خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.

[Yas-Host]

تشکر از آقای مسافر عزیز

همچنین یک نمونه از ابیوزی که از دیتاسنتر هتزنر رسیده است :

کد:

CryptoPHP ist eine PHP-basierte Backdoor, welche von Angreifern
in kompromittierte Content-Management-Systeme wie Joomla,
Wordpress oder Drupal eingeschleust wird. Detaillierte Informationen
zu CryptoPHP sind unter folgender URL verfügbar:
<http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-
 threat-inside-popular-content-management-systems/>


Der Backdoor-Code enthält eine Liste von Domainnamen für Kontrollserver
der Täter, zu denen die Schadsoftware versucht Kontakt aufzunehmen.
Einige dieser Domainnamen konnten von Analysten auf Sinkhole-Server
umgeleitet werden, welche die Zugriffe protokollieren. Die Quell-IPs
dieser Anfragen lassen auf mit CryptoPHP infizierte Content-Management-
Systeme schließen.


Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, von denen Zugriffe auf die Kontrollserver-Domainnamen
der Schadsoftware erfolgten. Hierbei handelt es sich potenziell um
Webserver mit infizierten Content-Management-Systemen.


Wir möchten Sie bitten, den Sachverhalt zu prüfen und ggf. Maßnahmen
zur Bereinigung und Absicherung der betroffenen Systeme einzuleiten
bzw. Ihre Kunden entsprechend zu informieren.


Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an .




Liste der betroffenen Systeme in Ihrem Netzbereich:


Format: ASN | IP-Adresse | Zeitstempel (UTC) | C&C Domain
 24940 | 192.168.0.1  | 2014-11-23 06:40:56 | ****.com






Mit freundlichen Grüßen
das Team CERT-Bund


----------------------------------------------------------------------


Dear Sir or Madam,


We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary
steps to prevent this from happening again in future.


Furthermore, we would request that you provide both ourselves and the
person who has submitted this complaint with a short statement within
24 hours. This statement should include details of the events leading
up to the incident and the steps you are taking to deal with it.


Next steps:
- Solve the problem
- Send your statement to us: Please use the following link for this:
- Send your statement to the person making the complaint per email


Important information:
When replying to us, please leave the Abuse ID [AbuseID:12BD10:19] in
the subject line unchanged.




Kind regards,


Hetzner Abuse Team


Hetzner Online AG
Industriestr. 25
91710 Gunzenhausen
Tel: + 49 (0)9831 505-0
Fax: + 49 (0)9831 505.3
abuse@hetzner.de
www.hetzner.com


Register Court: Registergericht Ansbach, HRB 3204
Management Board: Dipl. Ing. (FH) Martin Hetzner
Chairwoman of the Supervisory Board: Diana Rothhan


----- attachment -----
Dear Sir or Madam


CryptoPHP is a PHP based backdoor with which attackers infiltrate
compromised content management systems such as Joomla, Wordpress or
Drupal. Detailed information regarding CryptoPHP is available via the
following URL:
<http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-
 threat-inside-popular-content-management-systems/>


The backdoor code contains a list of domain names for the
perpetrator's control servers which the malicious software can try to
reach. Analysts have been able to redirect some of these domain names
to sinkhole servers which log the attacks. The source IPs for these
requests indicate content management systems infected with CryptoPHP.


We are sending you a list of IP addresses in your net area, which have
been used to access the malicious software's control server domain
names. This potentially involves web servers with infected content
management systems.


Would you please examine the situation and take the necessary measures
to clean and safeguard the systems concerned and inform your customers
accordingly.


Please note:


This is an automatically generated message.
Please do not reply to the sender.
For queries, please contact:

دوستان عزیز با استفاده از قرار دادن دستور file:social.png در فایل /etc/cxs/cxs.xtra از آپلود این فایل توسط کاربران در cxs جلوگیری کنند.

اما برای افرادی که cxs هم ندارند با استفاده از قرار دادن دستور زیر :

<Files social.png>
Order allow,deny
Deny from all
</Files>

در کانفیگ وب سرور خود از اجرا این فایل خودداری کنند.

همچنین با استفاده از دستورات chmod , find میتوان دسترسی این فایل ها را بر روی سرور مسدود کرد .

با تشکر