Безопасность WordPress – нежелательные Редиректы через зараженные файлы JavaScript

Ваш сайт перестали посещать пользователи? Браузер говорит, что сайт заражен? Поисковые системы исключат страницы из поиска? Мы поможем решить проблемы с вирусом на сайте.

С конца прошлого года, наблюдается устойчивый рост вредоносных кампаний, которые направлены, чтобы украсть конфиденциальную информацию и финансовые данные. Часто злоумышленники вставляют куски вредоносного кода в процессе корзине, позволяя им утечка номеров кредитных карт, платежные адреса и идентификационного номера. Главная цель-это один из самых известных в мире взлома – кражи и мошенничества.
Мы уже обсуждали в прошлом, как изображения могут быть использованы для того чтобы хранить личные данные и обойти другие сканеры безопасности. Сегодня мы внимательнее посмотрим на другой вариант в magento вредоносных программ, который был недавно обнаружен наша команда реагирования на происшествия.

Настройка


Наш клиент непропатченная версия magento и был обеспокоен проблемами, которые у него были с его интернет-магазин. Наш бесплатный Sitecheck сканер предупредил, что что-то случилось с его сайта. Из-за природы удаленные сканеры, более глубокое сканирование необходимо для того, чтобы найти проблему. Он приобрел тарифный план и активировать нашу платформу безопасности сайт, чтобы открыть запрос для удаления вредоносных программ и нашей командой поближе.
Как только серверные среды был отсканированных нашей командой, мы увидели вредоносного кода в платформе magento базы данных в таблице core_config_data. Эта Таблица известна исследователями Уязвимость magento, потому что он хранит значения конфигурации и часто злоупотребляют воров и кредитную карту с расхитителями.
Крючок
Внутри таблицы базы данных, наши скрипты предупредил нас, чтобы исследовать следующий код:
Этот код вызывает функцию Send()и буквенно-цифровым объекта:
Этот код выполняется каждый раз, когда текущая посетителя URL страницы содержит одно из следующих слов:
агентство проверка сайту onestep
Как вы можете себе представить, эти, как правило, совпадают с magento URL-адреса страницы для входа в систему и оформление заказа.
Так что это объектной переменной делаешь?
Более пристально взглянуть на код ниже (усе для ясности), мы можем наблюдать два важнейших параметра:
Вот расстройство того, что эти параметры делают:
Значение NULL в начале – это в итоге будет содержать утечка информации в формате URL-адреса
Новую переменную, где вредоносный сайт заявлен (с файл jpg). Это назначение утечка информации.
На момент написания этой статьи, что вредоносный сайт недоступен, а домен находится в черном списке США и другим (проверка VirusTotal здесь).
Возвращаясь к отправить() функция, мы можем наблюдать две части в сборе информации процесс на текущей странице:
Во-первых, код учитывает все элементы на странице, которые могли бы выявить “кнопку” и игнорирует другие формы элементов материалов. Далее, она придает eventlistener на эти кнопки, чтобы захватить “нажмите кнопку” событие.
После завершения сканирования страницы, он ищет все элементы формы на странице и придает eventlistener на “отправить” событие.
По существу, код является просмотр страницы и захват конфиденциальной информации инициирующие события при нажатии кнопки. Как только слушатель события видит пользователь, взаимодействуя с кнопку "Отправить", код готов поймать все данные, которые были введены.
Вы могли заметить .цлк добавляются к переменным для нажать и представить прослушивателей событий.
Пришло время проанализировать, что в цлк() функции:
Код, который используется для прослушивания нажмите данных от клиента.
Как вы можете себе представить, когда этот слушатель срабатывает, форма уже заполнена. Следующим шагом для злоумышленника является сбор информации с полей сами, и это именно то, что этот кусок кода делает.
Это достигается путем добавления имен полей и их значений в URL-адрес, обозначение для объекта СНД параметра.
Возвращаясь к отправить() функция, последний шаг-послать все это слил информацию (закодированную в base64 для облегчения перевозки). Наряду с этими данными, некоторые другие детали включены, чтобы помочь злоумышленнику определить, где это происходит. Для этого ID создается с использованием даты и времени, а также на сайте жертвы домен (доменное имя).
Вредоносный код, который отправляет все собранные данные на сервер злоумышленников.
В конце концов, скрипт формирует Post-запрос на вредоносный конечной точки. Это выглядит примерно так:
На информация параметр содержит просочилась информация от входа или страница оформления заказа (закодированных в base64) и хоста - это жертва сайту домен, где нападение происходит.
Остальную часть рассказа можно легко вывести. Большинство украденных кредитных карт и регистрационных данных часто используется в течение 24 часов или меньше.
Соответствие PCI и нарушения электронной коммерции
Когда вы владеете электронной коммерции магазин (сделанный использую magento, prestashop Тема, или других подобных CMS программного обеспечения) вы обязаны управлять очень конфиденциальной информации клиентов. Это включает в себя номера кредитных карт, физические адреса, логины, имена, идентификационные номера и многое другое.
Есть реальные люди, которые зависят от вашего сайта быть надежным и гарантировать, что информация будет использована надлежащим образом. Потеря доверия к онлайн-покупателей является разрушительным для многих предприятий. Если ваш сайт не соответствует стандартам PCI, вам может грозить штрафы и судебные иски.
Очень важно иметь хороший пакет безопасности, забота о среде-магазине, это хороший шаг на пути проявляя уважение к тем лицам, которые стоят за вашими продажами.
Для тех, кто использую magento, кто нуждается в помощи очистки заражения вредоносным по, у нас появился новый бесплатный руководство по ремонту в magento хаки.
Если вам нужна защита ваших сайтов, мы предлагаем брандмауэр веб-приложений (waf)в которых удовлетворяет первый PCI требование и твердеет вашего сайта для защиты своего клиента операции.





Заказать проверку сайта.
Надежная защита сайта от вирусов.
Доверить лечение сайтов можно только профессионалам.
Очистка сайта от вирусов.





Как очистить сайт от вирусов?

Отзывы наших клиентов

Немного о нас...

Мы c 2013 г. занимаемся профессиональным администрированием и обслуживанием сайтов крупных и малых компаний. Ежедневно защищаем сотни сайтов от вирусов, DoS/DDoS атак и многих других сегментов. Откуда возникло название нашей Компании? Stop - принудительная остановка, Virus - вредоносный организм (вредоносная программа), получается принудительная остановка вредоносных программ чем мы именно и занимаемся. Мы уверены, что у наших Клиентов должен быть лучший сервис по защите сайта. И Мы делаем для этого все. На этом мы строим наш бизнес, и именно поэтому наши Клиенты работают с нами годами. Мы решаем задачи, наши Заказчики видят результат.

ПОЧЕМУ ВЫБИРАЮТ НАС...


• Постоянная защита сайта от вирусов!
• Уже как три года успешно защищаем сайты от вирусов (Web-ресурсов).
• Быстро распознаем и находим вредоносный код.
• Лидеры по очистки сайтов от вирусов в РБ.
• Полная конфиденциальность (договор о защите данных).
• Доступные цены, ни каких переплат. Оплата в 2 этапа.
• Нам всегда можно дозвониться, некогда не пропадаем!
• 1 месяц гарантии на все проведённые работы.
• Жёсткое соблюдение сроков работы (так же имеется и срочная очистка)
• Если Вы нам очень понравитесь, мы предоставим Вам наши услуги бесплатно!