اطلاعات عمومی در باره CryptoPHP Backdoor

اطلاعات عمومی در باره CryptoPHP Backdoor

 

[thumbnail target=”_self” alt=”یالات‌متحده (۸۶۵۷ آدرس IP)” src=”http://www.shopingserver.net/wp-content/uploads/2017/08/cryptophp.تحل-۱٫png”]

 

اطلاعات عمومی در باره CryptoPHP Backdoor

در حال حاضر بیش از ۲۳۰۰۰ سرویس دهنده ی وب آلوده به CryptoPHP Backdoor هستند. برخلاف عمده ی  Backdoor های وب‌سا یت ها ، CryptoPHP با استفاده از آسیب‌ پذیری‌ها و bug های امنیتی نصب نمی‌شود. در عوض مهاجمان نسخه‌های دزدی شده‌ای از theme ها و پلاگین های نرم افزارهای مدیریت محتوا که درونشان CryptoPHP تعبیه سازی شده را توزیع کرده و منتظر می‌مانند تا متخصصان وب آن‌ها را دانلود و بر روی وب‌ سایتشان نصب کنند. سرویس‌ دهنده‌های وب آلوده به CryptoPHP همانند یک botnet  عمل می‌کنند (botnet شبکه ای از کامپیوترهای شخصی آلوده به نرم افزار های مخرب است که بدون اطلاع مالک و به عنوان یک گروه کنترل می شوند و برای مواردی همچون ارسال هرزنامه استفاده می شوند). آن‌ها با استفاده از یک کانال ارتباط رمزنگاری ‌شده به سرویس‌ دهنده‌های دستوری و کنترلی که توسط مهاجمان اداره می شوند ، وصل شده و به دستورات گوش می‌کنند.
در کل

۲۳۶۹۳ آدرس IP منحصربه ‌فرد به این مشکل امنیتی آلوده هستند. اما با توجه به اینکه برخی از آن‌ ها آدرس IP های متناظر با سرویس‌ دهنده‌های میزبانی وبی هستند که بیش از یک وب‌سایت آلوده دارند ، تعداد وب‌ سایت‌ های آلوده احتمالاً از این هم بیشتر است.

پنج کشور اولی که دارای آلودگی CryptoPHP هستند عبارت‌اند از

ایالات‌متحده (۸۶۵۷ آدرس IP) ، آلمان (۲۸۷۷ آدرس IP) ، فرانسه (۱۲۳۱ آدرس IP) ، هلند (۱۰۰۸ آدرس IP) و  ترکیه (۷۴۹ آدرس IP).

نشانه ی اولیه ی وجود این مشکل امنیتی این است که CryptoPHP با سرور های خارجی ارتباط برقرار می کند و نیاز به درخواست های متعدد خارجی دارد. در صورتی که وب سایت شما مخصوصا در بازدید اول بسیار کند لود شود ، می توانید به وجود این کد مخرب مشکوک شوید. همچنین با توجه به وجود request های شکست خورده ، می توانید پیغام های خطا را در لاگ مربوط به سرور خود مشاهده کنید.

در ادامه:

معمولا اسکریپ هایی که exploit را ایجاد می کنند در تصاویر قرار می گیرند (عمدتا با یک نام مشترک). exploit به نقص ناخواسته و آسیب پذیری اصلاح نشده در کد نرم افزار گفته می شود که آن را در معرض بهره برداری بالقوه توسط هکرها و یا کد برنامه های مخرب مانند ویروس ها، کرم ها، اسب های تروجان و دیگر اشکال مخرب قرار می دهد. در صورتی که وب سایت شما به CryptoPHP backdoor  آلوده شده است و یا احتمال می دهید که این این اتفاق افتاده بایستی تک تک تصاویر موجود در فایل های وب سایت خود را بررسی کنید. در صورتی که به عکسی برخوردید که امکان بازکردن آن را  در نرم افزارهای نمایش عکس نداشتید اما در نرم افزارهای نمایش اسناد اطلاعات آن به نمایش در آمد ، به احتمال زیاد وب سایت شما آلوده شده است.

مثال:

در زیر یک مثال ساده از injection کد CryptoPHP موجود است که در آن یک قطعه کوچک از کد های مخرب را به یک فایل PNG تزریق کرده است :

<?php include(‘assets/images/social.png’); ?>