eBay投資的電子商務(wù)系統(tǒng)Magento在全球范圍內(nèi)一共有超過(guò)240000個(gè)商家，是廣受贊譽(yù)的全球最優(yōu)秀的電子商務(wù)系統(tǒng)，然而就是這樣一個(gè)使用者眾多的平臺(tái)卻屢屢遭受黑客攻擊。

Sucuri的安全專家們發(fā)現(xiàn)異常針對(duì)Magento電商平臺(tái)的大量惡意軟件攻擊。這場(chǎng)攻擊行動(dòng)也同時(shí)被Malwarebytes的研究人員們發(fā)現(xiàn)了，他們的研究方向主要是在客戶端側(cè)。

攻擊細(xì)節(jié)

攻擊者攻陷了運(yùn)行Magento的網(wǎng)站，并注入了惡意代碼，在網(wǎng)站上顯示來(lái)自“guruincsite.com”域名的iframe。他們通過(guò)利用一個(gè)目錄遍歷漏洞攻擊Magento網(wǎng)站，這個(gè)漏洞存在于第三方的大量導(dǎo)入工具M(jìn)agmi。

安全公司們都知道guruincsite域名，根據(jù)Google Safe Browsing的數(shù)據(jù)，這個(gè)域名已經(jīng)被用來(lái)感染8000多個(gè)域名。

Malwarebytes發(fā)布的博文中寫道：

“‘guruincsite’這個(gè)名字我們也很熟悉，因?yàn)檫@恰巧是neitrino行動(dòng)中用來(lái)重定向的域名。我們發(fā)現(xiàn)，Sucuri在服務(wù)器端察覺到的攻擊與我們?cè)诳蛻舳丝吹降墓羰峭淮喂簟?rdquo;

專家們通過(guò)用來(lái)傳播Andromeda/Gamarue木馬從而觸發(fā)Flash播放器漏洞的Neutrino Exploit Kit發(fā)現(xiàn)了這場(chǎng)攻擊行動(dòng)。

來(lái)自Sucuri的Denis Sinegubko解釋稱，Magento網(wǎng)站管理員們能夠通過(guò)檢查core_config_data表中的design/footer/absolute_footer來(lái)檢查網(wǎng)站是否被感染。

Sucuri博文中提到：

"惡意軟件通常會(huì)被注入在core_config_data表中的design/footer/absolute_footer中，但是我們還是建議對(duì)整個(gè)數(shù)據(jù)庫(kù)進(jìn)行掃描，尋找形如‘function LCWEHH(XHFER1){XHFER1=XHFER1’的代碼或者‘guruincsite’域名。”

平臺(tái)屢遭攻擊

Magento電商平臺(tái)經(jīng)常被黑客們攻擊，僅今年就發(fā)生兩起攻擊事件。

今年4月，Magento被爆出遠(yuǎn)程代碼漏洞。

今年6月，Magento支付平臺(tái)被植入惡意代碼，黑客可以借此竊取信用卡數(shù)據(jù)。