Yazılım & İşletim SistemiOrta

Magento E-Ticaret Platformlarında SVG Tabanlı Kredi Kartı Hırsızlığı (Magecart) Analizi

Magento tabanlı mağazaları hedef alan ve 1x1 piksel boyutundaki SVG dosyaları içine gizlenmiş zararlı kodları tespit etme ve temizleme yöntemleri.

B
Bleeping Computer Tutorials
13 görüntülenme
Magento E-Ticaret Platformlarında SVG Tabanlı Kredi Kartı Hırsızlığı (Magecart) Analizi

Sorun Tanımı

Son dönemde Magento tabanlı e-ticaret sitelerine yönelik gerçekleştirilen siber saldırılarda, saldırganların kredi kartı bilgilerini çalmak için alışılagelmiş yöntemlerin ötesine geçtiği gözlemlenmiştir. Saldırganlar, .svg (Scalable Vector Graphics) dosyalarının içine JavaScript tabanlı zararlı kodlar enjekte ederek, bu dosyaları sitenin görünür bölümlerine veya arka plan scriptlerine yerleştirmektedir. 1x1 piksel boyutundaki bu dosyalar, güvenlik tarayıcıları ve site yöneticileri tarafından genellikle zararsız bir görsel olarak algılanmakta, ancak tarayıcıda çalıştırıldığında kullanıcı verilerini uzak bir sunucuya sızdırmaktadır.

Tespit ve Analiz Yöntemleri

Bu tür bir saldırıyı tespit etmek için sitenizdeki tüm SVG dosyalarını ve şüpheli dış kaynaklı scriptleri incelemeniz gerekmektedir. Aşağıdaki adımlar, zararlı içeriği bulmanıza yardımcı olacaktır.

  1. Sunucunuzdaki tüm .svg dosyalarını listeleyin ve boyutlarını kontrol edin.
  2. Şüpheli dosyaların içindeki kodları metin editörü ile inceleyin.
  3. <script> etiketleri içeren veya base64 ile kodlanmış SVG dosyalarını ayıklayın.

İnceleme Komutları

Linux tabanlı bir sunucuda aşağıdaki komutları kullanarak şüpheli dosyaları tarayabilirsiniz:

find /var/www/html -name "*.svg" -exec grep -l "script" {} +

Bu komut, içerisinde "script" ifadesi geçen tüm SVG dosyalarını listeleyecektir.

Çözüm ve Temizleme Adımları

Eğer sisteminizde zararlı bir SVG dosyası bulduysanız, vakit kaybetmeden aşağıdaki işlemleri gerçekleştirin:

  1. Zararlı dosyayı sunucudan tamamen silin.
  2. Magento veritabanındaki core_config_data tablosunda şüpheli URL referanslarını kontrol edin.
  3. Tüm yönetici paneli şifrelerini ve API anahtarlarını sıfırlayın.
  4. Dosya izinlerini gözden geçirin ve chmod komutu ile kısıtlayın.
İpucu: Sadece dosyaları silmek yeterli olmayabilir. Saldırganlar genellikle bir 'backdoor' bırakır. Bu nedenle, web sunucusu loglarını (access.log ve error.log) inceleyerek saldırının giriş noktasını (örneğin güncel olmayan bir eklenti) belirleyip yamalamanız hayati önem taşır.

Önleyici Tedbirler

Gelecekte benzer saldırılardan korunmak için Content Security Policy (CSP) politikalarını aktif edin. CSP, sitenizde çalışmasına izin verdiğiniz script kaynaklarını kısıtlayarak, saldırganların dışarıdan zararlı kod yüklemesini engeller.

İlgili Makaleler