نمایش نتایج: از شماره 1 تا 10 , از مجموع 25

موضوع: خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.

Threaded View

پست قبلی پست قبلی   پست بعدی پست بعدی
  1. #1
    عضو انجمن secure_host آواتار ها
    تاریخ عضویت
    Nov 2008
    نوشته ها
    586
    تشکر تشکر کرده 
    171
    تشکر تشکر شده 
    1,382
    تشکر شده در
    508 پست

    Post خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.

    طبق گزارشات واصله اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب مربوطه با نام های social.png و social2.png و social3.png شناسایی می شود.

    314za11.jpg


    این Malware در قالب ها و plugin هایی که لایسنس دار هستند وجود ندارد و در صورتی که این plugin ها را از وب سایت های غیرمجاز تهیه نمایید این Malware وجود دارد

    وب سایت هایی غیرمجازی که تاکنون شناسایی شده است که حاوی plugin های دارای Malware بوده است به شرح ذیل می باشد.

    anythingforwp.com
    awesome4wp.com
    bestnulledscripts.com
    dailynulled.com
    freeforwp.com
    freemiumscripts.com
    getnulledscripts.com
    izplace.com
    mightywordpress.com
    nulledirectory.com
    nulledlistings.com
    nullednet.com
    nulledstylez.com
    nulledwp.com
    nullit.net
    topnulledownload.com
    websitesdesignaffordable.com
    wp-nulled.com
    yoctotemplates.com



    این Malware که با نام CryptoPHP شناسایی می گردد تهدیدی است بر علیه وب سرور ها که با استفاده از درب پشتی که در وب سایت های مبتنی بر CMS های ذکر شده ایجاد می گردد دسترسی خود را به سرور حفظ می کند .
    CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می نماید.و دراولین قدم باعث می گردد تا تاثیر منفی(BlackSEO) در نتایج جستجو وب سایت شما در موتور های جستجو رویت شود. و این امر باعث می گردد تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که این منجر به بلوکه کردن آی پی سرور شما می گردد که در این صورت ایمیل های سرور شما ارسال نمی گردد.
    و سپس اقدامات زیر را انجام میدهد.
    ۱- ادغام شدن در CMS های مختلف نظیر Wordpress , Joomla و Wordpres
    ۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعد در صورت قطع ارتباط

    ۳- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)

    social.png

    ۴- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
    ۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
    ۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
    ۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
    ۸- بروز رسانی خود Malware

    از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۳ روز پیش) تاکنون ۱۰۰۰ درب پشتی (Backdoor) از این Malware در پلاگین ها و تم های CMS های ذکر شده شناسایی شده است که در ورژن های مختلف این Malware رویت شده است.این Malware تاکنون به ۱۶ نسخه بروز رسانی شده است.


    جهت شناسایی این Malware می توانید اقدامات زیر را انجام دهید.

    ۱- عبارت زیر را در فایل theme ها و plugin های wordpress خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در wordpress این فایل معمولا با نام های social.png و functions.php وجود دارد.

    <?php include('images/social.png'); ?>

    ۲- عبارت زیر را در فایل theme ها و plugin های Joomla خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Joomla این فایل معمولا با نام component.php وجود دارد.

    <?php include('images/social.png'); ?>

    ۳- عبارت زیر را در فایل theme ها و plugin های Drupal خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Drupal این فایل معمولا با نام template.php وجود دارد.

    <?php include('images/social.png'); ?>

    34yu55e.jpg

    این مشکل با درجه اهمیت Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی (Abuse) از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلوکه شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود برخورد نمایید.

    جهت حل مشکل اقدامات زیر را انجام دهید.

    1- تهیه آنتی شل CXS
    2- بروز رسانی آنتی ویروس
    ​3- اجرا یکی از دستورات زیر :


    کد:
    find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {}  \; -exec chmod 000 {} \; -print
    کد:
    find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {}  \; -print
    کد:
    find /home/ -name social.png -size 32k -exec rm -rf {} \;

    کد:
    find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt
    کد:
    find -L / -type f -name ‘social.png’ -exec file {} +


    در صورتی که می خواهید این مشکل امنیتی توسط تیم امنیت سکیورهاست برطرف گردد لطفا یک تیکت به بخش امنیت ارسال نمایید.

    منبع :
    http://goo.gl/oFIwdE
    مرکز آموزش - CryptoPHP در wordpress ، drupal و Joomla | SecureHost
    ویرایش توسط secure_host : November 25th, 2014 در ساعت 18:26
    ارایه دهنده خدمات ایمن سازی سرور های مبتنی بر لینوکس و ویندوز
    My Crime Is My Advisory . Hacking Is The Best But Security Is The First

    The Best Secure Hosting in Iran http://SecureHost.ir

    جهت تماس در شبکه IRC :mHUB.HIRCNetwork.com#Linux@Secure_Host

  2. تعداد تشکر ها ازsecure_host به دلیل پست مفید


اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. حذف Malware از هاست
    توسط joomla2 در انجمن سوالات و مشکلات
    پاسخ ها: 3
    آخرين نوشته: June 19th, 2016, 21:12
  2. ناتوانی در حذف دائمی malware
    توسط shervinrv در انجمن اوبونتو,دبيان Ubuntu,Debian
    پاسخ ها: 3
    آخرين نوشته: January 22nd, 2016, 12:48
  3. پاسخ ها: 0
    آخرين نوشته: November 6th, 2015, 23:57
  4. حذف Pyxsoft Anti Malware
    توسط deldar در انجمن سوالات و مشکلات
    پاسخ ها: 5
    آخرين نوشته: December 4th, 2014, 17:20
  5. پاک کردن Malware
    توسط godman757 در انجمن درخواست خدمات برنامه نویسی
    پاسخ ها: 1
    آخرين نوشته: April 8th, 2013, 15:07

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •