Invasores usam backdoor para manter acesso a site hackeado

O raio parece ter caído duas vezes no mesmo lugar para a plataforma open source de comércio eletrônico Magento. Mesmo após uma "limpeza" no sistema, que bloqueou o acesso de hackers que haviam invadido recentemente o seu servidor, a empresa voltou a sofrer novos ataques cibernéticos. Desta vez, os atacantes utilizaram um backdoor (uma porta de acesso - não autorizada - ao sistema) em um script. Composto por 92 linhas, o script escondia um backdoor - recurso capaz de realizar comandos não-autorizados em servidores — que enviava uma solicitação de novo usuário ao sistema. Os comandos eram simples como "definir e-mail " e "definir novo usuário".Com isso, uma nova conta com status de administrador era criada. Ou seja, hackers que haviam sido banidos não só conseguiam retomar o acesso ao servidor, mas também ganhavam controles irrestritos ao sistema. O script também dificultava a localização do invasor, uma vez que a nova conta de administrador criada podia ser ocultada da lista de gerenciadores do site.Krasimir Konov, analista de malware da Sucuri, foi o responsável pela descoberta do script. Segundo ele, apesar de ser uma cópia de códigos vistos em casos mais antigos, o script continua sendo efetivo. "Esses scripts são igualmente eficazes, com poucas modificações necessárias para trabalhar nas versões mais recentes do Magento”, disse Konov.script01e43f5e5aecdab3.jpgSegundo Konov, script era similiar a códigos datados de 2012 à 2014. Foto: Unsplash PreocupaçãoO analista diz não ter certeza de como os hackers conseguiram instalar o script no servidor já "limpo" recentemente. A suspeita é que a invasão tenha sido feita pela versão Magento 1.9.4.2, caracterizada por apresentar muitas vulnerabilidades.Konov alerta ainda que se o backdoor não seja removido adequadamente do sistema, os casos voltarão a aparecer e mais invasores terão acessos irrestritos ao servidor. Via: Ars Technica

from Olhar Digital :: Segurança https://ift.tt/332J5F6