cryptoPHP- Malware خطرناک در وردپرس و جوملا

پنج شنبه, 27th نوامبر, 2014
19:04عصر

طبق گزارشات واصله اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب مربوطه با نام های social.png و social2.png و social3.png شناسایی می شود.
ین Malware در قالب ها و plugin هایی که لایسنس دار هستند وجود ندارد و در صورتی که این plugin ها را از وب سایت های غیرمجاز تهیه نمایید این Malware وجود دارد.
این Malware که با نام CryptoPHP شناسایی می گردد تهدیدی است بر علیه وب سرور ها که با استفاده از درب پشتی که در وب سایت های مبتنی بر CMS های ذکر شده ایجاد می گردد دسترسی خود را به سرور حفظ می کند .
CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می نماید.و دراولین قدم باعث می گردد تا تاثیر منفی(BlackSEO) در نتایج جستجو وب سایت شما در موتور های جستجو رویت شود. و این امر باعث می گردد تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که این منجر به بلوکه کردن آی پی سرور شما می گردد که در این صورت ایمیل های سرور شما ارسال نمی گردد.
و سپس اقدامات زیر را انجام میدهد.
۱- ادغام شدن در CMS های مختلف نظیر Wordpress , Joomla و Wordpres
۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعد در صورت قطع ارتباط

۳- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)
۴- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
۸- بروز رسانی خود Malware

از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۳ روز پیش) تاکنون ۱۰۰۰ درب پشتی (Backdoor) از این Malware در پلاگین ها و تم های CMS های ذکر شده شناسایی شده است که در ورژن های مختلف این Malware رویت شده است.این Malware تاکنون به ۱۶ نسخه بروز رسانی شده است.

جهت شناسایی این Malware می توانید اقدامات زیر را انجام دهید.

۱- عبارت زیر را در فایل theme ها و plugin های wordpress خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در wordpress این فایل معمولا با نام های social.png و functions.php وجود دارد.

<?php include('images/social.png'); ?>

۲- عبارت زیر را در فایل theme ها و plugin های Joomla خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Joomla این فایل معمولا با نام component.php وجود دارد.

<?php include('images/social.png'); ?>

۳- عبارت زیر را در فایل theme ها و plugin های Drupal خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Drupal این فایل معمولا با نام template.php وجود دارد.

<?php include('images/social.png'); ?>

این مشکل با درجه اهمیت Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی (Abuse) از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلوکه شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود برخورد نمایید.

جهت حل مشکل اقدامات زیر را انجام دهید.

1- تهیه آنتی شل CXS
2- بروز رسانی آنتی ویروس
3- اجرا یکی از دستورات زیر :

کد:

find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {}  \; -exec chmod 000 {} \; -print

کد:

find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {}  \; -print

کد:

find /home/ -name social.png -size 32k -exec rm -rf {} \;

کد:

find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt

کد:

find -L / -type f -name ‘social.png’ -exec file {} +

منبع :
http://goo.gl/oFIwdE
مرکز آموزش - CryptoPHP در wordpress ، drupal و Joomla | SecureHost

« برگشت

بر اساس ماه

بر اساس ماه

پشتیبانی

cryptoPHP- Malware خطرناک در وردپرس و جوملا

پشتیبانی

بر اساس ماه

بر اساس ماه

پشتیبانی

cryptoPHP- Malware خطرناک در وردپرس و جوملا

پشتیبانی

ایجاد گذرواژه