电商避坑法则:卡片窃取器被注入网站该怎么办?

电商网站经常会出现卡片窃取器被注入网站,还不容易被察觉,不但很容易盗取了网站内部的数据,还很容易泄露客户资料,给客户带来麻烦,那么电商网站建站、电商定制开发如何规避卡片窃取器注入?卡片窃取器早期迹象有哪些?如何检查和清除?下面北京六翼信息技术有限公司的开发工程师针对以上问题给大家做了相关内容的整理。

 

ac4bd11373f08202cb9b9b8c24174be6aa641b6b

卡片窃取器被注入您的网站的早期迹象

卡片窃取器通常很难被发现。但是,与任何其他类型的恶意软件一样,它最终会在您看到一些网站遭到破坏的常见迹象时被识别出来。网站访问者会报告说他们看到了来自他们的防病毒软件或浏览器扩展的安全警告,而谷歌则通过放置“Deceptive Site Ahead”警告来介入。然而,在这一点上,可能为时已晚。

大多数企业主通常会忽视识别泄露漏洞的早期预警信号,甚至被他们的 IT 团队和托管服务提供商忽视。请记住,对网站运行方式的任何更改或对网站文件、文件权限或数据库表所做的任何更改都应立即引起注意。

您越快检测到对您网站的恶意入侵,您就能越快缓解问题并降低其影响。卡片分离器对站点的影响 3 小时远小于三天。因此,早期预警系统对于减少违规的法律后果至关重要。

如何通过 3 个步骤在您的电子商务网站上检测卡片窃取器

黑客牢记的最终目标是尽可能长时间地不被发现注入盗卡器,因此盗卡恶意软件通常可以伪装成合法代码。请按照以下三个步骤在您的网站上找到卡片分离器。

如果您运行的是电子商务网站,则在发生妥协时,卡片窃取器被注入商店结账页面的可能性非常高。在获得更多信息之前暂停任何支付处理是在尝试进行任何恶意软件补救之前缓解持续攻击的最佳方法。

第 1 步 检查您网站的结帐是否加载了任何可疑资源

由于大多数信用卡浏览器都是基于 JavaScript 的,因此它们会被浏览器和外部站点检查工具(例如 Google Search Console 或Sucuri Site Check)检测到。大多数时候,卡片窃取器的恶意软件只会加载到结帐页面或任何包含特定字符串(例如订单、购物车或帐户)的 URL 上。话虽这么说,但在网站上的许多地方都发现了刷卡软件,包括页脚文件、头文件或主题功能文件。

手动检查结账页面的源代码,看看是否有任何可疑的 JavaScript 文件是从粗略的资源中加载的。此代码可能被混淆以致难以理解,或者它可能指的是另一个不熟悉的网站。源代码还将显示直接注入网站文件的任何恶意 JavaScript 代码。由于此过程可能需要花费大量时间和精力,因此您可以求助于站点检查工具或尝试直接扫描您网站的数据库。

使用一些数据库管理软件,你可以用特定的字符串搜索你的数据库表。对于 WordPress,这些是 wp_options 和 wp_posts 表,而在 Magento 网站上,恶意 JavaScript 文件最有可能被注入到 core_config_data 表中。

虽然一些信用卡浏览器可以在没有脚本标签的情况下加载,但大多数仍会以传统方式嵌入到网页中。您可以使用以下命令搜索数据库表:

%script%src=%.js%script%

如果您不确定某个 JavaScript 文件是否构成安全威胁,请查看是否有安全供应商认为它是恶意的。如果您在结账页面上没有发现任何可疑的加载,则可能是基于 PHP 的卡片窃取器被注入,或者黑客将恶意软件伪装成合法代码做得很好。

第 2 步:扫描您的网站以查找恶意软件

运行恶意软件扫描以使用已知恶意软件签名分析网站文件在处理持续感染时非常有用。尽管现代恶意软件扫描可以帮助您识别大多数恶意代码,但如果黑客没有使用大量混淆,注入的卡片窃取程序就有可能被遗漏。您的托管帐户提供商通常可以成为使用最新恶意软件检测功能进行恶意软件扫描的重要事实来源。

步骤 3. 检查最近修改的文件

如果不是从欺诈网站加载,则可以将窃取卡片的恶意软件注入到您网站的文件中,包括主题、插件或扩展数据。检查您网站的脚本,按修改日期对它们进行排序,并将它们的内容与预期的内容进行比较。

手动扫描您的网站文件以查找恶意软件时,需要注意重度代码混淆。卡片窃取器通常会使用 atob() JavaScript 函数来解码数据,此类恶意软件通常使用该函数。基于 PHP 的卡片窃取程序通常利用 base64_decode() 和 base64_encode()。

然而,这通常仅在网站遭到破坏的初始阶段才有用。当恶意软件感染在一段时间内未得到解决时,由于插件和主题更新、内容上传和其他维护活动,恶意文件修改将更加难以发现。

恶意软件通常具有非标准文件权限,这也有助于检测卡片分离器。文件权限检查功能将帮助您识别任何异常情况并验证权限配置是否正确。