دروپال، جوملا و وردپرس سیستم های مدیریت محتوای معتبری هستند و هزاران پلاگین و افزونه و قالب برای این موارد وجود دارد، در اسپیس ایران همواره ما تاکید داشته ایم که برای دانلود اسکریپت ها و افزونه ها از سایت های معتبر و اصلی استفاده کنید.
طبق گزارشات واصله، اخیرا Malware خطرناکی با نام CryptoPHP در پلاگینهای wordpress ،joomla و Drupal شناسایی شده؛ فایلهای social.png ،social2.png و social3.png حاوی این فایل مخرب است.
CryptoPHP در قالبها و pluginهایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایتهای غیرمجاز تهیه نمایید احتمال وجود این Malware در آنها بسیار بالا است.
برای کسب اطلاعات بیشتر در ادامه مطلب با اسپیس ایران همراه باشید.
برخی وب سایتهای غیرمجازی که pluginهای آنها حاوی فایل مخرب CryptoPHP بوده است، شناسایی و به شرح ذیر میباشد:
| anythingforwp.com awesome4wp.com bestnulledscripts.com dailynulled.com freeforwp.com freemiumscripts.com getnulledscripts.com izplace.com mightywordpress.com nulledirectory.com nulledlistings.com nullednet.com nulledstylez.com nulledwp.com nullit.net topnulledownload.com websitesdesignaffordable.com wp-nulled.com yoctotemplates.com |
CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایتهای مبتنی بر CMS، دسترسی خود را به سرور ایجاد و حفظ میکند.
این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی مینماید، و دراولین قدم باعث میگردد تا تاثیر منفی در نتایج جستجو وبسایت (BlackSEO) نمایش دادهشود؛ این امر باعث میگردد تا آیپی شما در وب سایتهایی نظیر cbl لیست و در نتیجه آیپی سرور Block (مسدود) میگردد و حداقل پیامدی که مسدود شدن آیپی سرور بههمراه دارد عدم ارسال ایمیلهای سرور خواهد بود. CryptoPHP در قدمهای بعد اقدامات زیر را انجام میدهد:
ادغام شدن در CMSهای مختلف نظیر WordPress ,Joomla و Drupal
ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)
ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
بهروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهندههای دیگر
بهروز رسانی خود Malware
تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگینها و تمهای CMSهای WordPress ,Joomla و Drupal شناسایی و ورژنهای مختلفی از این Malware دیده شدهاست. تا کنون ۱۶ بهروز رسانی برای این Malware ارائه شدهاست.
طبق بررسی های انجام شده توسط اسپیس ایران حدود 1 درصد از وبسایت ها آلوده به این فایل بوده اند و در حال حاضر تمامی سرور ها از وجود این فایل های مخرب پاکسازی شده است.
روش شناسایی CryptoPHP
جهت شناسایی این Malware میتوانید اقدامات زیر را انجام دهید.
wordpress: عبارت زیر را در فایل themeها و pluginهای wordpress جستجو نمایید، در WordPress معمولا در انتهای فایلهای social.png و functions.php وجود دارد.
| <?php include(‘images/social.png’); ?> |
Joomla: عبارت زیر را در فایل themeها و pluginهای Joomla جستجو نمایید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
| <?php include(‘images/social.png’); ?> |
Drupal: عبارت زیر را در فایل themeها و pluginهای Drupal جستجو نمایید، در Drupal معمولا در انتهای فایل template.php وجود دارد.
| <?php include(‘images/social.png’); ?> |
درجه اهمیت CryptoPHP از نوع Critical (بحرانی) میباشد، زیرا باعث دریافت گزارش تخلف زیادی (Abuse) از سوی دیتاسنتر و ایجاد مشکلاتی اساسی نظیر مسدود شدن آیپی و عدم ارسال ایمیل در سرور خواهد شد.
روش حل مشکل CryptoPHP:
جهت حل مشکل اقدامات زیر را انجام دهید.
تهیه آنتی شل CXS.
بهروز رسانی آنتی ویروس
اجرا یکی از دستورات زیر:
| find /home/ -name “social*.png” -exec grep -q -E -o ‘php.{0,80}’ {} \; -exec chmod 000 {} \; -print find /home/ -name “social*.png” -exec grep -E -o ‘php.{0,80}’ {} \; -print find /home/ -name social.png -size 32k -exec rm -rf {} \; find -L /home -type f -name ‘*.png’ -print0 | xargs -0 file | grep “PHP script” >cryptoPHP.txt find -L / -type f -name ‘social.png’ -exec file {} + |
تهدید امنیتی CryptoPHP – مشکلات امنیتی وردپرس و جوملا و دروپال – مشکل امنیتی فایل social.png – مشکل امنیتی social2.png – فایل های مخرب – مشکلات هاست – افزایش امنیت هاست – افزایش امنیت سرور – تهدیدات امنیتی جوملا – تهدید امنیتی جوملا
تجربه بالاترین سطح کیفیت میزبانی وب
اسپیس ایران با بیش از ۱۰ سال تجربه، انواع خدمات میزبانی وب، ثبت دامنه و سرور های مجازی را با بالاترین سطح کیفیت ممکن ارائه می نماید.
خرید هاست
ثبت دامنه
سرور مجازی