درباره ی بدافزار cryptoPHP

“هاست شما بر روی آدرس آی پی خاص آلوده به cryptoPHP-Malware شده است.”
این مشکلی است که در صورتیکه از سیستم های مدیریت محتوا استفاده می نمایید ممکن است با آن روبرو شوید، خوب است در این رابطه اطلاعاتی کسب نمایید تا در صورت مواجهه با چنین مشکلی بتوانید اقدامات مورد نیاز را انجام دهید.

اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب با نام های social.png و social2.png و social3.png شناسایی می شود.
CryptoPHP یک تهدید است بر علیه وب سرور ها که در پلاگین های wordpress ، joomla drupal, شناسایی شده است که در وب سایت های مبتنی بر مدیریت محتوای ذکر شده ایجاد می گردد و دسترسی خود را به سرور در مقیاس بزرگ حفظ می کند .
این Malware در پلاگین هایی که لایسنس داشته باشند، وجود ندارد و در صورتیبا آنها مواجه می شوید که آن ها را از وب سایت های غیرمجاز تهیه نمایید.

تحلیل تهدید مخفی در سیستم های مدیریت محتوا:

این تهدید به طور قطع به این معناست که وب سایت آلوده تشخیص داده شده، از پلاگین های سایتهای nulledstylez.com ، dailynulled.com و بسیاری سایتهای دیگر که متخصص در ارائه ی نرم افزار nulled”” هستند، استفاده کرده است.
تحقیقات Fox-IT نشان داده است که هر تم یا پلاگین گرفته شده از این دو سایت،آلوده به CryptoPHP- Malware می باشد.
CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می کند و در اولین قدم باعث می شود تا تاثیر منفی در نتایج جستجوی وب سایت شما در موتور های جستجوگر نماید که این مسئله باعث می شود تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که منجر به بلاک شدن آی پی سرور شما می شود و در این صورت ایمیل های سرور شما ارسال نمی شود.
سپس اقدامات زیر را انجام می دهد:
۱- ادغام شدن در مدیریت محتواهای مختلف نظیر WordPress , Joomla و …
۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعدی در صورت قطع ارتباط
۳- استفاده از کلید عمومی برای ارتباط سایت هک شده با سرور اصلی
۴- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات از سرور اصلی
۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
۸- بروز رسانی خود Malware

پشت NAT، شما باید بتوانید ماشین آلوده را با جستجوی تلاش صورت گرفته برای ارتباط با آدرس آی پی موردنظر یا نام هاست مربوطه روی هر پورتی، با network sniffer، مثل wire shark یا کانفیگ روتر پیدا کنید تا چنین ارتباطاتی را بلاک کرده و log بگیرد.
در نهایت شما می تواند لاگ های دی ان اس سرور یا پروکسی سرورتان را بررسی نمایید.
راه حل:
تمام محتوای پوشه ی home را برای یافتن “social.png” جستجو نمایید (به صورت زیر) و سپس به صورت دستی محتوای هر فایل را ببینید. البته با وجود چندین سرور و صدها اکانت این فرایند بسیار زمانبر خواهد بود.

سخت ترین بخش این کار فهماندن شدت مشکل به مشتریان و توجیه آنها جهت حذف فایلها و دیتابیس های مشکل دار است. چون بیشتر پلاگین های جعلی، چندین ماه قبل نصب شده است و پر واضح است که اکثرا بکاپی هم از آنها موجود نیست.
اگر snort IDS بر روی centOS 6+ به درستی کار کند به نظر می رسد که راه حل موثری علاوه بر Maldet باشد.

اهمیت این مشکل از درجه ی Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلاک شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود مواجه شوید.
جهت حل مشکل اقدامات زیر را انجام دهید:

1- تهیه آنتی شل CXS
2- بروز رسانی آنتی ویروس
3- اجرا یکی از دستورات زیر :

کد:
find /home/ -name “social*.png” -exec grep -q -E -o ‘php.{0,80}’ {} \; -exec chmod 000 {} \; -print
کد:
find /home/ -name “social*.png” -exec grep -E -o ‘php.{0,80}’ {} \; -print
کد:
find /home/ -name social.png -size 32k -exec rm -rf {} \;

کد:
find -L /home -type f -name ‘*.png’ -print0 | xargs -0 file | grep “PHP script” >cryptoPHP.txt
کد:
find -L / -type f -name ‘social.png’ -exec file {} +