黑客使用回收的后门来控制被黑客攻击的电子商务服务器

这是黑客的做法，他们最近入侵了一台运行开源电子商务平台Magento的服务器。为了防止在合法操作员发现漏洞时被锁在服务器之外的可能性，攻击者留下了一个简单但有效的脚本。

在肉眼看来，剧本很容易在无数其他Magento文件中遗漏。然而，检查其中的代码发现，它是一个后门，通过向服务器发送一个简单且看起来无害的Web请求来激活。这样，原本可能被从服务器启动的攻击者可以立即成为服务器管理员，不受约束地控制系统。

网站安全公司Sucuri的恶意软件分析师克拉西米尔·科诺夫(Krasimir Konov)最近发现了这个脚本，他说，这个脚本有92行，包括注释和空行，很有效，很容易被忽视。有一件事是不同的，那就是剧本不是新的。科诺夫说，这几乎是他在2012年第一次看到的代码的镜像副本，以及随后在2013年和2014年记录的样本的镜像副本。

科诺夫周二告诉我：“我的猜测是，有人太懒了，不敢写自己的剧本，所以他们只是从某个地方复制了这个剧本，并在他们的攻击中使用了它。”这些脚本同样有效，只需少量修改即可在较新版本的Magento上运行。

后门的有效性在于它的易用性。管理员密码和攻击者需要的所有其他内容都编码到脚本中。在黑客被弹出的情况下，所有需要做的就是将GET请求发送到脚本文件所在的位置。这样，攻击者就有了一个新的管理员帐户，该帐户使用他们选择的用户名、密码和电子邮件地址。

这个剧本还有一些其他的技巧来增加隐蔽性。新创建的管理员帐户将获得所有权限，这意味着它很可能成为网站的新管理角色。如果任何人检查Magento CMS内的管理员列表，这可能会隐藏用户。一旦创建了新的管理员帐户，脚本就会自行删除。

科诺夫说，他不确定攻击者是如何在他最近消毒的服务器上安装脚本的。因为Web服务器运行的是Magento 1.9.4.2，他怀疑他们利用了该版本中发现的许多漏洞中的一个(例如，这个或这个)。他说他不能确定，因为他没有进行法医分析。

在周二发布的一篇帖子中，科诺夫写道：“如果后门没有从网站环境中正确删除，文件可以保留下来，并被反复使用，以提升权限⁠添加新用户-特别是如果网站所有者没有意识到感染，或者认为只需将新用户从Magento中删除就足以防止未经授权的访问。”