CryptoPHP Backdoor چیست؟

CryptoPHP یک قطعه کد مخرب است ، که برای مهاجمان راه دور توانایی اجرای کد دروغین را بر روی سرویس ‌دهنده ‌های وب فراهم می‌کند و محتوای مخرب را به درون وب‌ سایت ‌هایی که میزبانی‌ شان می‌ کنند ، تزریق می‌کند. CryptoPHP یک تهدید است که به وسیله ی دور زدن مکانیزم های امنیتی به هسته ی theme ها و پلاگین های نرم افزارهای مدیریت محتوا نظیر جوملا، وردپرس و دروپال دسترسی پیدا کرده و از آن ها برای سازگاری با وب سرورها در مقیاس‌ های بزرگ استفاده می‌کند.

هکر ها اقدام به خرید پلاگین ، افزونه و قالب های غیر رایگان انواع cms ها می کنند و ابتدا قطعه کد داخل آن ها که بیانگر اینکه این پلاگین ، قالب و یا افزونه دارای لایسنس است یا خیر را حذف کرده و سپس کدهای مخرب را به آن ها اضافه کرده و نهایتا آن را به صورت رایگان برای قربانیان توزیع خواهند کرد. این قطعه کد مخرب هکر را قادر خواهد ساخت که به وسیله ی Backdoor به هسته ی سایت های آلوده دسترسی داشته باشد.

در حال حاضر اپراتورهای CryptoPHP از آن برای بهینه‌ سازی غیر قانونی موتورهای جستجو ، که Blackhat SEO نیز نامیده می‌شود ، سوء استفاده می‌ کنند. این Backdoor قطعه کدی است که به خوبی توسعه ‌یافته و در استفاده از آن پویایی وجود دارد. قابلیت‌های CryptoPHP عبارت است از:

• ادغام در سیستم‌های مدیریت محتوای معروف همچون جوملا ، وردپرس و دروپال. در صورت تمایل به کسب اطلاعات بیشتر می توانید به مقاله drupal چیست مراجعه نمایید.
• رمزنگاری کلید عمومی برای ارتباط بین سرویس دهنده در معرض خطر و سرویس دهنده دستوری و کنترلی (Command-and-control یا C2 سرورهایی هستند که توسط مهاجمان برای حفظ ارتباطات با سیستم های در معرض خطر از طریق یک شبکه ی هدف استفاده می شود.)
• وجود یک زیرساخت گسترده از لحاظ دامنه‌ها و IP های C2
• مکانیسم پشتیبان گیری در محل بر خلاف دامین های C2 ، به شکل ارتباط ایمیلی ضربه میزنند
• کنترل دستی Backdoor در کنار ارتباطات C2
• به‌روزرسانی از راه دور فهرست سرویس‌ دهنده‌های C2
• توانایی به‌روزرسانی خود

در حال حاضر بیش از ۲۳۰۰۰ سرویس دهنده ی وب آلوده به CryptoPHP Backdoor هستند. برخلاف عمده ی  Backdoor های وب‌سا یت ها ، CryptoPHP با استفاده از آسیب‌ پذیری‌ها و bug های امنیتی نصب نمی‌شود. در عوض مهاجمان نسخه‌های دزدی شده‌ای از theme ها و پلاگین های نرم افزارهای مدیریت محتوا که درونشان CryptoPHP تعبیه سازی شده را توزیع کرده و منتظر می‌مانند تا متخصصان وب آن‌ها را دانلود و بر روی وب‌ سایتشان نصب کنند. سرویس‌ دهنده‌های وب آلوده به CryptoPHP همانند یک botnet  عمل می‌کنند (botnet شبکه ای از کامپیوترهای شخصی آلوده به نرم افزار های مخرب است که بدون اطلاع مالک و به عنوان یک گروه کنترل می شوند و برای مواردی همچون ارسال هرزنامه استفاده می شوند). آن‌ها با استفاده از یک کانال ارتباط رمزنگاری ‌شده به سرویس‌ دهنده‌های دستوری و کنترلی که توسط مهاجمان اداره می شوند ، وصل شده و به دستورات گوش می‌کنند.

در کل ۲۳۶۹۳ آدرس IP منحصربه ‌فرد به این مشکل امنیتی آلوده هستند. اما با توجه به اینکه برخی از آن‌ ها آدرس IP های متناظر با سرویس‌ دهنده‌های میزبانی وبی هستند که بیش از یک وب‌سایت آلوده دارند ، تعداد وب‌ سایت‌ های آلوده احتمالاً از این هم بیشتر است.

