طبق گزارشات واصله، به تازگی بدافزار (Malware) خطرناکی با نام CryptoPHP در قالب ها و پلاگینهای wordpress ،joomla و Drupal شناسایی شده؛ فایلهای social.png ،social2.png و social3.png حاوی این فایل مخرب است.
CryptoPHP در قالبها و pluginهایی که لایسنس دارند وجود ندارد، در صورتی که این pluginها را از وب سایتهای غیرمجاز تهیه نمایید احتمال وجود این Malware در آنها بالا است.
مشکل امنیتی CryptoPHP
برخی وب سایتهای غیرمجازی کهthemeها و pluginهای آنها حاوی CryptoPHP بوده است، شناسایی و به شرح ذیر میباشد:
anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com
CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایتهای مبتنی بر سیستم های مدیریت محتوا، دسترسی خود را به سرور ایجاد و حفظ میکند.
این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی مینماید، و دراولین قدم باعث میگردد تا تاثیر منفی در نتایج جستجو وبسایت (BlackSEO) نمایش دادهشود؛ این امر باعث میگردد تا آیپی شما در وب سایتهایی نظیر CBL لیست و در نتیجه آیپی سرور Block (مسدود) میگردد و حداقل پیامدی که مسدود شدن IP سرور بههمراه دارد عدم ارسال ایمیلهای سرور خواهد بود. CryptoPHP در قدمهای بعد اقدامات زیر را انجام میدهد:
1- ادغام شدن در CMSهای مختلف نظیر وردپرس,جوملا و دروپال
2- ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
3- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)مشکل امنیتی CryptoPHP
4- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
5- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
6- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
7- بهروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهندههای دیگر
8- بهروز رسانی خود Malware
از تاریخ ۱۲ نوامبر ۲۰۱۴ تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگینها و تمهای CMSهای WordPress ,Joomla و Drupal شناسایی و ورژنهای مختلفی از این Malware دیده شدهاست. تا کنون ۱۶ بهروز رسانی برای این Malware ارائه شدهاست.
روش شناسایی CryptoPHP
جهت شناسایی این Malware میتوانید اقدامات زیر را انجام دهید.
1- wordpress: عبارت زیر را در فایل themeها و pluginهای wordpress جستجو نمایید، در WordPress معمولا در انتهای فایلهای social.png و functions.php وجود دارد.
<?php include('images/social.png'); ?>
2- Joomla: عبارت زیر را در فایل themeها و pluginهای Joomla جستجو نمایید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
<?php include('images/social.png'); ?>
3- Drupal: عبارت زیر را در فایل themeها و pluginهای Drupal جستجو نمایید، در Drupal معمولا در انتهای فایل template.php وجود دارد.
<?php include('images/social.png'); ?>
مشکل امنیتی CryptoPHP
درجه اهمیت CryptoPHP از نوع Critical (بحرانی) میباشد، زیرا باعث دریافت گزارش تخلف زیادی (Abuse) از سوی دیتاسنتر و ایجاد مشکلاتی اساسی نظیر مسدود شدن آیپی و عدم ارسال ایمیل در سرور خواهد شد.
روش حل مشکل CryptoPHP:
جهت حل مشکل اقدامات زیر را انجام دهید:
1- تهیه آنتی شل CXS، برای کسب اطلاعات بیشتر معرفی CXS را مشاهده نمایید.
2- بهروز رسانی آنتی ویروس
3- اجرا یکی از دستورات زیر:
دستور اول:
find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {} \; -exec chmod 000 {} \; -print
دستور دوم:
find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print
دستور سوم:
find /home/ -name social.png -size 32k -exec rm -rf {} \;
دستور چهارم:
find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt
دستور پنجم:
find -L / -type f -name ‘social.png’ -exec file {} +
در صورت تمابل میتوانید جهت بررسی وجود و حل مشکل امنیتی CryptoPHP را به تیم امنیتی شرکت خدمات پاسارگاد واگذار نمایید، برای این منظور کافی است یک تیکت به پاسارگاد سرویسز ارسال کنید.
با تشکر بخش اطلاع رسانی شرکت خدمات پاسارگاد