طبق گزارشات واصله اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب مربوطه با نام های social.png و social2.png و social3.png شناسایی می شود.

23905


این Malware در قالب ها و plugin هایی که لایسنس دار هستند وجود ندارد و در صورتی که این plugin ها را از وب سایت های غیرمجاز تهیه نمایید این Malware وجود دارد

وب سایت هایی غیرمجازی که تاکنون شناسایی شده است که حاوی plugin های دارای Malware بوده است به شرح ذیل می باشد.

anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com



این Malware که با نام CryptoPHP شناسایی می گردد تهدیدی است بر علیه وب سرور ها که با استفاده از درب پشتی که در وب سایت های مبتنی بر CMS های ذکر شده ایجاد می گردد دسترسی خود را به سرور حفظ می کند .
CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می نماید.و دراولین قدم باعث می گردد تا تاثیر منفی(BlackSEO) در نتایج جستجو وب سایت شما در موتور های جستجو رویت شود. و این امر باعث می گردد تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که این منجر به بلوکه کردن آی پی سرور شما می گردد که در این صورت ایمیل های سرور شما ارسال نمی گردد.
و سپس اقدامات زیر را انجام میدهد.
۱- ادغام شدن در CMS های مختلف نظیر Wordpress , Joomla و Wordpres
۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعد در صورت قطع ارتباط

۳- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)

23906

۴- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
۸- بروز رسانی خود Malware

از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۳ روز پیش) تاکنون ۱۰۰۰ درب پشتی (Backdoor) از این Malware در پلاگین ها و تم های CMS های ذکر شده شناسایی شده است که در ورژن های مختلف این Malware رویت شده است.این Malware تاکنون به ۱۶ نسخه بروز رسانی شده است.


جهت شناسایی این Malware می توانید اقدامات زیر را انجام دهید.

۱- عبارت زیر را در فایل theme ها و plugin های wordpress خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در wordpress این فایل معمولا با نام های social.png و functions.php وجود دارد.


<?php include('images/social.png'); ?>

۲- عبارت زیر را در فایل theme ها و plugin های Joomla خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Joomla این فایل معمولا با نام component.php وجود دارد.


<?php include('images/social.png'); ?>

۳- عبارت زیر را در فایل theme ها و plugin های Drupal خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Drupal این فایل معمولا با نام template.php وجود دارد.


<?php include('images/social.png'); ?>

23907

این مشکل با درجه اهمیت Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی (Abuse) از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلوکه شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود برخورد نمایید.

جهت حل مشکل اقدامات زیر را انجام دهید.

1- تهیه آنتی شل CXS (http://securehost.ir/security-service/license/)
2- بروز رسانی آنتی ویروس
​3- اجرا یکی از دستورات زیر :



find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {} \; -exec chmod 000 {} \; -print


find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print


find /home/ -name social.png -size 32k -exec rm -rf {} \;



find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt


find -L / -type f -name ‘social.png’ -exec file {} +



در صورتی که می خواهید این مشکل امنیتی توسط تیم امنیت سکیورهاست برطرف گردد لطفا یک تیکت به بخش امنیت (http://buy.securehost.ir/submitticket.php?step=2&deptid=2) ارسال نمایید.

منبع :
http://goo.gl/oFIwdE
مرکز آموزش - CryptoPHP در wordpress ، drupal و Joomla | SecureHost (http://buy.securehost.ir/knowledgebase.php?action=displayarticle&id=936)

ممنون از حامد عزیز

دوستان مشکل فوق با پیدا کردن *.png آلوده و همینطور اسکن با maldet یا CXS و بروررسانی آنتی ویروس (freshclam) و سپس اسکن سرور قابل شناسایی و رفع میباشد و جای نگرانی نیست

تشکر از آقای مسافر عزیز

همچنین یک نمونه از ابیوزی که از دیتاسنتر هتزنر رسیده است :



CryptoPHP ist eine PHP-basierte Backdoor, welche von Angreifern
in kompromittierte Content-Management-Systeme wie Joomla,
Wordpress oder Drupal eingeschleust wird. Detaillierte Informationen
zu CryptoPHP sind unter folgender URL verfügbar:
<http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-
threat-inside-popular-content-management-systems/>


Der Backdoor-Code enthält eine Liste von Domainnamen für Kontrollserver
der Täter, zu denen die Schadsoftware versucht Kontakt aufzunehmen.
Einige dieser Domainnamen konnten von Analysten auf Sinkhole-Server
umgeleitet werden, welche die Zugriffe protokollieren. Die Quell-IPs
dieser Anfragen lassen auf mit CryptoPHP infizierte Content-Management-
Systeme schließen.


Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, von denen Zugriffe auf die Kontrollserver-Domainnamen
der Schadsoftware erfolgten. Hierbei handelt es sich potenziell um
Webserver mit infizierten Content-Management-Systemen.


Wir möchten Sie bitten, den Sachverhalt zu prüfen und ggf. Maßnahmen
zur Bereinigung und Absicherung der betroffenen Systeme einzuleiten
bzw. Ihre Kunden entsprechend zu informieren.


Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an .




Liste der betroffenen Systeme in Ihrem Netzbereich:


Format: ASN | IP-Adresse | Zeitstempel (UTC) | C&C Domain
24940 | 192.168.0.1 | 2014-11-23 06:40:56 | ****.com






Mit freundlichen Grüßen
das Team CERT-Bund


----------------------------------------------------------------------


Dear Sir or Madam,


We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary
steps to prevent this from happening again in future.


Furthermore, we would request that you provide both ourselves and the
person who has submitted this complaint with a short statement within
24 hours. This statement should include details of the events leading
up to the incident and the steps you are taking to deal with it.


Next steps:
- Solve the problem
- Send your statement to us: Please use the following link for this:
- Send your statement to the person making the complaint per email


Important information:
When replying to us, please leave the Abuse ID [AbuseID:12BD10:19] in
the subject line unchanged.




Kind regards,


Hetzner Abuse Team


Hetzner Online AG
Industriestr. 25
91710 Gunzenhausen
Tel: + 49 (0)9831 505-0
Fax: + 49 (0)9831 505.3
abuse@hetzner.de
www.hetzner.com


Register Court: Registergericht Ansbach, HRB 3204
Management Board: Dipl. Ing. (FH) Martin Hetzner
Chairwoman of the Supervisory Board: Diana Rothhan


----- attachment -----
Dear Sir or Madam


CryptoPHP is a PHP based backdoor with which attackers infiltrate
compromised content management systems such as Joomla, Wordpress or
Drupal. Detailed information regarding CryptoPHP is available via the
following URL:
<http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-
threat-inside-popular-content-management-systems/>


The backdoor code contains a list of domain names for the
perpetrator's control servers which the malicious software can try to
reach. Analysts have been able to redirect some of these domain names
to sinkhole servers which log the attacks. The source IPs for these
requests indicate content management systems infected with CryptoPHP.


We are sending you a list of IP addresses in your net area, which have
been used to access the malicious software's control server domain
names. This potentially involves web servers with infected content
management systems.


Would you please examine the situation and take the necessary measures
to clean and safeguard the systems concerned and inform your customers
accordingly.


Please note:


This is an automatically generated message.
Please do not reply to the sender.
For queries, please contact:


دوستان عزیز با استفاده از قرار دادن دستور file:social.png در فایل /etc/cxs/cxs.xtra از آپلود این فایل توسط کاربران در cxs جلوگیری کنند.

اما برای افرادی که cxs هم ندارند با استفاده از قرار دادن دستور زیر :

<Files social.png>
Order allow,deny
Deny from all
</Files>

در کانفیگ وب سرور خود از اجرا این فایل خودداری کنند.

همچنین با استفاده از دستورات chmod , find میتوان دسترسی این فایل ها را بر روی سرور مسدود کرد .

با تشکر

بله برای دو سرور اختصاصی کاربران ما نیز این مشکل بود که قبل از این تاپیک بررسی شد و رفع شدند



rm /home/xxx/domains/xxx/public_html/wordpress/wp-content/themes/fullfashion/images/social.png
rm /home/xxx/public_html/wp-content/tfuse_bk_cloudhost-parent_2014-02-04/images/social.png
rm /home/xxx/public_html/wp-content/themes/cloudhost-parent/images/social.png
rm /home/xxx/domains/xxx/public_html/wp-content/tfuse_bk_cloudhost-parent_2014-02-04/images/social.png
rm /home/xxx/domains/xxx/public_html/wp-content/themes/cloudhost-parent/images/social.png
rm /home/xxx/domains/xxx/public_html/flex/wp-content/themes/flexform/images/social.png

کلا از خیلی وقت پیش cxs میتونست این نوع شل ها رو تشخیص بده .
اما در رابطه با دیگر سرور هایی که فاقد این ابزار بوده اند بله و صد در صد در خطرند .

