...
اسپیس ایران | بلاگ
امنیت میزبانی وب

با تهدید امنیتی CryptoPHP – social.png و راه های مقابله با آن آشنا شوید!

دروپال، جوملا و وردپرس سیستم های مدیریت محتوای معتبری هستند و هزاران پلاگین و افزونه و قالب برای این موارد وجود دارد، در اسپیس ایران همواره ما تاکید داشته ایم که برای دانلود اسکریپت ها و افزونه ها از سایت های معتبر و اصلی استفاده کنید.

طبق گزارشات واصله، اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین‌های wordpress ،joomla و Drupal شناسایی شده؛ فایل‌های social.png ،social2.png و social3.png حاوی این فایل مخرب است.
CryptoPHP در قالب‌ها و pluginهایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایت‌های غیرمجاز تهیه نمایید احتمال وجود این Malware  در آن‌ها بسیار بالا است.

برای کسب اطلاعات بیشتر در ادامه مطلب با اسپیس ایران همراه باشید.

برخی وب سایت‌های غیرمجازی که pluginهای آن‌ها حاوی فایل مخرب CryptoPHP بوده است، شناسایی و به شرح ذیر می‌باشد:

anythingforwp.com
    awesome4wp.com
    bestnulledscripts.com
    dailynulled.com
    freeforwp.com
    freemiumscripts.com
    getnulledscripts.com
    izplace.com
    mightywordpress.com
    nulledirectory.com
    nulledlistings.com
    nullednet.com
    nulledstylez.com
    nulledwp.com
    nullit.net
    topnulledownload.com
    websitesdesignaffordable.com
    wp-nulled.com
    yoctotemplates.com


CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایت‌های مبتنی بر CMS، دسترسی خود را به سرور ایجاد و حفظ می‌کند.

این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می‌نماید، و دراولین قدم باعث می‌گردد تا تاثیر منفی در نتایج جستجو وب‌سایت (BlackSEO) نمایش داده‌شود؛ این امر باعث می‌گردد تا آی‌پی شما در وب سایت‌هایی نظیر cbl لیست و در نتیجه آی‌پی سرور Block (مسدود) می‌گردد و حداقل پیامدی که مسدود شدن آی‌پی سرور به‌همراه دارد عدم ارسال ایمیل‌های سرور خواهد بود. CryptoPHP در قدم‌های بعد اقدامات زیر را انجام می‌دهد:

    ادغام شدن در CMSهای مختلف نظیر WordPress ,Joomla و Drupal
    ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
    استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)

    ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
    استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
    کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
    به‌روز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده‌های دیگر
    به‌روز رسانی خود Malware

 تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگین‌ها و تم‌های CMSهای WordPress ,Joomla و Drupal شناسایی و ورژن‌های مختلفی از این Malware دیده شده‌است. تا کنون ۱۶ به‌روز رسانی برای این Malware ارائه شده‌است.

طبق بررسی های انجام شده توسط اسپیس ایران حدود 1 درصد از وبسایت ها آلوده به این فایل بوده اند و در حال حاضر تمامی سرور ها از وجود این فایل های مخرب پاکسازی شده است.

روش شناسایی CryptoPHP

جهت شناسایی این Malware می‌توانید اقدامات زیر را انجام دهید.

    wordpress: عبارت زیر را در فایل theme‌ها و plugin‌های wordpress جستجو نمایید، در WordPress معمولا در انتهای فایل‌های social.png و functions.php وجود دارد.

<?php include(‘images/social.png’); ?>

    Joomla: عبارت زیر را در فایل themeها و pluginهای Joomla جستجو نمایید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
 

<?php include(‘images/social.png’); ?>

  
     Drupal: عبارت زیر را در فایل themeها و pluginهای Drupal جستجو نمایید، در Drupal معمولا در انتهای فایل template.php وجود دارد.

<?php include(‘images/social.png’); ?>

درجه اهمیت CryptoPHP از نوع Critical (بحرانی) می‌باشد، زیرا باعث دریافت گزارش تخلف زیادی (Abuse) از سوی دیتاسنتر و ایجاد مشکلاتی اساسی نظیر مسدود شدن آی‌پی و عدم ارسال ایمیل در سرور خواهد شد.

روش حل مشکل CryptoPHP:

جهت حل مشکل اقدامات زیر را انجام دهید.

    تهیه آنتی شل CXS.
    به‌روز رسانی آنتی ویروس
    اجرا یکی از دستورات زیر:

find /home/ -name “social*.png” -exec grep -q -E -o ‘php.{0,80}’ {} \; -exec chmod 000 {} \; -print
find /home/ -name “social*.png” -exec grep -E -o ‘php.{0,80}’ {} \; -print
find /home/ -name social.png -size 32k -exec rm -rf {} \;
find -L /home -type f -name ‘*.png’ -print0 | xargs -0 file | grep “PHP script” >cryptoPHP.txt
find -L / -type f -name ‘social.png’ -exec file {} +

تهدید امنیتی CryptoPHP – مشکلات امنیتی وردپرس و جوملا و دروپال – مشکل امنیتی فایل social.png – مشکل امنیتی social2.png – فایل های مخرب – مشکلات هاست – افزایش امنیت هاست – افزایش امنیت سرور – تهدیدات امنیتی جوملا – تهدید امنیتی جوملا



تجربه بالاترین سطح کیفیت میزبانی وب
اسپیس ایران با بیش از ۱۰ سال تجربه، انواع خدمات میزبانی وب، ثبت دامنه و سرور های مجازی را با بالاترین سطح کیفیت ممکن ارائه می نماید.
خرید هاست
ثبت دامنه
سرور مجازی

بیشتر بخوانید

چند نکته برای افزایش امنیت در رایانه های شخصی

admin

مهم ترین نکات افزایش امنیت سایت

admin

آموزش مسدود کردن دسترسی آی پی در هاست

admin

چند نکته برای افزایش امنیت هاست

admin

بیش از 80 درصد اسکریپت ها و بسته های نصبی PHP به فایل مخرب آلوده هستند!

admin

نوشتن دیدگاه