Magento黑客使用简单的规避技巧，用恶意软件重新感染网站

因此，如果你已经清理了被黑客攻击的Magento网站，那么你的网站仍有可能向黑客泄露你客户的登录凭据和信用卡详细信息。

超过25万家网店使用开源的Magento电子商务平台，这使它们成为黑客的诱人目标，因此，您的数据和客户数据的安全性至关重要。

Sucuri的研究人员此前曾在野外发现过几次Magento恶意软件活动，他们表示，网络犯罪分子目前正在使用一种简单而有效的方法，确保他们的恶意代码在被删除后被添加回被黑客攻击的网站。

为了实现这一点，犯罪分子将他们的“信用卡盗窃者再注册器”代码隐藏在Magento网站的默认配置文件（config.php）中，该文件包含在主索引中。php并加载每个页面视图，最终将窃取者代码重新注入到网站的多个文件中。

从配置开始。php文件在安装Magento CMS时自动配置，通常不建议管理员或网站所有者直接更改此文件的内容。

以下是Magento的重新导入程序代码的工作原理

研究人员发现的重新感染者代码非常有趣，因为它的编写方式没有任何安全扫描程序能够轻松识别和检测它，而且对于未经培训的人来说，它看起来几乎没有恶意。

黑客在默认配置文件中额外添加了54行代码。下面，我已经逐行解释了恶意重新感染程序代码，如屏幕截图所示，它是在默认配置中编写的。php文件。

在第27行，攻击者将error_reporting（）函数设置为false，试图隐藏可能泄露恶意模块到站点管理员路径的错误消息。

从第31行到第44行，有一个名为patch（）的函数，它被编程为将窃取机密信息的恶意代码附加到合法的Magento文件中。

此patch（）函数使用4个参数，这些参数的值定义文件夹的路径、需要感染该路径中的特定文件名、检查是否需要重新感染给定文件所需的文件大小、要创建的新文件名，以及一个远程URL，恶意代码将从该URL实时下载并注入目标文件。

从第50行到第51行，攻击者巧妙地将base64_decode（）函数分成多个部分，以逃避安全扫描程序的检测。

第52行包括一个base64编码值，该值转换为“https://pastebin.com/raw/“使用第50-51行中定义的函数解码后。

从第54行到第76行的接下来四组变量定义了将参数传递给上述patch（）函数所需的四个值。

每组的最后一行包含一个随机的8个字符的值，该值与第52行中编码的链接变量连接在一起，最终生成最终的URL，patch（）函数将从该URL下载远程Pastebin网站上托管的恶意代码。

从第78行到第81行，攻击者最终使用第54-76行中定义的不同值执行四次patch（）函数，以向信用卡窃取者重新注册网站。

研究人员建议：“根据经验，在每一个怀疑发生泄露的Magento安装中，/includes/config.php应该被快速验证。”。

应该注意的是，类似的技术也可以用于基于其他内容管理系统平台（如Joomla和WordPress）的网站，以隐藏恶意代码。

由于攻击者通常首先利用已知的漏洞来破坏网站，因此始终建议用户使用最新的安全补丁更新其网站软件和服务器。