‫تهدید امنیتی CryptoPHP و راه مقابله با آن

3 دیدگاه
دسته بندی: امنیت

طبق گزارشات واصله، اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین‌های wordpress ،joomla و Drupal شناسایی شده؛ فایل‌های social.png ،social2.png و social3.png حاوی این فایل مخرب است.
CryptoPHP در قالب‌ها و pluginهایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایت‌های غیرمجاز تهیه نمایید احتمال وجود این Malware  در آن‌ها بالا است.

مشکل امنیتی CryptoPHP

برخی وب سایت‌های غیرمجازی که pluginهای آن‌ها حاوی CryptoPHP بوده است، شناسایی و به شرح ذیر می‌باشد:

  • anythingforwp.com
  • awesome4wp.com
  • bestnulledscripts.com
  • dailynulled.com
  • freeforwp.com
  • freemiumscripts.com
  • getnulledscripts.com
  • izplace.com
  • mightywordpress.com
  • nulledirectory.com
  • nulledlistings.com
  • nullednet.com
  • nulledstylez.com
  • nulledwp.com
  • nullit.net
  • topnulledownload.com
  • websitesdesignaffordable.com
  • wp-nulled.com
  • yoctotemplates.com

CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایت‌های مبتنی بر CMS، دسترسی خود را به سرور ایجاد و حفظ می‌کند.

این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می‌نماید، و دراولین قدم باعث می‌گردد تا تاثیر منفی در نتایج جستجو وب‌سایت (BlackSEO) نمایش داده‌شود؛ این امر باعث می‌گردد تا آی‌پی شما در وب سایت‌هایی نظیر cbl لیست و در نتیجه آی‌پی سرور Block (مسدود) می‌گردد و حداقل پیامدی که مسدود شدن آی‌پی سرور به‌همراه دارد عدم ارسال ایمیل‌های سرور خواهد بود. CryptoPHP در قدم‌های بعد اقدامات زیر را انجام می‌دهد:

  1. ادغام شدن در CMSهای مختلف نظیر WordPress ,Joomla و Drupal
  2. ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
  3. استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)مشکل امنیتی CryptoPHP
  4. ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
  5. استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
  6. کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
  7. به‌روز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده‌های دیگر
  8. به‌روز رسانی خود Malware

از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۴ روز پیش) تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگین‌ها و تم‌های CMSهای WordPress ,Joomla و Drupal شناسایی و ورژن‌های مختلفی از این Malware دیده شده‌است. تا کنون ۱۶ به‌روز رسانی برای این Malware ارائه شده‌است.

روش شناسایی CryptoPHP

جهت شناسایی این Malware می‌توانید اقدامات زیر را انجام دهید.

  • wordpress: عبارت زیر را در فایل theme‌ها و plugin‌های wordpress جستجو نمایید، در WordPress معمولا در انتهای فایل‌های social.png و functions.php وجود دارد.
<?php include('images/social.png'); ?>
  • Joomla: عبارت زیر را در فایل themeها و pluginهای Joomla جستجو نمایید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
<?php include('images/social.png'); ?>
  •  Drupal: عبارت زیر را در فایل themeها و pluginهای Drupal جستجو نمایید، در Drupal معمولا در انتهای فایل template.php وجود دارد.
<?php include('images/social.png'); ?>

مشکل امنیتی CryptoPHP

درجه اهمیت CryptoPHP از نوع Critical (بحرانی) می‌باشد، زیرا باعث دریافت گزارش تخلف زیادی (Abuse) از سوی دیتاسنتر و ایجاد مشکلاتی اساسی نظیر مسدود شدن آی‌پی و عدم ارسال ایمیل در سرور خواهد شد.

روش حل مشکل CryptoPHP:

جهت حل مشکل اقدامات زیر را انجام دهید.

  1. تهیه آنتی شل CXS، برای کسب اطلاعات بیشتر معرفی CXS را مشاهده نمایید.
  2. به‌روز رسانی آنتی ویروس
  3. اجرا یکی از دستورات زیر:
find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {} \; -exec chmod 000 {} \; -print
find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print

find /home/ -name social.png -size 32k -exec rm -rf {} \;

find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt

find -L / -type f -name ‘social.png’ -exec file {} +

در صورت تمابل می‌توانید بررسی وجود و حل مشکل امنیتی CryptoPHP  را به تیم امنیت ایران‌سرور واگذار نمایید، برای این منظور کافی است یک تیکت به ایران‌سرور ارسال کنید.

برچسب ها:
امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نظرات کاربران

3 دیدگاه. دیدگاه تازه ای بنویسید

  • ممنون اطلاع رسانی بسیار عالی و مفید بود .

    پاسخ
  • تشکر از این اطلاع رسانی خیلی مهم،

    CryptoPHP در اسکریپت های null شده همچون قالب های رایگان یافت می شود،

    مراقب پلاگین ها و قالب های رایگان باشید!

    پاسخ
  • حیدرررررررررر
    3 شهریور 1399 13:51

    ممنون از مطلب بسیار خوب و مهمتون سلامت باشید.

    پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست