CryptoPHP چیست؟

عفونت CryptoPHP مدت‌ها پیش شناسایی شد، اما به نظر می‌رسد در چند ماه گذشته بیشتر مورد سوء استفاده قرار گرفته است. هکرهایی که از این روش برای سوء استفاده از وب‌سایت‌ها استفاده می‌کنند، تم‌ها و افزونه‌های وردپرس، جوملا و دروپال پولی را دریافت می‌کنند، بلوک‌های کدی را که تأیید می‌کنند یک افزونه/موضوع خاص مجوز دارد را حذف می‌کنند و سپس آنها را به صورت رایگان توزیع می‌کنند. چنین نسخه‌هایی از برنامه‌های افزودنی/موضوع، اسکریپت‌های نال شده نامیده می‌شوند.

تم ها/افزونه های اصلاح شده معمولا حاوی کدهای مخربی هستند که دسترسی کامل به سایت های آلوده را برای هکر فراهم می کند. در داخل یک تم/افزونه نال شده یک خط کد وجود دارد که شبیه به این است:

<?php include('assets/images/social.png'); ?>

اکثر توسعه دهندگان PHP بلافاصله متوجه می شوند که این بلوک کد عجیب به نظر می رسد. دستورالعمل PHP شامل یک فایل است که باید حاوی کد PHP باشد. با این حال، در این مورد فایل یک تصویر است و حاوی کدهای مخرب است که معمولاً مبهم است. کد مخرب برای اهداف مختلفی مانند حملات سئو کلاه سیاه و موارد دیگر مانند ارسال هرزنامه در سرورهای ما استفاده می شود.

راه مقابله با ‫تهدید جدید امنیتی CryptoPHP

متاسفانه Malware بسیار خطرناکی با اسم Cryptophp در افزونه های WordPress , joomla , Drupal پیدا شده که قایل های مخرب آن social.png ،social2.png و social3.png میباشند. این Malware خطرناک در قالب ها و افزونه هایی که دارای لایسنس هستند وجود ندارند اگر که این افزونه های را از وب سایت های غیر مجاز داشته باشید، امکان داشتن Malware در آن بالا میباشد. این یک تهدید بر علیه وب سرور مجازی ها میباشد که با استفاده از backdoor وب سایت هایی که مبتنی بر CMS میباشند دسترسی خود را به سرور مجازی باز کرده و آن را حفظ میکند در این مقاله راه های شناخت ‫تهدید جدید امنیتی CryptoPHP را فرا میگیرید.

توجه داشته باشید که این Cryptophp بعد از Upload شدن روی سرور مجازی دستورات کنترلی از سرویس دهنده اصلی را میگیرد و در مرحله اول موجب میشود که در نتیاج جستجو تاثیرات منفی داشته باشد. همین دلیل باعث میشود که IP شما در سایت هایی مثل cbl لیست و در آخز IP سرور مجازی شما بلاک شود و CryptoPHP در قدم‌های بعد اقدامات زیر را انجام می‌دهد:

ترکیبشدن با CMSهای مختلف مثل WordPress ,Joomla و Drupal
ایجاد BackDoor برای ارتباطات بعد اگر که قطع ارتباط شود
استفاده کردن از کلید عمومی برای ارتباط وب سایت هک شده با سرور مجازی اصلی (C2 Server)
اساختن یک زیر ساخت و بزرگ برای دریافت کردن اطلاعات از سرور مجازی اصلی
استفاده کردن از مکانیزم پشتیبان گیزی اگر در دامنه اصلی و ارتباط از ایمیل در دسترس نبود
کنترل کردن به صورت دستی وداشتن ارتباط با BackDoor در سرور مجازی بوسیله سرور کنترلی
آپدیت خودکار برای ارتباط بیشتر با سرویس دهنده های دیگر
آپدیت خود Malware

روش شناسایی

برای شناختن این Malware می‌توانید به صورت زیر عمل کنید :
wordpress: عبارت زیر را در فایل theme‌ها و افزونه های wordpress جستجو کنید، در WordPress معمولا در انتهای فایل‌های social.png و functions.php وجود دارد.

<?php include(‘images/social.png’); ?>

Joomla: متن زیر را در فایل پوسته ها و افزونه های Joomla پیدا کنید، در Joomla معمولا در انتهای فایل component.php وجود دارد.

<?php include(‘images/social.png’); ?>

Drupal: عبارت زیر را در فایل پوسته ها و افزونه های Drupal پیداکنید، در Drupal معمولا در انتهای فایل template.php وجود دارد.

<?php include(‘images/social.png’); ?>