پنج کشور اولی که دارای آلودگی CryptoPHP هستند عبارت‌اند از ایالات‌متحده (۸۶۵۷ آدرس IP) ، آلمان (۲۸۷۷ آدرس IP) ، فرانسه (۱۲۳۱ آدرس IP) ، هلند (۱۰۰۸ آدرس IP) و  ترکیه (۷۴۹ آدرس IP).

نشانه ی اولیه ی وجود این مشکل امنیتی این است که CryptoPHP با سرور های خارجی ارتباط برقرار می کند و نیاز به درخواست های متعدد خارجی دارد. در صورتی که وب سایت شما مخصوصا در بازدید اول بسیار کند لود شود ، می توانید به وجود این کد مخرب مشکوک شوید. همچنین با توجه به وجود request های شکست خورده ، می توانید پیغام های خطا را در لاگ مربوط به سرور خود مشاهده کنید.

معمولا اسکریپ هایی که exploit را ایجاد می کنند در تصاویر قرار می گیرند (عمدتا با یک نام مشترک). exploit به نقص ناخواسته و آسیب پذیری اصلاح نشده در کد نرم افزار گفته می شود که آن را در معرض بهره برداری بالقوه توسط هکرها و یا کد برنامه های مخرب مانند ویروس ها، کرم ها، اسب های تروجان و دیگر اشکال مخرب قرار می دهد. در صورتی که وب سایت شما به CryptoPHP backdoor  آلوده شده است و یا احتمال می دهید که این این اتفاق افتاده بایستی تک تک تصاویر موجود در فایل های وب سایت خود را بررسی کنید. در صورتی که به عکسی برخوردید که امکان بازکردن آن را  در نرم افزارهای نمایش عکس نداشتید اما در نرم افزارهای نمایش اسناد اطلاعات آن به نمایش در آمد ، به احتمال زیاد وب سایت شما آلوده شده است.

در زیر یک مثال ساده از injection کد CryptoPHP موجود است که در آن یک قطعه کوچک از کد های مخرب را به یک فایل PNG تزریق کرده است :

<?php include(‘assets/images/social.png’); ?>

برای حذف CryptoPHP از وب سایت خود بایستی مراحل ۴گانه ی زیر را انجام دهید :

1. Include مربوط به Backdoor را حذف کنید. به عنوان مثال اسکریپتی که شامل کد زیر می باشد را پیدا کنید ( توجه داشته باشید که این مسیر می تواند متفاوت باشد ) :

< ?php include(‘images/social.png’); ? >

2. فایل اصلی Backdoor (به عنوان مثال png) را حذف کنید.
3. دیتابیس وب سایت خود را بررسی کرده و در صورتی که اکانت administrator دیگری اضافه شده ، آن را حذف کنید.
4. اطلاعات مربوط به تمامی حساب های کاربری وب سایت خود را تغییر دهید ، چرا که اطلاعات فعلی به احتمال زیاد در معرض خطر قرار گرفته اند.

با انتشار theme های سرقت شده و پلاگین های رایگان که به‌ جای پرداخت هزینه برای آن‌ها ، برای استفاده عموم آزاد هستند، عامل CryptoPHP به شیوه ی کاملا مهندسی شده ، مدیران سایت ها را مجاب می کند که Backdoor مربوطه را ناخواسته بر روی سرورشان نصب می‌کنند.

با انجام موارد زیر می توانند تا حد زیادی در برابر این نوع آلودگی‌ ها از خود محافظت کنید:

1. پلاگین ها را فقط از منابع معتبر و تأییدشده دانلود و نصب کنید.
2. مطمئن شوید که از آخرین نسخه‌ ی پلاگین ها و هسته ی CMS به‌روز شده استفاده می کنید.
3. قالب ها و پلاگین های قدیمی که دیگر از آن ها استفاده نمی کنید را حذف کنید.
4. ابزارهای بررسی امنیتی ‌ای همچون iThemes Security یا WordFence در وردپرس و Akeeba یا Securitycheck Pro در جوملا را دانلود و فعال کنید.
5. برای اطمینان از امن بودن محتوای وب سایت به طور منظم با استفاده از آنتی ویروس معتبر تمامی اطلاعات و فایل های وب سایت خود را اسکن کنید.

برای آشنایی با افزونه وردفنس می توانید ار مقاله نصب و راه اندازی افزونه wordfence کمک بگیرید.