کلا از خیلی وقت پیش cxs میتونست این نوع شل ها رو تشخیص بده .
اما در رابطه با دیگر سرور هایی که فاقد این ابزار بوده اند بله و صد در صد در خطرند .

ما بر روی دو سرورمان cxs نصب داشتیم و همه نوع شل هارو روش تست کرده بودیم اما این شل رو حذف نکرده بود !

حتی الان هم آنتی شلر ران بود و در حساس ترین درجه هم با آپلود فایل فوق حذف نکرد.

سرور آقای عیسی لو هم بنده اطلاع دارم آنتی شلر نصب بوده است و توسط خود configserver.com کانفیگ شده بود اما باز خودشون اعلام کردند که این فایل رو پیدا کردند !!

ما بر روی دو سرورمان cxs نصب داشتیم و همه نوع شل هارو روش تست کرده بودیم اما این شل رو حذف نکرده بود !

حتی الان هم آنتی شلر ران بود و در حساس ترین درجه هم با آپلود فایل فوق حذف نکرد.

سرور آقای عیسی لو هم بنده اطلاع دارم آنتی شلر نصب بوده است و توسط خود configserver.com کانفیگ شده بود اما باز خودشون اعلام کردند که این فایل رو پیدا کردند !!

خیر
این فایل روی سرور های خود ما نبود
روی سرور های اختصاصی که توسط ما برای همکاران تهیه شده بود از هتزنر این فایل ها پیدا شده و این گزارش ارسالی به دیتاسنتر به منظور رفع مشکل است
سرور های ما همه رو چک کردیم طبق جست و جوی انجام شده خدا رو شکر همه سرور ها سالم بودند و cxs مشکلی نداشته
حالا یا گرفته و یا اصلا وجود نداشته این را نمیتوانم به طور قطع اعلام بکنم اما چیزی که هست مشکلی در سرویس های دارای cxs وجود نداشته است

با سپاس
عیسی لو

ما هم cxs و maldet هیچکدام پیدا نکردند.

با سلام
فایل social.png را حدود ماه پیش در مانیتورینگ امنیتی سرور ها شناسایی کردیم و همان لحظه به configserver.com گزارش داده ایم.
تاکنون 1 نسخه از این فایل مخرب social.png منتشر شده است که cxs و maldet برخی از ورژن ها را شناسایی می کرده اند. که در بروز رسانی که دیروز maldet داشت این مورد پوشش داده شده است . و به نظز میرسد برخی از نسخه ها را هنوز cxs شناسایی نکرده است.
در صورت شناسایی فایلی در سرور های خود سریعا فایل را با دستور زیر به configserver.com گزارش نمایید.
cxs -wttw social.png
باتشکر

- - - Updated - - -

- - - Updated - - -

برای سریعتر پیدا کردن فایل های مخرب می توانید این دستور را نیز اجرا نمایید.


for s in `locate social | grep png`; do file $s; done | grep PHP

باتشکر

دلیل نمیشه هر فایل png که اسمش social.png هست این فایل باشه که.



<Files social.png>
Order allow,deny
Deny from all
</Files>

شما با این رول کل فایل های social.png رو بلوکه کردید.

دلیل نمیشه هر فایل png که اسمش social.png هست این فایل باشه که.



شما با این رول کل فایل های social.png رو بلوکه کردید.

بله کل فایل های این بلاک می شوند اما فعلا بهتر است این مورد را انجام دهیم.

می توانید هم انجام ندهید بنده شمارو مجبور نکرده ام که با این لحن صحبت می کنید :)

سورسشو بذارید ببنیم چه شکلیه :d

سلام. با تشکر از استارتر محترم.
گویا این مساله سابقه چندین ماهه داره!
https://wordpress.org/support/topic/fake-socialpng-is-a-php-file-injecting-malicious-code-in-theme-options-file
این فایل مخرب از ۵-۴ ماه پیش توسط این پلاگین قابل شناسایی بود: ( پیشنهاد می‌کنم در صورتی که این پلاگین رو ندارید، حتما نصبش کنید)
https://wordpress.org/plugins/gotmls/
ارادتمند.

