• خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
  • ارسال شده توسط: عبدالهی تاریخ انتشار: 26 / 11 / 14 موضوع: امنیت , لینوکس 3 دیدگاه برای خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.

    CryptoPHP در wordpress ، drupal و Joomla

    طبق گزارشات واصله  اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب مربوطه با نام های social.png و social2.png و social3.png شناسایی می شود.

    این Malware در قالب ها و plugin هایی که لایسنس دار هستند وجود ندارد و در صورتی که این plugin ها را از وب سایت های غیرمجاز تهیه نمایید این Malware وجود دارد
    وب سایت هایی غیرمجازی که تاکنون شناسایی شده است که حاوی plugin های دارای Malware بوده است به شرح ذیل می باشد.anythingforwp.com
    awesome4wp.com
    bestnulledscripts.com
    dailynulled.com
    freeforwp.com
    freemiumscripts.com
    getnulledscripts.com
    izplace.com
    mightywordpress.com
    nulledirectory.com
    nulledlistings.com
    nullednet.com
    nulledstylez.com
    nulledwp.com
    nullit.net
    topnulledownload.com
    websitesdesignaffordable.com
    wp-nulled.com
    yoctotemplates.com
    این Malware که با نام CryptoPHP شناسایی می گردد تهدیدی است بر علیه وب سرور ها که با استفاده از درب پشتی که در وب سایت های مبتنی بر CMS های ذکر شده ایجاد می گردد دسترسی خود را به سرور حفظ می کند .
    CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می نماید.و دراولین قدم باعث می گردد تا تاثیر منفی(BlackSEO) در نتایج جستجو وب سایت شما در موتور های جستجو رویت شود. و این امر باعث می گردد تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که این منجر به بلوکه کردن آی پی سرور شما می گردد که در این صورت ایمیل های سرور شما ارسال نمی گردد.
    و سپس اقدامات زیر را انجام میدهد.۱- ادغام شدن در CMS های مختلف نظیر WordPress , Joomla و Wordpres
    ۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعد در صورت قطع ارتباط
    ۳- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)
    ۴-  ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
    ۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
    ۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
    ۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
    ۸- بروز رسانی خود Malware
    از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۳ روز پیش) تاکنون ۱۰۰۰ درب پشتی (Backdoor) از این Malware در پلاگین ها و تم های CMS های ذکر شده شناسایی شده است که در ورژن های مختلف این Malware رویت شده است.این Malware تاکنون به ۱۶ نسخه بروز رسانی شده است.
    جهت شناسایی این Malware می توانید اقدامات زیر را انجام دهید.
    ۱- عبارت زیر را در فایل  theme ها و plugin های wordpress خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در wordpress این فایل معمولا با نام های social.png و functions.php وجود دارد.
    <?php include(‘images/social.png’); ?>
    ۲- عبارت زیر را در فایل  theme ها و plugin های Joomla خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Joomla این فایل معمولا با نام  component.php وجود دارد.
    <?php include(‘images/social.png’); ?>
    ۳- عبارت زیر را در فایل  theme ها و plugin های Drupal خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Drupal این فایل معمولا با نام  template.php وجود دارد.
    <?php include(‘images/social.png’); ?>
    این مشکل با درجه اهمیت Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی (Abuse) از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلوکه شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود برخورد نمایید.
    جهت حل مشکل اقدامات زیر را انجام دهید.
    1- تهیه آنتی شل CXS
    2- بروز رسانی آنتی ویروس
    ​3- اجرا یکی از دستورات زیر :
    find /home/ -name “social*.png” -exec grep -q -E -o ‘php.{0,80}’ {}  ; -exec chmod 000 {} ; -print

    find /home/ -name “social*.png” -exec grep -E -o ‘php.{0,80}’ {}  ; -printfind /home/ -name social.png -size 32k -exec rm -rf {} ;find -L /home -type f -name ‘*.png’ -print0 | xargs -0 file | grep “PHP script” >cryptoPHP.txt

    find -L / -type f -name ‘social.png’ -exec file {} +

    منبع :

    عبدالهی

    کارشناس ارشد رشته نرم افزار هستم . تخصص اصلی بنده php و فریم ورک Laravel هست . برای کمک به پیشرفت علمی وب در ایران هر کاری میکنم امیدوارم مطالب آموزشی این وبلاگ بتواند به شما بازدید کننده گرامی کمک کند.

    3 ديدگاه

    1. حمید گفت:

      با سلام و احترام
      ممنون از اطلاع رساانی خیلی ضروری بود.
      موفق باشین

    2. Just want to say your article is as amazing. The clarity
      in your post is simply excellent and i can assume you’re an expert on this
      subject. Well with your permission allow me to grab your feed
      to keep updated with forthcoming post. Thanks a million and please carry on the gratifying work.

    3. Thanks foor the good writeup. It if truth be told used to be a leisure account it.
      Gance advanced to more brought agreeable fom you! However, hoow
      could we keep up a correspondence?

    دسته‌ها