کد مخرب CryptoPHP Backdoor چیست؟

CryptoPHP را می توان به عنوان یکی از مشکلات بزرگ سرویس دهنده های وب دانست. CryptoPHP در واقع یک Malware یا کد مخرب است که کدهای دروغینی را بر روی سرویس دهنده های وب ایجاد کرده و باعث ارسال محتواهای مخرب به وب سایت ها می شود. عملکرد این کد مخرب به گونه ای است که سیستم امنیتی نرم افزارهای مدیریت محتوا را هدف قرار داده و به هسته theme و پلاگین ها دسترسی پیدا کرده و از این طریق فایل های مخرب را ارسال می نماید. نرم افزار های مدیریت محتوا مانند جوملا، دروپال و ورد پرس می توانند تحت تاثیر کد مخرب CryptoPHP قرار بگیرند.

در دنیا کشورهای زیادی دارای آلودگی های CryptoPHP هستند که در این میان 5 کشور ایالات متحده آمریکا، آلمان، فرانسه، هلند و ترکیه دارای بالاترین رتبه از لحاظ آلودگی هستند. به طور کلی بیش از 23 هزار IP آلوده در دنیا وجود دارد و پیش بینی می شود تعداد وب سایت های آلوده از این عدد هم بالاتر باشد.

هکر ها چگونه از CryptoPHP Backdoor استفاده می کنند؟

هکر ها جهت دست یابی به هسته سایت های آلوده از این کد مخرب استفاده می کنند. CryptoPHP هکر ها را قادر می سازد تا از آن برای دسترسی به Backdoor استفاده نماید. هکر ها با خرید پلاگین ها و قالب های غیر رایگان مربوط به CMS ها، آن ها را دست‌کاری کرده و ابتدا کدهای مخرب CryptoPHP را وارد این افزونه ها و پلاگین ها نموده و سپس آن ها را به صورت نسخه های رایگان انتشار می دهند. به همین دلیل از لحاظ امنیتی به کاربران توصیه می شود که این گونه قالب ها، پلاگین ها و افزونه ها از منابع معتبر و یا با پرداخت هزینه دریافت نمایند.

یکی دیگر از استفاده هایی که از CryptoPHP می شود در سئوی کلاه سیاه یا بهینه سازی غیر قانونی موتورهای جستجو می باشد.

قابلیت های CryptoPHP

CryptoPHP ها دارای قابلیت های فراوانی هستند که هکر ها از آن ها برای اهداف مخرب خود استفاده می نمایند:

– قابلیت اثرگذاری بر روی اکثر سیستم های محتوای پر کاربرد مانند دوپال، ورد پرس و جوملا

– امکان رمز گذاری کلید عمومی که رابط میان سرویس دهنده مورد هدف هکر ها و سرویس دهنده دستوری در آن وجود دارد. سرویس دهنده های دستوری و کنترلی یا Command-and-control که به اختصار C2 نامیده می شود در واقع سرور هایی هستند که هکر ها از آن ها برای ایجاد و حفظ ارتباط با سیستم های در معرض خطر استفاده می کنند.

– CryptoPHP ها دارای زیر ساخت گسترده ای از لحاظ دامنه ها و IP های سرویس دهنده های دستوری و کنترلی یا Command-and-control هستند.

– ضربه به ارتباط ایمیلی از طریق قابلیت بک آپ یا پشتیبان گیری در محل بر خلاف دامین های Command-and-control

– وجود ارتباطات سرویس دهنده های دستوری و کنترلی یا Command-and-control همراه با کنترل دستی Backdoor

– امکان به روز رسانی سرویس دهنده های دستوری و کنترلی یا Command-and-control از راه دور

– به روز رسانی خود CryptoPHP

نشانه های وجود مشکل امنیتی CryptoPHP

می توان در صورت مشاهده برخی از نشانه های اولیه به وجود مشکل امنیتی CryptoPHP پی برد

– به طور کلی CryptoPHP با سرورهای خارجی ارتباط برقرار می کند و در نتیجه به درخواست های متعدد خارجی نیاز دارد

– اگر سایت در اولین لود شدن کند باشد می توان به وجود کد مخرب CryptoPHP مشکوک شد.

– اگر تعداد request های شکست خورده زیاد باشد می توان در لاگ مربوط به سرور خطاهای مربوط به آن را مشاهده نمود

حذف CryptoPHP از سایت

برای حذف CryptoPHP از سایت باید مراحل زیر را به ترتیب انجام داد:

1 – در ابتدا لازم است Include مربوط به Backdoor را پیدا و حذف نمایید

2 – در مرحله دوم باید فایل اصلی Backdoor را حذف نمایید.

3 – این مرحله مربوط به پایگاه داده وب سایت است. در این بخش لازم است پایگاه داده وب سایت را بررسی نموده و در صورتی که اکانت administrator دیگری در آن اضافه شده بود آن را حذف نمایید.

4 – مرحله آخر که می تواند از اهمیت بالایی برخوردار باشد محافظت از حساب های کاربری موجود است. برای این کار باید اطلاعات مربوط به تمام حساب های کاربری را تغییر دهید.

محافظت در برابر CryptoPHP

راه های زیادی برای محافظت در برابر آلودگی های CryptoPHP وجود دارد که استفاده از آن ها تا حد زیادی می تواند از ایجاد مشکلات بعدی که نتیجه آن تحمیل هزینه های زیاد به مدیران سایت ها می باشد جلوگیری به عمل آورد. از میان راه های زیادی که برای پیشگیری از آلودگی های CryptoPHP وجود دارد می توان به موارد زیر اشاره نمود:

1 – از نصب پلاگین ها و قالب های رایگان پرهیز نمایید و این موارد را تنها از منابع معتبر و تائید شده دانلود کرده و نصب نمایید. برخی از سایت هایی که پلاگین های آلوده به فایل های مشکوک را منتشر می کنند شامل موارد زیر هستند:

– anythingforwp.com

– awesome4wp.com

– bestnulledscripts.com

– dailynulled.com

– freeforwp.com

– freemiumscripts.com

– getnulledscripts.com

– izplace.com

– mightywordpress.com

– nulledirectory.com

بسیاری از سایت های دیگر نیز در این لیست وجود دارند که با بررسی پلاگین های ارائه شده توسط این سایت ها توصیه شده که فایلی را از آن ها دریافت ننمایید.

2 – از پلاگین ها و هسته های CMS به روز شده استفاده نمایید.

3 – نیازی نیست قالب ها و پلاگین های قدیمی را روی سیستم نگه دارید. این موارد دیگر به کار شما نمی آیند و باید از روی سیستم حذف شوند.

4 – استفاده از ابزار های امنیتی راه دیگری است که می توانید از آن ها بهره ببرید. در سیستم ورد پرس ابزار های امنیتی مثل iThemes Security و WordFence و در سیستم جوملا ابزار های امنیتی مانند Akeeba و Securitycheck Pro وجود دارند که می توان از آن ها برای ارتقاء سطح امنیتی در برابر CryptoPHP استفاده نمود.

5 – استفاده از آنتی ویروس های معتبر برای بررسی و اسکن فایل های و اطلاعات موجود امری ضروری تلقی می گردد که نه تنها در خصوص مشکلات مربوط به CryptoPHP موثر است بلکه به طور کلی برای حفظ امنیت سایت در برابر بسیاری از موارد مشکوک می تواند مفید واقع گردد.

The following two tabs change content below.

• Bio
• Latest Posts

شبنم قرشی

Google Ads Administrator & Content Development Specialist at Bertina

Latest posts by شبنم قرشی (see all)

• زندگی در گوگل Google - آگوست 19, 2020
• مقابله با بزرگترین حمله DDoS تاریخ به سبک آمازون - ژوئن 24, 2020
• نحوه غیرفعال کردن آپدیت خودکار در وردپرس - ژوئن 20, 2020
• آموزش تست سرعت افزونه های وردپرس با پلاگین P3 - ژوئن 13, 2020
• اضافه شدن امکان زمان‌بندی ارسال توییت به نسخه وب توییتر - ژوئن 2, 2020