PrestaShop團(tuán)隊(duì)上周五發(fā)出緊急警告，有黑客正在針對使用PrestaShop平臺的網(wǎng)站，利用以前未知的漏洞鏈進(jìn)行代碼執(zhí)行，并很有可能在竊取客戶的支付信息。該團(tuán)隊(duì)建議用戶盡快對網(wǎng)站進(jìn)行相關(guān)安全審查。

該攻擊影響到的版本有PrestaShop 1.6.0.10或更高版本，以及1.7.8.2或更高版本，這些版本運(yùn)行了容易受到SQL注入的模塊，如Wishlist 2.0.0至2.1.0模塊。

攻擊細(xì)節(jié)

PrestaShop的團(tuán)隊(duì)目前還沒有確定這些漏洞存在的位置，并警告說，這些漏洞可能也是由第三方組件造成的。

為了進(jìn)行攻擊，攻擊者向一個(gè)易受攻擊的端點(diǎn)發(fā)送POST請求，然后向主頁發(fā)送一個(gè)無參數(shù)的GET請求，在根目錄下創(chuàng)建一個(gè) "blm.php "文件。blm.php文件似乎是一個(gè)網(wǎng)絡(luò)外殼，允許威脅者在服務(wù)器上遠(yuǎn)程執(zhí)行命令。

PrestaShop從許多觀察到的案例中發(fā)現(xiàn)，攻擊者使用這個(gè)網(wǎng)絡(luò)外殼在商店的結(jié)賬頁面上注入一個(gè)虛假的支付表單，并竊取客戶的支付卡信息。攻擊結(jié)束后，攻擊者會擦去他們的攻擊痕跡，以防止網(wǎng)站所有者意識到他們被入侵。

安全更新

如果攻擊者沒有完全清理掉攻擊證據(jù)的話，被攻擊的網(wǎng)站管理員能夠在網(wǎng)絡(luò)服務(wù)器的訪問日志中找到被入侵的跡象，例如改文件以附加惡意代碼和激活MySQL Smarty緩存存儲。

該功能默認(rèn)是禁用的，但PrestaShop表示已經(jīng)有黑客在攻擊時(shí)獨(dú)立啟用它的證據(jù)，所以建議用戶在不需要的情況下刪除該功能。

要做到這一點(diǎn)，找到文件 "config/smarty.config.inc.php "在您的商店和刪除以下行。

要從平臺組件中刪除的行

最后，將所有使用的模塊升級到最新的可用版本，并應(yīng)用最新發(fā)布的 PrestaShop 安全更新，版本 1.7.8.7。這個(gè)安全修復(fù)加強(qiáng)了MySQL Smarty緩存存儲，防止所有的代碼注入攻擊，對于那些想繼續(xù)使用的傳統(tǒng)功能。然而如果用戶的網(wǎng)站已經(jīng)被入侵，那么這次的應(yīng)用安全更新并不能補(bǔ)救這個(gè)問題。