חדשות מג'נטו

פרצת מעטפת כווקטור הדבקה חוזרת במג'נטו

אתר Sucuri מדווח על ווקטור הדבקה מחודשת של נוזקה באתרי מג'נטו באמצעות כניסות מעטפת - כניסות לאחר התראה להזנת שם משתמש וסיסמא.

האתר מדווח כי לאחרונה, מספר אתרי מג'נטו עמדו לפני הדבקה מחודשת של נוזקה אשר גונבת מספרי כרטיסי אשראי של לקוחות האתר. מדובר בהדבקה מחודשת שת הנוזקה בקבצי מג'נטו נפוצים בשימוש האקרים, אולם במקרים שנבדקו נמצא כי קבצים אלו אלו חוו שיעור גבוה של הדבקה מחודשת בנוזקה.

הדבקה המחודשת של הנוזקה מתבצעת לרוב על ידי שימוש בקובץ .bashrc - קובץ זה הינו סקריפט הנטען בכל פעם שמשתמש נכנס לחשבון אחסון האתר שלו מקומית או באמצעות SSH. יש לציין כי שם הקובץ (victim_install.js) משתנה בהתאם ליעד, כאשר victim מציין את שם הדומיין של אתר המג'נטו של קורבן התקיפה וההדבקה המחודשת בנוזקה.

שיטה זו להדבקה מחדש אינה נפוצה באופן כללי, אולם היא יעילה כאשר קיים מנגנון זמין לניהול קבצי אתר מג'נטו דרך SFTP או SSH. כאשר מתמודדים עם תוכנות זדוניות באתר, יש לזכור כי לא רק קבצי האתר או מסד הנתונים יכולים להכיל נוזקה, אלא כל חלק של השרשרת - משרת אחסון האתר ועד להגדרות האתר - הם נקודת סיכון. הדרך הטובה ביותר כדי למנוע סוג זה של הדבקה בנוזקה, היא לאבטח כראוי את חשבון ה- SSH ולשפר את האבטחה של שרת אחסון האתר.