CryptoPHP چیست؟
توسط Fateme Zahra
عفونت CryptoPHP مدتها پیش شناسایی شد، اما به نظر میرسد در چند ماه گذشته بیشتر مورد سوء استفاده قرار گرفته است. هکرهایی که از این روش برای سوء استفاده از وبسایتها استفاده میکنند، تمها و افزونههای وردپرس، جوملا و دروپال پولی را دریافت میکنند، بلوکهای کدی را که تأیید میکنند یک افزونه/موضوع خاص مجوز دارد را حذف میکنند و سپس آنها را به صورت رایگان توزیع میکنند. چنین نسخههایی از برنامههای افزودنی/موضوع، اسکریپتهای نال شده نامیده میشوند.
تم ها/افزونه های اصلاح شده معمولا حاوی کدهای مخربی هستند که دسترسی کامل به سایت های آلوده را برای هکر فراهم می کند. در داخل یک تم/افزونه نال شده یک خط کد وجود دارد که شبیه به این است:
<?php include('assets/images/social.png'); ?>
اکثر توسعه دهندگان PHP بلافاصله متوجه می شوند که این بلوک کد عجیب به نظر می رسد. دستورالعمل PHP شامل یک فایل است که باید حاوی کد PHP باشد. با این حال، در این مورد فایل یک تصویر است و حاوی کدهای مخرب است که معمولاً مبهم است. کد مخرب برای اهداف مختلفی مانند حملات سئو کلاه سیاه و موارد دیگر مانند ارسال هرزنامه در سرورهای ما استفاده می شود.
راه مقابله با تهدید جدید امنیتی CryptoPHP
متاسفانه Malware بسیار خطرناکی با اسم Cryptophp در افزونه های WordPress , joomla , Drupal پیدا شده که قایل های مخرب آن social.png ،social2.png و social3.png میباشند. این Malware خطرناک در قالب ها و افزونه هایی که دارای لایسنس هستند وجود ندارند اگر که این افزونه های را از وب سایت های غیر مجاز داشته باشید، امکان داشتن Malware در آن بالا میباشد. این یک تهدید بر علیه وب سرور مجازی ها میباشد که با استفاده از backdoor وب سایت هایی که مبتنی بر CMS میباشند دسترسی خود را به سرور مجازی باز کرده و آن را حفظ میکند در این مقاله راه های شناخت تهدید جدید امنیتی CryptoPHP را فرا میگیرید.
توجه داشته باشید که این Cryptophp بعد از Upload شدن روی سرور مجازی دستورات کنترلی از سرویس دهنده اصلی را میگیرد و در مرحله اول موجب میشود که در نتیاج جستجو تاثیرات منفی داشته باشد. همین دلیل باعث میشود که IP شما در سایت هایی مثل cbl لیست و در آخز IP سرور مجازی شما بلاک شود و CryptoPHP در قدمهای بعد اقدامات زیر را انجام میدهد:
ترکیبشدن با CMSهای مختلف مثل WordPress ,Joomla و Drupal
ایجاد BackDoor برای ارتباطات بعد اگر که قطع ارتباط شود
استفاده کردن از کلید عمومی برای ارتباط وب سایت هک شده با سرور مجازی اصلی (C2 Server)
اساختن یک زیر ساخت و بزرگ برای دریافت کردن اطلاعات از سرور مجازی اصلی
استفاده کردن از مکانیزم پشتیبان گیزی اگر در دامنه اصلی و ارتباط از ایمیل در دسترس نبود
کنترل کردن به صورت دستی وداشتن ارتباط با BackDoor در سرور مجازی بوسیله سرور کنترلی
آپدیت خودکار برای ارتباط بیشتر با سرویس دهنده های دیگر
آپدیت خود Malware
روش شناسایی
برای شناختن این Malware میتوانید به صورت زیر عمل کنید :
wordpress: عبارت زیر را در فایل themeها و افزونه های wordpress جستجو کنید، در WordPress معمولا در انتهای فایلهای social.png و functions.php وجود دارد.
<?php include(‘images/social.png’); ?>
Joomla: متن زیر را در فایل پوسته ها و افزونه های Joomla پیدا کنید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
<?php include(‘images/social.png’); ?>
Drupal: عبارت زیر را در فایل پوسته ها و افزونه های Drupal پیداکنید، در Drupal معمولا در انتهای فایل template.php وجود دارد.
<?php include(‘images/social.png’); ?>
پست های توصیه شده
کلان داده
14 مهر, 1402
تحول دیجیتال
14 مهر, 1402
تجزیه و تحلیل داده ها
14 مهر, 1402