חדשות מג'נטו

אתר SUCURI מדווח על לקוח של החברה אשר דיווח כי לקוחותיו קיבלו אזהרות אנטי וירוס כאשר ניסו לרכוש מוצרים מאתר מסחר אלקטרוני של מג'נטו. הצוות הטכני של SUCURI החל בחקירה ולהלן הממצאים. 

 

כמקובל בחקירות של גניבת פרטי כרטיסי אשראי מאתרי מסחר מג'נטו, הסריקות הראשונות של SUCURI לא העלות חשדות כלשהן. גם בדיקת קבצי הליבה ובדיקת קבצים ששונו לאחרונה לא העלתה דבר.

 

השלב הבא היה לבדוק את בסיס הנתונים של מג'נטו, אליו נפוצות הזרקות סקריפטים זדוניים. יש לציין כי בעלי אתרי מג'נטו עלולים להירתע מבדיקת בסיס הנתונים - בדיקה אשר יכולה להיראות בהתחלה כמשימה לא פשוטה מכיוון שבסיס הנתונים של אתר מסחר מג'נטו יכול להגיע לנפחים עצומים. עם זאת, ברוב המקרים ניתן לצמצם את הבדיקה לשתי טבלאות בסיסיות פשוטות: core_config_data ו- cms_block: נוזקה או קבצים זדוניים יתגלו כמעט תמיד על ידי תגי פתיחה וסגירה של ג'וואה סקריפט: <script> </script>.

 

הבחינה העלתה כי במקרה הנוכחי הוכנסו למעלה מ- 18,000 שורות ריקות לפני תג <script> על מנת להסוות את הסקריפט בתוך רובריקת miscellaneous scripts אשר ממוקמת ב- System → Configuration → Design.המספר הגדול של שורות ריקות בטבלת בסיס הנתונים למעשה מכריחה את מנהל אתר מג'נטו לגלול את תיבת הטקסט על מנת לגלות את הסקריפט שהוזרק לטבלת בסיס הנתונים. כמו כן, הקובץ שנטען אינו למעשה JavaScript (או כך לפחות נראה במבט ראשון), אלא למעשה קובץ CSS. זה אולי נראה מוזר שהאקרים ינסו לטעון תוכן CSS באמצעות תגי JavaScript, אך קובץ ה- CSS הזה הכיל פקודות תקשורת עם אתר זדוני אשר במהלך טרפוד שלב התשלום בקופה, העביר פרטי כרטיסי אשראי של לקוחות חנות המסחר.