اینه ؟

UnPHP - PHP Decode of <?php error_reporting(0); if (!defined(&#39;.. (http://www.unphp.net/decode/3a2ca46ec07240b78097acc2965b352e/)

ما بر روی دو سرورمان cxs نصب داشتیم و همه نوع شل هارو روش تست کرده بودیم اما این شل رو حذف نکرده بود !

حتی الان هم آنتی شلر ران بود و در حساس ترین درجه هم با آپلود فایل فوق حذف نکرد.

سرور آقای عیسی لو هم بنده اطلاع دارم آنتی شلر نصب بوده است و توسط خود configserver.com کانفیگ شده بود اما باز خودشون اعلام کردند که این فایل رو پیدا کردند !!

بستگی به نوع کانفیگ و سخت گیری ها در watch دارد .

سلام دوستان اگر ویندوز سرور نصب باشه چه اسکنری باید نصب باشه که شناسایش کند؟

بله کل فایل های این بلاک می شوند اما فعلا بهتر است این مورد را انجام دهیم.

می توانید هم انجام ندهید بنده شمارو مجبور نکرده ام که با این لحن صحبت می کنید :)

پست بنده لحن خاصی نداشت شما به خودتون گرفتید مشکل خودتونه. از اینکه راهکار ارائه کردید ممنون ولی بهتر است ذکر کنید که نقاط ضعف این راه حل چه هست. این ایده کاملا غیر علمی و اماتورانه هست که تمام فایل های که چنین نامی را دارند بلاک کنید.

با سلام

با تشکر از اطلاع رسانی و آموزش در زمینه امنیت سایت و سرور دوستان /


این فایل مخرب رو من حدودا یک ماه پیش دیدم اونم نه در یک سایت خارجی بلکه در یک سایت ایرانی و فروش افزونه /

واقعا خیلی جایه تاسف داره که همچنین سایتی از شهریور ماه 93 این فایل رو انتشار و در دسترس کاربران قرار داده من یک ماه بعد همین افزونه نام برده رو برای تست لازم داشتم و تهیه کردم و در کمال ناباواری فایل ها دارای فایل مخرب بودند .


بعد از پیدا شدن فایل با اکانت کاربری پیغامی با مضمون فایل مخرب در پلاگین یاد شده برای مسئول سایت فرستاده شده / این گذشت و ما هم فراموش کردیم تا اینکه دوباره این پست رو دیدم /

دوباره مراجعه کردم به سایت ، بعد از بررسی مشخص شد هنوز اون افزونه با فایل مخرب در سایت وجود داره.


// مثل اینکه این سایت ایرانی رو هم باید به لیست سایت های دارای فایل مخرب اضافه کرد ....

با سلام

با تشکر از اطلاع رسانی و آموزش در زمینه امنیت سایت و سرور دوستان /


این فایل مخرب رو من حدودا یک ماه پیش دیدم اونم نه در یک سایت خارجی بلکه در یک سایت ایرانی و فروش افزونه /

واقعا خیلی جایه تاسف داره که همچنین سایتی از شهریور ماه 93 این فایل رو انتشار و در دسترس کاربران قرار داده من یک ماه بعد همین افزونه نام برده رو برای تست لازم داشتم و تهیه کردم و در کمال ناباواری فایل ها دارای فایل مخرب بودند .


بعد از پیدا شدن فایل با اکانت کاربری پیغامی با مضمون فایل مخرب در پلاگین یاد شده برای مسئول سایت فرستاده شده / این گذشت و ما هم فراموش کردیم تا اینکه دوباره این پست رو دیدم /

دوباره مراجعه کردم به سایت ، بعد از بررسی مشخص شد هنوز اون افزونه با فایل مخرب در سایت وجود داره.


// مثل اینکه این سایت ایرانی رو هم باید به لیست سایت های دارای فایل مخرب اضافه کرد ....

سلام

این موارد ممکن است اصلا خواسته دوستان نباشد و مدیران سایت ها اطلاع نداشته باشند.

بنده در چند فولدر دیدم که سایت همیار وردپرس هم داخل بعضی از افزونه هاشون یا قالب هاشون این فایل را داشتند !

ممکن است مدیران سایت ها از سایت های خارجی این افزونه ها یا فایل هارو دریافت کرده باشند .

