CryptoPHP Backdoor چیست؟
CryptoPHP یک قطعه کد مخرب است ، که برای مهاجمان راه دور توانایی اجرای کد دروغین را بر روی سرویس دهنده های وب فراهم میکند و محتوای مخرب را به درون وب سایت هایی که میزبانی شان می کنند ، تزریق میکند. CryptoPHP یک تهدید است که به وسیله ی دور زدن مکانیزم های امنیتی به هسته ی theme ها و پلاگین های نرم افزارهای مدیریت محتوا نظیر جوملا، وردپرس و دروپال دسترسی پیدا کرده و از آن ها برای سازگاری با وب سرورها در مقیاس های بزرگ استفاده میکند.
هکر ها اقدام به خرید پلاگین ، افزونه و قالب های غیر رایگان انواع cms ها می کنند و ابتدا قطعه کد داخل آن ها که بیانگر اینکه این پلاگین ، قالب و یا افزونه دارای لایسنس است یا خیر را حذف کرده و سپس کدهای مخرب را به آن ها اضافه کرده و نهایتا آن را به صورت رایگان برای قربانیان توزیع خواهند کرد. این قطعه کد مخرب هکر را قادر خواهد ساخت که به وسیله ی Backdoor به هسته ی سایت های آلوده دسترسی داشته باشد.
در حال حاضر اپراتورهای CryptoPHP از آن برای بهینه سازی غیر قانونی موتورهای جستجو ، که Blackhat SEO نیز نامیده میشود ، سوء استفاده می کنند. این Backdoor قطعه کدی است که به خوبی توسعه یافته و در استفاده از آن پویایی وجود دارد. قابلیتهای CryptoPHP عبارت است از:
- ادغام در سیستمهای مدیریت محتوای معروف همچون جوملا ، وردپرس و دروپال. در صورت تمایل به کسب اطلاعات بیشتر می توانید به مقاله drupal چیست مراجعه نمایید.
- رمزنگاری کلید عمومی برای ارتباط بین سرویس دهنده در معرض خطر و سرویس دهنده دستوری و کنترلی (Command-and-control یا C2 سرورهایی هستند که توسط مهاجمان برای حفظ ارتباطات با سیستم های در معرض خطر از طریق یک شبکه ی هدف استفاده می شود.)
- وجود یک زیرساخت گسترده از لحاظ دامنهها و IP های C2
- مکانیسم پشتیبان گیری در محل بر خلاف دامین های C2 ، به شکل ارتباط ایمیلی ضربه میزنند
- کنترل دستی Backdoor در کنار ارتباطات C2
- بهروزرسانی از راه دور فهرست سرویس دهندههای C2
- توانایی بهروزرسانی خود
در حال حاضر بیش از ۲۳۰۰۰ سرویس دهنده ی وب آلوده به CryptoPHP Backdoor هستند. برخلاف عمده ی Backdoor های وبسا یت ها ، CryptoPHP با استفاده از آسیب پذیریها و bug های امنیتی نصب نمیشود. در عوض مهاجمان نسخههای دزدی شدهای از theme ها و پلاگین های نرم افزارهای مدیریت محتوا که درونشان CryptoPHP تعبیه سازی شده را توزیع کرده و منتظر میمانند تا متخصصان وب آنها را دانلود و بر روی وب سایتشان نصب کنند. سرویس دهندههای وب آلوده به CryptoPHP همانند یک botnet عمل میکنند (botnet شبکه ای از کامپیوترهای شخصی آلوده به نرم افزار های مخرب است که بدون اطلاع مالک و به عنوان یک گروه کنترل می شوند و برای مواردی همچون ارسال هرزنامه استفاده می شوند). آنها با استفاده از یک کانال ارتباط رمزنگاری شده به سرویس دهندههای دستوری و کنترلی که توسط مهاجمان اداره می شوند ، وصل شده و به دستورات گوش میکنند.
در کل ۲۳۶۹۳ آدرس IP منحصربه فرد به این مشکل امنیتی آلوده هستند. اما با توجه به اینکه برخی از آن ها آدرس IP های متناظر با سرویس دهندههای میزبانی وبی هستند که بیش از یک وبسایت آلوده دارند ، تعداد وب سایت های آلوده احتمالاً از این هم بیشتر است.
