黑客使用回收的后门来控制被黑客攻击的电子商务服务器

2020-07-22 18:53:20

这是黑客的做法,他们最近入侵了一台运行开源电子商务平台Magento的服务器。为了防止在合法操作员发现漏洞时被锁在服务器之外的可能性,攻击者留下了一个简单但有效的脚本。

在肉眼看来,剧本很容易在无数其他Magento文件中遗漏。然而,检查其中的代码发现,它是一个后门,通过向服务器发送一个简单且看起来无害的Web请求来激活。这样,原本可能被从服务器启动的攻击者可以立即成为服务器管理员,不受约束地控制系统。

网站安全公司Sucuri的恶意软件分析师克拉西米尔·科诺夫(Krasimir Konov)最近发现了这个脚本,他说,这个脚本有92行,包括注释和空行,很有效,很容易被忽视。有一件事是不同的,那就是剧本不是新的。科诺夫说,这几乎是他在2012年第一次看到的代码的镜像副本,以及随后在2013年和2014年记录的样本的镜像副本。

科诺夫周二告诉我:“我的猜测是,有人太懒了,不敢写自己的剧本,所以他们只是从某个地方复制了这个剧本,并在他们的攻击中使用了它。”这些脚本同样有效,只需少量修改即可在较新版本的Magento上运行。

后门的有效性在于它的易用性。管理员密码和攻击者需要的所有其他内容都编码到脚本中。在黑客被弹出的情况下,所有需要做的就是将GET请求发送到脚本文件所在的位置。这样,攻击者就有了一个新的管理员帐户,该帐户使用他们选择的用户名、密码和电子邮件地址。

这个剧本还有一些其他的技巧来增加隐蔽性。新创建的管理员帐户将获得所有权限,这意味着它很可能成为网站的新管理角色。如果任何人检查Magento CMS内的管理员列表,这可能会隐藏用户。一旦创建了新的管理员帐户,脚本就会自行删除。

科诺夫说,他不确定攻击者是如何在他最近消毒的服务器上安装脚本的。因为Web服务器运行的是Magento 1.9.4.2,他怀疑他们利用了该版本中发现的许多漏洞中的一个(例如,这个或这个)。他说他不能确定,因为他没有进行法医分析。

在周二发布的一篇帖子中,科诺夫写道:“如果后门没有从网站环境中正确删除,文件可以保留下来,并被反复使用,以提升权限⁠添加新用户-特别是如果网站所有者没有意识到感染,或者认为只需将新用户从Magento中删除就足以防止未经授权的访问。”