پیروز باشید.

با سلام

اینکه برای افزونه هزینه دریافت بشود و ابتدایی ترین موضوع یعنی امنیت اون دچار مشکل باشد / جایه بحث دارد ...

در رابطه با اطلاع رسانی هم / همانطور که در بالا توضیح داده شد ایمیلی مبنی برای مشکل دار بودن فایل برای مدیریت ارسال شده است. که بی نتیجه بوده است.

متاسفانه اکثر افزونه های و قالب های خارجی رو دوستان بدون لایسنس تهیه می کنند اما مشکل زمانی نمود پیدا می کند که افزونه برای فروش گذاشته شود و حداقل بررسی روی فایل های آن انجام نشود/

اگه روی لوکال هم تست می کردند آنتی ویروس اون فایل رو تشخیص می داد و به طبع اون مشکلات بعدی که قرار بود به وجود بیایید برطرف می گشت/

موفق باشید ...

کسانی که از Snort استفاده می کنند. می توانند برای جلوگیری از این مشکل و حل کامل موضوع و جلوگیری از خروج نرافیک از سرور می توانید ازرول های زیر استفاده نمایید.


#
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET WEB_SERVER FOX-SRT - Backdoor - CryptoPHP Shell C2 POST"; flow:established,to_server; content:"POST"; http_method; content:"Content-Disposition|3a| form-data|3b| name=|22|serverKey|22|"; http_client_body; fast_pattern:28,20; content:"Content-Disposition|3a| form-data|3b| name=|22|data|22|"; http_client_body; content:"Content-Disposition|3a| form-data|3b| name=|22|key|22|"; http_client_body; content:!"Referer|3a| "; http_header; content:!"User-Agent"; http_header; content:!"Cookie|3a|"; threshold: type limit, track by_src, count 1, seconds 600; reference:url,blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/; classtype:trojan-activity; sid:2019748; rev:1;)



#
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET WEB_SERVER FOX-SRT - Backdoor - CryptoPHP Shell C2 POST (fsockopen)"; flow:established,to_server; content:"POST"; http_method; content:"Content-Type: application/x-www-form-urlencoded"; http_header; content:"Connection|3a| close"; http_header; content:"serverKey="; fast_pattern; content:"data="; content:"key="; content:!"Referer|3a|"; http_header; content:!"User-Agent"; http_header; content:!"Cookie|3a|"; threshold: type limit, track by_src, count 1, seconds 600; reference:url,blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/; classtype:trojan-activity; sid:2019749; rev:1;)

#
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER PHP.//Input in HTTP POST"; flow:established,to_server; content:"POST"; http_method; content:"php|3a 2f 2f|input"; http_raw_uri; content:"<?"; http_client_body; depth:2; reference:url,www.deependresearch.org/2014/07/another-linux-ddos-bot-via-cve-2012-1823.html; classtype:trojan-activity; sid:2019804; rev:3;)



باتشکر

راه حل های گفته شده رو طی کردیم
اما امروز مجددا برامون همون ابیوز دیروزی از دیتاسنتر ارسال شد
centos 6 - 64 bit

با سلام
در صورت نیاز دسترسی ارسال نمایید تا بررسی شود.
باتشکر

سلام
نمیشه به نام فایل بسنده کرد خوب میتونه تغییر نام داده بشه به یک چیز دیگه بهتره روش های بهتری پیدا کنیم واسه این مالور ضمنن اگر سورسش رو دارید بذارید تا ببینیم توش چی داره اینطوری با تغییر نام هم راحت میشه پیداش کرد ، کد هایی که اینجا ارائه شه قالبا داره دنبال فایلی با نام social و فرمت png با محتوای php میگرده و در این صورت اگر فال با نام دیگری در سرور وود داشته باشه این کامند ها پیداش نمیکنه

- - - Updated - - -

دوستان این کامند رو استفاده کنید یکم بهتره چون هر فایلی عکسی که شامل کد php باشه پیدا میکنه انتقالش میده به مسیری دیگر و بعد از مشاهده میتونید حذفش کنید

mkdir /virus-files
find -L /home -type f \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \;|grep PHP >~/virus-files
اگر چند تا پارتیشن هم دارید هم
find -L /home* -type f \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \;|grep PHP >~/virus-files

http://www.webhostingtalk.ir/f135/129710/