۵۶۷۵ ۲۸۴۲ - ۰۲۱ info@gitiserver.com

CryptoPHP Backdoor چیست؟ و چه قابلیت‌هایی دارد؟ - گیتی سرور | GITI Server

23 شهریور 1398

post-thumnail

CryptoPHP یک قطعه کد مخرب است که برای مهاجمان توانایی اجرای کد دروغین را روی سرویس ‌دهنده‌های وب فراهم می‌کند.
این قطعه کد محتوای مخرب را به درون وب‌سایت‌هایی که میزبانی‌شان می‌کنند، تزریق می‌کند.

CryptoPHP

CryptoPHP یک تهدید است که با دور زدن مکانیزم‌های امنیتی به هسته‌ی themeها و پلاگین‌های نرم‌افزارهای مدیریت محتوا نظیر جوملا، وردپرس و دروپال دسترسی پیدا کرده و از آن‌ها برای سازگاری با وب‌سرورها در مقیاس‌های بزرگ استفاده می‌کند.

هکرها اقدام به خرید پلاگین، افزونه و قالب‌های غیررایگان انواع cmsها می‌کنند.
ابتدا قطعه کدی که بیانگر لایسنس داشتن یا نداشتن این پلاگین، قالب و یا افزونه است را حذف می‌کنند.
سپس کدهای مخرب را به آن‌ها اضافه کرده و نهایتا آن را به صورت رایگان برای قربانیان توزیع خواهند کرد.
این قطعه کد مخرب هکر را قادر می‌کند که به وسیله ی Backdoor به هسته سایت‌های آلوده دسترسی داشته باشد.

در حال حاضر اپراتورهای CryptoPHP از آن برای بهینه‌سازی غیرقانونی موتورهای جستجو که Blackhat SEO نیز نامیده می‌شود، سوء استفاده می‌کنند.
این Backdoor قطعه کدی است که به خوبی توسعه ‌یافته و در استفاده از آن پویایی وجود دارد.

 

قابلیت‌های CryptoPHP عبارت است از:

  • ادغام در سیستم‌های مدیریت محتوای معروف همچون جوملا، وردپرس و دروپال.
  • رمزنگاری کلید عمومی برای ارتباط بین سرویس‌دهنده در‌ معرض خطر و سرویس‌دهنده دستوری و کنترلی. (Command-and-control یا C2 سرورهایی هستند که توسط مهاجمان برای حفظ ارتباطات با سیستم‌های در معرض خطر از طریق یک شبکه هدف استفاده می‌شود.)
  • وجود یک زیرساخت گسترده از لحاظ دامنه‌ها و IP های C2
  • مکانیسم پشتیبان‌گیری در محل بر خلاف دامین‌های C2، به شکل ارتباط ایمیلی ضربه میزنند.
  • کنترل دستی Backdoor در کنار ارتباطات C2
  • بروزرسانی از راه دور فهرست سرویس‌دهنده‌های C2
  • توانایی بروزرسانی خود

در حال حاضر بیش از ۲۳۰۰۰ سرویس‌دهنده وب آلوده به CryptoPHP Backdoor هستند.
برخلاف عمده‌ی Backdoorهای وب‌سایت‌ها، CryptoPHP با استفاده از آسیب‌پذیری‌ها و bugهای امنیتی نصب نمی‌شود.
در عوض مهاجمان نسخه‌های دزدی شده‌ای از themeها و پلاگین‌های نرم‌افزارهای مدیریت محتوا که درونشان CryptoPHP تعبیه‌سازی شده را توزیع کرده و منتظر می‌مانند تا متخصصان وب آن‌ها را دانلود و بر روی وب‌سایتشان نصب کنند.
سرویس‌ دهنده‌های وب آلوده به CryptoPHP همانند یک botnet عمل می‌کنند. (botnet شبکه‌ای از کامپیوترهای شخصی آلوده به نرم‌افزارهای مخرب است که بدون اطلاع مالک و به عنوان یک گروه کنترل و برای مواردی همچون ارسال هرزنامه استفاده می‌شوند).
آن‌ها با استفاده از یک کانال ارتباط رمزنگاری ‌شده به سرویس‌‌دهنده‌های دستوری و کنترلی که توسط مهاجمان اداره می‌شوند، وصل شده و به دستورات گوش می‌کنند.

