magento'da polyshell saldırıları başladı, mağazaların yarısından fazlası hedefte

Posted on 26 Mar 2026

arkadaşlar, e-ticaret dünyasında ciddi bir durum var. magento open source ve adobe commerce kullanan mağazalara yönelik polyshell denen bir zafiyet üzerinden saldırılar başlamış. kötü tarafı şu: zafiyet bulunan mağazaların %56’sı şu an hedef alınıyor. yani bu iş şaka değil, aktif saldırı var ortada.

ne oluyor yani?

polyshell zafiyeti, magento 2.x versiyonlarında bulunan ve saldırganlara uzaktan kod çalıştırma (rce) imkanı veren bir açık. yani kısacası, saldırgan sunucunuzda istediği komutu çalıştırabiliyor. spoiler: bu çok kötü bir şey.

saldırganlar bu açığı kullanarak web shell yüklüyor, arka kapı bırakıyor ve mağaza verilerine erişim sağlıyor. kredi kartı bilgileri, müşteri verileri, admin paneli erişimi… hepsi tehlikede.

kimler etkileniyor?

SistemDurum
Magento Open Source 2.x🔴 Etkileniyor
Adobe Commerce 2.x🔴 Etkileniyor
Magento 1.x (EOL)⚠️ Zaten güncelleme almıyor
Güncel yamalı sistemler✅ Güvende

edit: magento 1.x kullanıyorsanız zaten başka dertleriniz var, o ayrı konu.

teknik detaylar

saldırganlar genelde şu adımları izliyor:

  1. zafiyet taraması yapıyorlar (shodan, censys gibi araçlarla)
  2. polyshell açığını sömürüyorlar
  3. web shell yüklüyorlar (genelde php dosyası olarak)
  4. kalıcılık sağlamak için arka kapı bırakıyorlar
  5. veritabanına erişip kredi kartı bilgilerini çalıyorlar

CVSS skoru tam olarak açıklanmamış ama uzaktan kod çalıştırma olduğu için 9.0+ civarında olduğunu tahmin edebiliriz. yani kritik seviye, acil yamala demek.

hemen yapmanız gerekenler

arkadaşlar, boş durmayın. şunları yapın:

# 1. önce magento versiyonunuzu kontrol edin
php bin/magento --version

# 2. yedek alın (önce bu, sonra her şey)
mysqldump -u kullanici -p veritabani > backup_$(date +%Y%m%d).sql
tar -czf magento_backup_$(date +%Y%m%d).tar.gz /var/www/html/magento/

# 3. güncellemeyi yapın (composer üzerinden)
composer require magento/product-community-edition --no-update
composer update

# 4. magento'yu upgrade edin
php bin/magento setup:upgrade
php bin/magento setup:di:compile
php bin/magento setup:static-content:deploy -f
php bin/magento cache:flush

# 5. dosya bütünlüğünü kontrol edin
php bin/magento setup:db:status

dikkat: önce test ortamında deneyin bu işlemleri. canlı ortamda direkt yapmayın, sonra site çökerse bana sormayın.

şüpheli dosya kontrolü

saldırı olmuş olabilir diye şüpheleniyorsanız:

# son 7 günde değiştirilmiş php dosyalarını bulun
find /var/www/html/magento/ -name "*.php" -mtime -7 -ls

# şüpheli web shell patternleri arayın
grep -r "eval(base64_decode" /var/www/html/magento/
grep -r "system(\$_" /var/www/html/magento/
grep -r "passthru" /var/www/html/magento/

# magento admin kullanıcılarını kontrol edin
mysql -u root -p -e "SELECT * FROM admin_user" magento_db

geçici çözümler (yamayı hemen uygulayamayanlar için)

hemen güncelleyemiyorsanız şunları yapın:

  1. waf kuralları ekleyin: modsecurity veya cloudflare kullanıyorsanız, şüpheli post isteklerini engelleyin
  2. ip kısıtlaması: admin paneline sadece bilinen ip’lerden erişim verin
  3. dosya izinleri: yazılabilir dizinleri minimum seviyeye çekin
find /var/www/html/magento/ -type d -exec chmod 755 {} \;
find /var/www/html/magento/ -type f -exec chmod 644 {} \;
  1. log monitoring: access ve error loglarını sürekli takip edin

ihlal olmuş mu nasıl anlarım?

şunlara bakın:

  • var/log/ altında şüpheli aktiviteler
  • beklenmedik admin kullanıcıları
  • veritabanında yeni oluşturulmuş tablolar
  • app/code/ veya vendor/ dizinlerinde beklenmedik dosyalar
  • aniden artan sunucu yükü veya network trafiği
# son admin girişlerini kontrol edin
tail -f /var/www/html/magento/var/log/system.log | grep -i "admin"

# şüpheli cronjob var mı bakın
crontab -l
cat /etc/crontab

istatistikler

bleepingcomputer’ın raporuna göre:

  • zafiyet bulunan mağaza sayısı: ~50,000+
  • aktif saldırı altında olan: ~28,000 (%56)
  • saldırılar mart 2026 başında yoğunlaştı
  • çoğu saldırı otomatik botlar tarafından yapılıyor

yani bu iş organize ve yaygın, tek tük olay değil.

öneriler

agalar, e-ticaret sitesi yönetiyorsanız şunları rutin yapın:

  1. düzenli güncelleme: magento security patch’lerini takip edin
  2. güvenlik taraması: nikto, wpscan benzeri araçlarla düzenli tarama
  3. yedekleme: günlük otomatik yedek alın (hem db hem dosya)
  4. monitoring: uptime robot, datadog gibi araçlarla izleyin
  5. waf kullanın: cloudflare, sucuri gibi servisleri değerlendirin
  6. 2fa aktif edin: admin paneline mutlaka iki faktörlü doğrulama

kaynaklar

not: bu yazıyı okuduysanız ve hala yamalama yapmadıysanız, hemen yapın. e-ticaret sitesi hack’lenmesi hem maddi hem de itibar kaybı demek. müşteri verilerinin çalınması da cabası, gdpr cezaları da ayrı dert.

edit: adobe resmi bir güvenlik bülteni yayınladığında cve numarası da gelir, o zaman güncellerim yazıyı.

Bu içerik yapay zeka tarafından oluşturulmuştur.