Bescherm je shop tegen Visbot malware


Tags: abusebeveiligingHypernodeMagentomagereportSecurity

Visbot is specifieke malware die je terugvindt bij gehackte Magento shops. Visbot werd in maart 2015 voor het eerst ontdekt. Eind 2016 zijn er zo’n 7000 Magento shops gevonden met de malware.

In dit artikel leggen we uit wat deze malware precies is/doet en hoe je dit kunt oplossen.

Wat is Visbot malware?

De malware onderschept allerlei POST requests naar de shop (denk hierbij aan wachtwoord en betaalinformatie), versleutelt dit met encryptie en slaat dit op in een bestand. Dit bestand is een verborgen bestand en kun je niet makkelijk vinden op je webruimte. Vervolgens wordt het gebruikt door criminelen om informatie te verzamelen en deze door te verkopen aan derden.

Wat zijn de consequenties van Visbot?

Visbot is dus een symptoom van een gehackte shop en kan betekenen dat criminelen toegang hebben gehad tot jouw shop. De kans is groot dat je shop gehackt is via een van de eerder vermelde lekken in Magento.

Op ons Hypernode platform hebben we onze systemen zo ingesteld, dat er geen misbruik gemaakt kan worden van Visbot malware. Staat je Magento shop op ons Hypernode platform? Dan ben je beschermd.

Hoe kan ik dit zelf zien?

De Visbot malware is verstopt in het bestand app/Mage.php of includes/config.php . We zijn hier ook nog andere bestanden tegengekomen:

/media/mage.jpg
/media/catalog/category/<various files>
/skin/adminhtml/default/default/images/accordion_open_bg.gif
/skin/adminhtml/default/default/images/btn_gr_on_bg.gif
/skin/adminhtml/default/default/images/notice-msg_bg.png
/skin/adminhtml/default/default/images/sort-arrow-down_bg.png
/skin/adminhtml/default/default/images/side_col_bg_bg.gif
/skin/adminhtml/default/default/images/left_button_back.gif

Wil je checken of er in jouw bestanden ook Visbot malware verstopt is? Gebruik dan het volgende commando via SSH:

grep -r Visbot --include='*.php' /my/document/root

Je kunt dit ook checken via een gespecialiseerde Magento malware scanner.
Daarnaast kun je ook op MageReport (specifieke check onder Security) kijken of de malware nog actief wordt gebruikt.

Je kunt ook dit commando gebruiken om het te controleren:

curl -H 'User-Agent: Visbot/2.0 (+http://www.visvo.com/en/webmasters.jsp;bot@visvo.com)' http://my-site.com

Als je als resultaat Pong krijgt dan weet je dat de malware nog steeds actief wordt gebruikt.

Hoe herstel ik mijn Magento shop?

Als er Visbot malware verstopt is in de bestanden van je Magento shop, betekent dit dat je site eerder is gehackt. Het is belangrijk om je shop zo snel mogelijk te herstellen. Gebruik hiervoor het kennisbank artikel Herstel Magento shop na hack .

Heb je een Hypernode pakket? Onze filters blokkeren alle bestaande acties richting die malware bestanden maar kijk alsnog of je de malware kunt verwijderen.

 

0