طبق گزارشات واصله، به تازگی بدافزار (Malware) خطرناکی با نام CryptoPHP در قالب ها و پلاگین*های wordpress ،joomla و Drupal شناسایی شده؛ فایل*های social.png ،social2.png و social3.png حاوی این فایل مخرب است.
CryptoPHP در قالب*ها و plugin هایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایت*های غیرمجاز تهیه نمایید احتمال وجود این Malware در آن*ها بالا است.
مشکل امنیتی CryptoPHP
برخی وب سایت*های غیرمجازی که theme ها و plugin های آن*ها حاوی CryptoPHP بوده است، شناسایی و به شرح ذیر می*باشد:
anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایت*های مبتنی بر سیستم های مدیریت محتوا، دسترسی خود را به سرور ایجاد و حفظ می*کند. این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می*نماید، و دراولین قدم باعث می*گردد تا تاثیر منفی در نتایج جستجو وب*سایت (BlackSEO) نمایش داده*شود؛ این امر باعث می*گردد تا آی*پی شما در وب سایت*هایی نظیر CBL لیست و در نتیجه آی*پی سرور Block (مسدود) می*گردد و حداقل پیامدی که مسدود شدن IP سرور به*همراه دارد عدم ارسال ایمیل*های سرور خواهد بود. CryptoPHP در قدم*های بعد اقدامات زیر را انجام می*دهد: 1- ادغام شدن در CMSهای مختلف نظیر وردپرس,جوملا و دروپال
2- ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
3- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)مشکل امنیتی CryptoPHP
4- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
5- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
6- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
7- به*روز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده*های دیگر
8- به*روز رسانی خود Malware
از تاریخ ۱۲ نوامبر ۲۰۱۴ تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگین*ها و تم*های CMSهای WordPress ,Joomla و Drupal شناسایی و ورژن*های مختلفی از این Malware دیده شده*است. تا کنون ۱۶ به*روز رسانی برای این Malware ارائه شده*است.
روش شناسایی CryptoPHP جهت شناسایی این Malware می*توانید اقدامات زیر را انجام دهید. 1- wordpress: عبارت زیر را در فایل theme*ها و plugin*های wordpress جستجو نمایید، در WordPress معمولا در انتهای فایل*های social.png و functions.php وجود دارد.
2- Joomla: عبارت زیر را در فایل themeها و pluginهای Joomla جستجو نمایید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
3- Drupal: عبارت زیر را در فایل themeها و pluginهای Drupal جستجو نمایید، در Drupal معمولا در انتهای فایل template.php وجود دارد.
مشکل امنیتی CryptoPHP درجه اهمیت CryptoPHP از نوع Critical (بحرانی) می*باشد، زیرا باعث دریافت گزارش تخلف زیادی (Abuse) از سوی دیتاسنتر و ایجاد مشکلاتی اساسی نظیر مسدود شدن آی*پی و عدم ارسال ایمیل در سرور خواهد شد.
از دوستان عزیز خواهشمندم توجه کنند که فایل های ویروسی در تالار قرار ندن... همچنین انتی ویروس Eset آپدیت شده میتونه این ویروس رو شناسایی کنه. اسکن کردن فایل ها توسط آنتی ویروس بسیار تاثیر گذار خواهد بود
مراقب باشید
CryptoPHP در قالب*ها و plugin هایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایت*های غیرمجاز تهیه نمایید احتمال وجود این Malware در آن*ها بالا است.
مشکل امنیتی CryptoPHP
برخی وب سایت*های غیرمجازی که theme ها و plugin های آن*ها حاوی CryptoPHP بوده است، شناسایی و به شرح ذیر می*باشد:
anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایت*های مبتنی بر سیستم های مدیریت محتوا، دسترسی خود را به سرور ایجاد و حفظ می*کند. این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می*نماید، و دراولین قدم باعث می*گردد تا تاثیر منفی در نتایج جستجو وب*سایت (BlackSEO) نمایش داده*شود؛ این امر باعث می*گردد تا آی*پی شما در وب سایت*هایی نظیر CBL لیست و در نتیجه آی*پی سرور Block (مسدود) می*گردد و حداقل پیامدی که مسدود شدن IP سرور به*همراه دارد عدم ارسال ایمیل*های سرور خواهد بود. CryptoPHP در قدم*های بعد اقدامات زیر را انجام می*دهد: 1- ادغام شدن در CMSهای مختلف نظیر وردپرس,جوملا و دروپال
2- ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
3- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)مشکل امنیتی CryptoPHP
4- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
5- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
6- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
7- به*روز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده*های دیگر
8- به*روز رسانی خود Malware
از تاریخ ۱۲ نوامبر ۲۰۱۴ تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگین*ها و تم*های CMSهای WordPress ,Joomla و Drupal شناسایی و ورژن*های مختلفی از این Malware دیده شده*است. تا کنون ۱۶ به*روز رسانی برای این Malware ارائه شده*است.
روش شناسایی CryptoPHP جهت شناسایی این Malware می*توانید اقدامات زیر را انجام دهید. 1- wordpress: عبارت زیر را در فایل theme*ها و plugin*های wordpress جستجو نمایید، در WordPress معمولا در انتهای فایل*های social.png و functions.php وجود دارد.
کد:
<?php include('images/social.png'); ?>
کد:
<?php include('images/social.png'); ?>
کد:
<?php include('images/social.png'); ?>
از دوستان عزیز خواهشمندم توجه کنند که فایل های ویروسی در تالار قرار ندن... همچنین انتی ویروس Eset آپدیت شده میتونه این ویروس رو شناسایی کنه. اسکن کردن فایل ها توسط آنتی ویروس بسیار تاثیر گذار خواهد بود
مراقب باشید