طبق گزارشات واصله اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب مربوطه با نام های social.png و social2.png و social3.png شناسایی می شود.
این Malware در قالب ها و plugin هایی که لایسنس دار هستند وجود ندارد و در صورتی که این plugin ها را از وب سایت های غیرمجاز تهیه نمایید این Malware وجود دارد
وب سایت هایی غیرمجازی که تاکنون شناسایی شده است که حاوی plugin های دارای Malware بوده است به شرح ذیل می باشد.
anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com
anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com
این Malware که با نام CryptoPHP شناسایی می گردد تهدیدی است بر علیه وب سرور ها که با استفاده از درب پشتی که در وب سایت های مبتنی بر CMS های ذکر شده ایجاد می گردد دسترسی خود را به سرور حفظ می کند .
CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می نماید.و دراولین قدم باعث می گردد تا تاثیر منفی(BlackSEO) در نتایج جستجو وب سایت شما در موتور های جستجو رویت شود. و این امر باعث می گردد تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که این منجر به بلوکه کردن آی پی سرور شما می گردد که در این صورت ایمیل های سرور شما ارسال نمی گردد.
و سپس اقدامات زیر را انجام میدهد.
۱- ادغام شدن در CMS های مختلف نظیر Wordpress , Joomla و Wordpres
۱- ادغام شدن در CMS های مختلف نظیر Wordpress , Joomla و Wordpres
۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعد در صورت قطع ارتباط
۳- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)
۴- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
۸- بروز رسانی خود Malware
از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۳ روز پیش) تاکنون ۱۰۰۰ درب پشتی (Backdoor) از این Malware در پلاگین ها و تم های CMS های ذکر شده شناسایی شده است که در ورژن های مختلف این Malware رویت شده است.این Malware تاکنون به ۱۶ نسخه بروز رسانی شده است.
جهت شناسایی این Malware می توانید اقدامات زیر را انجام دهید.
۱- عبارت زیر را در فایل theme ها و plugin های wordpress خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در wordpress این فایل معمولا با نام های social.png و functions.php وجود دارد.
<?php include('images/social.png'); ?>
۲- عبارت زیر را در فایل theme ها و plugin های Joomla خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Joomla این فایل معمولا با نام component.php وجود دارد.
<?php include('images/social.png'); ?>
۳- عبارت زیر را در فایل theme ها و plugin های Drupal خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Drupal این فایل معمولا با نام template.php وجود دارد.
<?php include('images/social.png'); ?>
این مشکل با درجه اهمیت Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی (Abuse) از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلوکه شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود برخورد نمایید.
جهت حل مشکل اقدامات زیر را انجام دهید.
1- تهیه آنتی شل CXS
2- بروز رسانی آنتی ویروس
3- اجرا یکی از دستورات زیر :
2- بروز رسانی آنتی ویروس
3- اجرا یکی از دستورات زیر :
find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {} \; -exec chmod 000 {} \; -print
find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print
find /home/ -name social.png -size 32k -exec rm -rf {} \;
find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt
find -L / -type f -name ‘social.png’ -exec file {} +
در صورتی که می خواهید این مشکل امنیتی توسط تیم امنیت سکیورهاست برطرف گردد لطفا یک تیکت به بخش امنیت ارسال نمایید.