در کل ۲۳۶۹۳ آدرس IP منحصربه ‌فرد به این مشکل امنیتی آلوده هستند.
با توجه به اینکه برخی از آن‌ها آدرس IPهای متناظر با سرویس‌دهنده‌های میزبانی وبی هستند که بیش از یک وب‌سایت آلوده دارند، تعداد وب‌سایت‌های آلوده احتمالاً از این هم بیشتر است.

 

پنج کشور اولی که دارای این آلودگی هستند عبارت‌اند از:

ایالات‌متحده (۸۶۵۷ آدرس IP)، آلمان (۲۸۷۷ آدرس IP)، فرانسه (۱۲۳۱ آدرس IP)، هلند (۱۰۰۸ آدرس IP) و ترکیه (۷۴۹ آدرس IP).

نشانه اولیه وجود این مشکل امنیتی این است که CryptoPHP با سرورهای خارجی ارتباط برقرار می‌کند و نیاز به درخواست‌های متعدد خارجی دارد. در صورتی که وبسایت شما مخصوصا در بازدید اول بسیار کند لود شود، می توانید به وجود این کد مخرب مشکوک شوید. همچنین با توجه به وجود requestهای شکست خورده، می توانید پیغام‌های خطا را در لاگ مربوط به سرور خود مشاهده کنید.

معمولا اسکریپ‌هایی که exploit را ایجاد می‌کنند در تصاویر قرار می‌گیرند(عمدتا با یک نام مشترک).
exploit به نقص ناخواسته و آسیب‌پذیری اصلاح نشده در کد نرم‌افزار گفته می‌شود.
این نقص آن را در معرض بهره‌برداری بالقوه توسط هکرها و یا کد برنامه‌های مخرب مانند ویروس‌ها، کرم‌ها، اسب‌های تروجان و دیگر اشکال مخرب قرار می‌دهد.
اگر وب‌سایت شما به CryptoPHP backdoor آلوده شده است بایستی تک‌تک تصاویر موجود در فایل‌های وب‌سایت خود را بررسی کنید.
در صورتی که به عکسی برخوردید که امکان بازکردن آن را در نرم افزارهای نمایش عکس نداشتید اما در نرم‌افزارهای نمایش اسناد اطلاعات آن به نمایش درآمد ، به احتمال زیاد وب‌سایت شما آلوده شده است.

در زیر یک مثال ساده از injection کد CryptoPHP موجود است که در آن یک قطعه کوچک از کدهای مخرب را به یک فایل PNG تزریق کرده است :

<?php include(‘assets/images/social.png’); ?>

 

Include مربوط به Backdoor را حذف کنید.
به عنوان مثال اسکریپتی که شامل کد زیر می‌باشد را پیدا کنید(توجه داشته باشید که این مسیر می‌تواند متفاوت باشد):

< ?php include(‘images/social.png’); ? >

 

فایل اصلی Backdoor (به عنوان مثال png) را حذف کنید.
دیتابیس وب‌سایت خود را بررسی کرده و در صورتی که اکانت administrator دیگری اضافه شده، آن را حذف کنید.
اطلاعات مربوط به تمامی حساب‌های کاربری وب‌سایت خود را تغییر دهید.
چرا که اطلاعات فعلی به احتمال زیاد در معرض خطر قرار گرفته‌اند.

 

با انجام موارد زیر می توانید تا حد زیادی در برابر این نوع آلودگی‌ها از خود محافظت کنید:

  1. پلاگین ها را فقط از منابع معتبر و تأییدشده دانلود و نصب کنید.
  2. مطمئن شوید که از آخرین نسخه‌ پلاگین‌ها و هسته CMS بروز شده استفاده می‌کنید.
  3. قالب‌ها و پلاگین‌های قدیمی که دیگر از آن‌ها استفاده نمی‌کنید را حذف کنید.
  4. ابزارهای بررسی امنیتی همچون iThemes Security یا WordFence در وردپرس و Akeeba یا Securitycheck Pro در جوملا را دانلود و فعال کنید.
  5. برای اطمینان از امن‌بودن محتوای وب‌سایت به طور منظم با استفاده از آنتی‌ویروس معتبر تمامی اطلاعات و فایل‌های وب‌سایت خود را اسکن کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *