eBay投資的電子商務(wù)系統(tǒng)Magento在全球范圍內(nèi)一共有超過240000個商家，是廣受贊譽的全球最優(yōu)秀的電子商務(wù)系統(tǒng)，然而就是這樣一個使用者眾多的平臺卻屢屢遭受黑客攻擊。

Sucuri的安全專家們發(fā)現(xiàn)異常針對Magento電商平臺的大量惡意軟件攻擊。這場攻擊行動也同時被Malwarebytes的研究人員們發(fā)現(xiàn)了，他們的研究方向主要是在客戶端側(cè)。

攻擊細節(jié)

攻擊者攻陷了運行Magento的網(wǎng)站，并注入了惡意代碼，在網(wǎng)站上顯示來自“guruincsite.com”域名的iframe。他們通過利用一個目錄遍歷漏洞攻擊Magento網(wǎng)站，這個漏洞存在于第三方的大量導(dǎo)入工具Magmi。

安全公司們都知道guruincsite域名，根據(jù)Google Safe Browsing的數(shù)據(jù)，這個域名已經(jīng)被用來感染8000多個域名。

Malwarebytes發(fā)布的博文中寫道：

“‘guruincsite’這個名字我們也很熟悉，因為這恰巧是neitrino行動中用來重定向的域名。我們發(fā)現(xiàn)，Sucuri在服務(wù)器端察覺到的攻擊與我們在客戶端看到的攻擊是同一次攻擊。”

專家們通過用來傳播Andromeda/Gamarue木馬從而觸發(fā)Flash播放器漏洞的Neutrino Exploit Kit發(fā)現(xiàn)了這場攻擊行動。

來自Sucuri的Denis Sinegubko解釋稱，Magento網(wǎng)站管理員們能夠通過檢查core_config_data表中的design/footer/absolute_footer來檢查網(wǎng)站是否被感染。

Sucuri博文中提到：

"惡意軟件通常會被注入在core_config_data表中的design/footer/absolute_footer中，但是我們還是建議對整個數(shù)據(jù)庫進行掃描，尋找形如‘function LCWEHH(XHFER1){XHFER1=XHFER1’的代碼或者‘guruincsite’域名。”

平臺屢遭攻擊

Magento電商平臺經(jīng)常被黑客們攻擊，僅今年就發(fā)生兩起攻擊事件。

今年4月，Magento被爆出遠程代碼漏洞。

今年6月，Magento支付平臺被植入惡意代碼，黑客可以借此竊取信用卡數(shù)據(jù)。