پنج کشور اولی که دارای آلودگی CryptoPHP هستند عبارتاند از ایالاتمتحده (۸۶۵۷ آدرس IP) ، آلمان (۲۸۷۷ آدرس IP) ، فرانسه (۱۲۳۱ آدرس IP) ، هلند (۱۰۰۸ آدرس IP) و ترکیه (۷۴۹ آدرس IP).
نشانه ی اولیه ی وجود این مشکل امنیتی این است که CryptoPHP با سرور های خارجی ارتباط برقرار می کند و نیاز به درخواست های متعدد خارجی دارد. در صورتی که وب سایت شما مخصوصا در بازدید اول بسیار کند لود شود ، می توانید به وجود این کد مخرب مشکوک شوید. همچنین با توجه به وجود request های شکست خورده ، می توانید پیغام های خطا را در لاگ مربوط به سرور خود مشاهده کنید.
معمولا اسکریپ هایی که exploit را ایجاد می کنند در تصاویر قرار می گیرند (عمدتا با یک نام مشترک). exploit به نقص ناخواسته و آسیب پذیری اصلاح نشده در کد نرم افزار گفته می شود که آن را در معرض بهره برداری بالقوه توسط هکرها و یا کد برنامه های مخرب مانند ویروس ها، کرم ها، اسب های تروجان و دیگر اشکال مخرب قرار می دهد. در صورتی که وب سایت شما به CryptoPHP backdoor آلوده شده است و یا احتمال می دهید که این این اتفاق افتاده بایستی تک تک تصاویر موجود در فایل های وب سایت خود را بررسی کنید. در صورتی که به عکسی برخوردید که امکان بازکردن آن را در نرم افزارهای نمایش عکس نداشتید اما در نرم افزارهای نمایش اسناد اطلاعات آن به نمایش در آمد ، به احتمال زیاد وب سایت شما آلوده شده است.
در زیر یک مثال ساده از injection کد CryptoPHP موجود است که در آن یک قطعه کوچک از کد های مخرب را به یک فایل PNG تزریق کرده است :
<?php include(‘assets/images/social.png’); ?>
برای حذف CryptoPHP از وب سایت خود بایستی مراحل ۴گانه ی زیر را انجام دهید :
- Include مربوط به Backdoor را حذف کنید. به عنوان مثال اسکریپتی که شامل کد زیر می باشد را پیدا کنید ( توجه داشته باشید که این مسیر می تواند متفاوت باشد ) :
< ?php include(‘images/social.png’); ? >
- فایل اصلی Backdoor (به عنوان مثال png) را حذف کنید.
- دیتابیس وب سایت خود را بررسی کرده و در صورتی که اکانت administrator دیگری اضافه شده ، آن را حذف کنید.
- اطلاعات مربوط به تمامی حساب های کاربری وب سایت خود را تغییر دهید ، چرا که اطلاعات فعلی به احتمال زیاد در معرض خطر قرار گرفته اند.
با انتشار theme های سرقت شده و پلاگین های رایگان که به جای پرداخت هزینه برای آنها ، برای استفاده عموم آزاد هستند، عامل CryptoPHP به شیوه ی کاملا مهندسی شده ، مدیران سایت ها را مجاب می کند که Backdoor مربوطه را ناخواسته بر روی سرورشان نصب میکنند.
با انجام موارد زیر می توانند تا حد زیادی در برابر این نوع آلودگی ها از خود محافظت کنید:
- پلاگین ها را فقط از منابع معتبر و تأییدشده دانلود و نصب کنید.
- مطمئن شوید که از آخرین نسخه ی پلاگین ها و هسته ی CMS بهروز شده استفاده می کنید.
- قالب ها و پلاگین های قدیمی که دیگر از آن ها استفاده نمی کنید را حذف کنید.
- ابزارهای بررسی امنیتی ای همچون iThemes Security یا WordFence در وردپرس و Akeeba یا Securitycheck Pro در جوملا را دانلود و فعال کنید.
- برای اطمینان از امن بودن محتوای وب سایت به طور منظم با استفاده از آنتی ویروس معتبر تمامی اطلاعات و فایل های وب سایت خود را اسکن کنید.
برای آشنایی با افزونه وردفنس می توانید ار مقاله نصب و راه اندازی افزونه wordfence کمک بگیرید.