/index/key/<hash>/ HTTP/1.1

2020-09-14T09:57:15  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1

2020-09-14T09:57:19  92.242.62.210  POST /index.php/admin/system_config/save/section/dev/key/<hash>/ HTTP/1.1

2020-09-14T09:57:20  92.242.62.210  GET /index.php/admin/system_config/edit/section/dev/key/<hash>/ HTTP/1.1

2020-09-14T09:57:22  92.242.62.210  GET /index.php/admin/import/index/key/<hash>/ HTTP/1.1

2020-09-14T09:57:25  92.242.62.210  POST /index.php/admin/import/validate/key/<hash>/ HTTP/1.1

2020-09-14T09:57:25  92.242.62.210  GET /downloader/ HTTP/1.1

2020-09-14T09:57:28  92.242.62.210  POST /downloader/index.php?A=connectInstallPackageUpload&maintenance=1&archive_type=0&backup_name= HTTP/1.1

2020-09-14T09:57:29  92.242.62.210  GET /downloader/index.php?A=cleanCache HTTP/1.1

2020-09-14T09:57:31  92.242.62.210  GET /mysql.php HTTP/1.1

WEB服务器的日志显示,周末有很多人试图安装文件,可能是为了安装改进版的skimmer。

撇渣器分析:mcdnn.net

对于受影响的Magento 1商店,已将加载的撇渣器添加到文件prototype.js中,这是标准Magento安装的一部分。

该//mcdnn.net/122002/assets/js/widget.js服务根据其包含在哪个页面上来提供动态内容。仅当从结帐页面中引用时,它才会提供恶意的按键记录日志代码:

实际付款将被泄露到莫斯科托管的站点https://imags.pw/502.jsp,该站点与mcdnn.net域在同一 *** 上。

稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理,

转载请注明“转自 HackerNews.cc ” 并附上原文链接。

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32776.html

“近 2000 家 Magento 1 店遭到黑客攻击” 的相关文章

乌克兰安全研究人员吐槽 HackerOne 漏洞赏金平台不让提取资金

在俄乌冲突于 2 月下旬爆发后,许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法,却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉,HackerOne 正在阻止他们提取漏洞赏金,甚至有人被截留了数千美元。 由 Hacker...

Android 被爆安全漏洞 根源是苹果的无损音频编解码器

近日 Android 设备被爆存在安全漏洞,但根源来自于苹果的无损音频编解码器(ALAC)。目前,美国市场 95% 的 Android 设备来自于高通和联发科,安全公司 Check Point 指出尚未安装 2021 年 12 月 Android Security Patch 的设备都存在“Out-...

美政府提醒区块链行业警惕 Lazarus Group 加密货币木马应用程序

在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...

[网络研讨会]非多即善: 解决告警过载

Hackernews 编译,转载请注明出处: 网络攻击的数量和复杂程度日益增加,自然而然地促使许多公司使用更多的网络安全技术。我们知道加强威胁检测能力对于保护是必要的,但是他们也导致了几个意外后果。“越多并不总是越好”的格言非常适合这种情况。 网络安全公司 Cynet 即将举行的一...

研究人员揭示 EV 充电站管理系统的脆弱性并提出保护建议

随着道路上电动汽车数量的增加,对电动汽车(EV)充电站和这些充电站内基于互联网的管理系统的需求也在增加。然而这些管理系统面临着自己的问题:网络安全攻击。 资料图 UTSA网络安全和分析中心主任Elias Bou-Harb及其同事–迪拜大学的Claud Fachkha和蒙特利尔康科迪亚大学的Tony...

新的跨平台 &#8220;SysJoker&#8221; 后门同时影响 macOS、Windows、Linux

据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。 这一发现是...

评论列表

酒奴卮酒
3年前 (2022-05-30)

w/502.jsp,该站点与mcdnn.net域在同一网络上。稿件与封面来源:Sansec,译者:芋泥啵啵奶茶。本文由 HackerNews.cc 翻译整理,转载请注明“转自 HackerNews.cc ” 并附上原文链接。

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。