OpenCart &Magento クレジット カード マルウェア ハックを削除する方法

Magento &OpenCart クレジット カードの乗っ取り

クレジット カード マルウェアまたはクレジット カード ハイジャックは、悪意のある PHP/JavaScript コードが Magento および OpenCart ショップに挿入され、ハッカーがクレジット カード データを傍受できるようにすることです。この新しいクレジット カード詐欺の手口は、6 か月間検出されていません。ハッカーが Magento Payment Security を標的にしたケースは数多くあります。

クレジット カード マルウェア ハイジャックとは?その症状は何ですか?

Magento や OpenCart などの e コマース プラットフォームの人気が高まるにつれて、マルウェア感染の事例も増加しています。ハッカーとサイバー犯罪者はコア ファイルを改ざんしています これらの CMS を使用して、店舗の顧客のクレジット カード情報を盗みます。この種のハッキングの症状のいくつかは次のとおりです:

• 顧客のクレジット カードが不正な取引に使用されている
• ストアでアイテムを購入しようとしたときのエラー
• チェックアウト プロセスが遅く、スタックする
• ウェブサイト上の不明なポップアップとメッセージ
• 管理エリアへのログインに時間がかかります

これは、ハッカーによって挿入された悪意のあるコードのスクリーンショットです

顧客がチェックアウト ページを表示すると、すべてのデータがエンコードされ、ハッカーのサーバーに送信されます。これは、エンコードされたクレジット カード マルウェア コードのスクリーンショットです

Payment Gateway ハックの結果

このハッキングは、主に Magento および OpenCart ストアを運営する e コマース ストアに影響を与える、非常に標的を絞ったものです。マルウェアは次の機密情報を取得し、ハッカーが管理するサーバーに送信します。 :

<オール>

クレジット カード (CC) 情報 <オール>

クレジット カード番号

クレジット カード セキュリティ コード (CVV)

有効期限

Magento 管理者のログイン アクティビティがハッカーに送信される

ユーザーの個人を特定できる情報 <オール>

アカウントのパスワード

お客様の IP アドレス

請求名

メール

住所

電話番号

生年月日

Magento/OpenCart ストアのサーバー情報

Web アプリケーション ファイアウォールは、e コマース ストアに必要なセキュリティです。 Web サイトに来るすべてのトラフィックを監視し、Web サーバーへの正当な要求のみを許可します。 Astra で今すぐ e コマース Web サイトを保護してください。

Magento/OpenCart ストアでのクレジット カード マルウェアのハッキングを修正する方法

ほとんどのマルウェア スキャナーはこの種のマルウェアを見逃すため、これは少し厄介です。その理由は、そのようなハッキングは非常に的を絞っており、ストアごとに異なる可能性があるためです.

クレジット カードの乗っ取り:ステップ 1:変更された可能性のあるコア システム ファイルを確認する

悪意のあるコードが見つかったファイルのリストをまとめました。サーバーにログインし、次のファイルが最近変更されていないか確認してください:

マジェント 1.9.X

• app/code/core/Mage/XmlConnect/Block/Checkout/Payment/Method/Ccsave.php
• app/code/core/Mage/Customer/controllers/AccountController.php
• app/code/core/Mage/Payment/Model/Method/Cc.php
• app/code/core/Mage/Checkout/Model/Type/Onepage.php

オープンカート 1.5 / 2.0

• catalog/controller/extension/payment/pp_payflow.php
• catalog/controller/extension/payment/pp_pro.php
• catalog/controller/extension/payment/authorizenet_aim.php
• catalog/controller/extension/payment/sagepay_us.php
• catalog/controller/extension/credit_card/sagepay_direct.php

PHP で cURL を使用して顧客の機密情報を送信する悪意のあるコードのスニペットを以下に示します。

クレジット カードの乗っ取り:ステップ 2:最近変更されたファイルを確認する

SSH 経由でウェブ サーバーにログインし、次のコマンドを実行して、最近変更されたファイルを見つけます。

find /path-of-www -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

このコマンドは、最近変更されたファイルへのパスを返します。それらをテキスト エディターで開き、疑わしいかどうかを確認します。ハッカーは、このリンク (https://smartnetworkclick.com/js/analytics.min.js ) でホストされているコードのように、コア ファイルに JS コードを挿入することがあります。

Astra のお客様であれば、悪意のあるファイルの変更について知らせるメールを受け取っているはずです。

クレジット カードの乗っ取り:ステップ 3:サーバー上の Web シェル、バックドア ファイルを検索する

サーバーへの継続的なアクセスを維持するために、ハッカーは Web シェルまたはバックドアをアップロードして、後の段階で新しい悪意のあるファイルをアップロードできるようにする可能性があります。上記の手順と同じように、SSH 経由でサーバーにログインし、次のコマンドを実行します。

find /var/www -name "*.php" -exec grep -l "$_FILES\[" {} \;

上記の検索で表示された各ファイルを開き、次のようなコードを探します:

クレジット カードの乗っ取りを防止し、ハッキングの原因を特定する手順

<オール>

OpenCart/WordPress ウェブサイトを最新バージョンに更新: CMS コアの既知のセキュリティ問題を修正する

ファイルのアップロードでマルウェアをスキャン: 悪意のあるシェル ファイルがサーバーにアップロードされないようにします。 (このモジュールは、Astra ダッシュボードで有効にすることができます)

管理者アカウントのユーザー名とパスワードを変更する: マルウェアのクリーンアップ後、ハッカーが Web サイトに引き続きアクセスできないようにする

データベース パスワードの変更: ハッカーがデータベースに直接接続できないなど

スキャン サーバー ログ (アクセスとエラー): ログに、ハッキングのソースと時刻を示す、見慣れないエラーや意味不明なエラーが見つかる場合があります

ウェブサイト ファイアウォールで今後の攻撃を防ぐ: Magento マルウェアの感染を防ぐもう 1 つのオプションは、Astra などの Web サイト ファイアウォールを使用することです。当社のセキュリティ スイートは、悪意のあるリクエストがウェブサイトに到達するのを防ぐことで、サイトを自動的に保護し、ソフトウェアに仮想パッチを適用するのに役立ちます。