راه مقابله با ‫تهدید جدید امنیتی CryptoPHP

متاسفانه Malware بسیار خطرناکی با اسم Cryptophp در افزونه های WordPress , joomla , Drupal پیدا شده که قایل های مخرب آن  social.png ،social2.png و social3.png میباشند. این Malware خطرناک در قالب ها و افزونه هایی که دارای لایسنس هستند وجود ندارند اگر که این افزونه های را از وب سایت های غیر مجاز داشته باشید، امکان داشتن Malware در آن بالا میباشد. این یک تهدید بر علیه وب سرور مجازی ها میباشد که با استفاده از backdoor وب سایت هایی که مبتنی بر CMS میباشند دسترسی خود را به سرور مجازی باز کرده و آن را حفظ میکند در این مقاله راه های شناخت ‫تهدید جدید امنیتی CryptoPHP را فرا میگیرید.

توجه داشته باشید که این Cryptophp بعد از Upload شدن روی سرور مجازی دستورات کنترلی از سرویس دهنده اصلی را میگیرد و در مرحله اول موجب میشود که در نتیاج جستجو تاثیرات منفی داشته باشد. همین دلیل باعث میشود که IP شما در سایت هایی مثل  cbl لیست و در آخز IP سرور مجازی شما بلاک شود و  CryptoPHP در قدم‌های بعد اقدامات زیر را انجام می‌دهد:

1. ترکیبشدن با CMSهای مختلف مثل WordPress ,Joomla و Drupal
2. ایجاد BackDoor برای ارتباطات بعد اگر که قطع ارتباط شود
3. استفاده کردن از کلید عمومی برای ارتباط وب سایت هک شده با سرور مجازی اصلی (C2 Server)
4. اساختن یک زیر ساخت و بزرگ برای دریافت کردن اطلاعات از سرور مجازی اصلی
5. استفاده کردن از مکانیزم پشتیبان گیزی اگر در دامنه اصلی و ارتباط از ایمیل در دسترس نبود
6. کنترل کردن به صورت دستی وداشتن ارتباط با BackDoor در سرور مجازی بوسیله سرور کنترلی
7. آپدیت خودکار برای ارتباط بیشتر با سرویس دهنده های دیگر
8. آپدیت خود Malware

روش شناسایی CryptoPHP

برای شناختن این Malware می‌توانید به صورت زیر عمل کنید :
wordpress: عبارت زیر را در فایل theme‌ها و افزونه های wordpress جستجو کنید، در WordPress معمولا در انتهای فایل‌های social.png و functions.php وجود دارد.

<?php include(‘images/social.png’); ?>

Joomla: متن زیر را در فایل پوسته ها و افزونه های Joomla پیدا کنید، در Joomla معمولا در انتهای فایل component.php وجود دارد.

<?php include(‘images/social.png’); ?>

Drupal: عبارت زیر را در فایل پوسته ها و افزونه های Drupal پیداکنید، در Drupal معمولا در انتهای فایل template.php وجود دارد.

<?php include(‘images/social.png’); ?>