Взлом магазина на WebAsyst ShopScript и шантаж

Хакеры снова активно эксплуатируют уязвимость “движка” интернет-магазина WebAsyst ShopScript старых версий.

Результатом работы шантажистов является дефейс, при котором на странице остается только контактный email хакера.

За последнюю неделю к нам обратилось несколько владельцев интернет-магазинов с одинаковой историей: злоумышленник уничтожает базу данных сайта, изменяет шаблон стартовой страницы, вписывая в него свой email (сейчас это pavel.websupport@yandex.ru), после чего начинает шантажировать по email владельца, требуя компенсацию за восстановление базы и якобы закрытие найденной уязвимости.

Успешная атака на интернет-магазин становится возможной при наличие двух компонентов:

  1. доступности файла кэша настроек WebAsyst ShopScript через веб (в файле хранится логин и пароль в открытом виде)
  2. установленного на хостинге phpmyadmin или аналогичного инструмента для работы с базой данных

Взлом интернет-магазина происходит следующим образом: хакер извлекает логин и пароль от базы данных, получает доступ к админ-панели интернет-магазина, редактирует шаблоны страниц (например, выполняет дефейс) и удаляет базу данных для иллюстрации того, что он взял сайт под контроль.

В качестве превентивной меры рекомендуем всем владельцам магазинов на версиях WebAsyst ShopScript 3 и 4

  1. сделать резервную копию базы данных и файлов, и сохранить ее вне хостинга
  2. сменить пароли от базы данных, FTP, SSH, панели хостинга
  3. запретить доступ к файлам в каталоге ./temp/, а также всех вложенных каталогах. На большинстве хостингов для этого достаточно положить файл .htaccess в каталог temp и все вложенные в него каталоги:

    Order Deny,Allow
    Deny from All

Если у вас VPS сервер, рекомендуем также ограничить доступ к phpMyAdmin и проверить, нет ли в корневом каталоге файлов adminer.php, sxd.php, dumper.php, которые любят оставлять разработчики и веб-мастера для удобства администрирования базы данных.

В случае возникновения проблем, вы всегда можете обратиться к нам в “Ревизиум” за оперативной помощью.