خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.

[secure_host]

طبق گزارشات واصله اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین های wordpress ، joomla, drupal شناسایی شده است که فایل مخرب مربوطه با نام های social.png و social2.png و social3.png شناسایی می شود.

314za11.jpg


این Malware در قالب ها و plugin هایی که لایسنس دار هستند وجود ندارد و در صورتی که این plugin ها را از وب سایت های غیرمجاز تهیه نمایید این Malware وجود دارد

وب سایت هایی غیرمجازی که تاکنون شناسایی شده است که حاوی plugin های دارای Malware بوده است به شرح ذیل می باشد.

anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com



این Malware که با نام CryptoPHP شناسایی می گردد تهدیدی است بر علیه وب سرور ها که با استفاده از درب پشتی که در وب سایت های مبتنی بر CMS های ذکر شده ایجاد می گردد دسترسی خود را به سرور حفظ می کند .
CryptoPHP بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می نماید.و دراولین قدم باعث می گردد تا تاثیر منفی(BlackSEO) در نتایج جستجو وب سایت شما در موتور های جستجو رویت شود. و این امر باعث می گردد تا آی پی شما در وب سایت هایی نظیر cbl لیست شود که این منجر به بلوکه کردن آی پی سرور شما می گردد که در این صورت ایمیل های سرور شما ارسال نمی گردد.
و سپس اقدامات زیر را انجام میدهد.
۱- ادغام شدن در CMS های مختلف نظیر Wordpress , Joomla و Wordpres
۲- ایجاد درب پشتی (BackDoor) برای ارتباطات بعد در صورت قطع ارتباط

۳- استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server)

social.png

۴- ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
۵- استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
۶- کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
۷- بروز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده های دیگر
۸- بروز رسانی خود Malware

از تاریخ ۱۲ نوامبر ۲۰۱۴ (۱۳ روز پیش) تاکنون ۱۰۰۰ درب پشتی (Backdoor) از این Malware در پلاگین ها و تم های CMS های ذکر شده شناسایی شده است که در ورژن های مختلف این Malware رویت شده است.این Malware تاکنون به ۱۶ نسخه بروز رسانی شده است.


جهت شناسایی این Malware می توانید اقدامات زیر را انجام دهید.

۱- عبارت زیر را در فایل theme ها و plugin های wordpress خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در wordpress این فایل معمولا با نام های social.png و functions.php وجود دارد.

<?php include('images/social.png'); ?>

۲- عبارت زیر را در فایل theme ها و plugin های Joomla خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Joomla این فایل معمولا با نام component.php وجود دارد.

<?php include('images/social.png'); ?>

۳- عبارت زیر را در فایل theme ها و plugin های Drupal خود جستجو نمایید. که معمولا در انتهای فایلها این مقدار وجود دارد و در Drupal این فایل معمولا با نام template.php وجود دارد.

<?php include('images/social.png'); ?>

34yu55e.jpg

این مشکل با درجه اهمیت Critical می باشد . زیرا باعث می گردد که گزارش تخلف زیادی (Abuse) از ناحیه دیتاسنتر دریافت نمایید و با مشکلاتی نظیر بلوکه شدن آی پی و در نتیجه عدم ارسال ایمیل ها در سرور های خود برخورد نمایید.

جهت حل مشکل اقدامات زیر را انجام دهید.

1- تهیه آنتی شل CXS
2- بروز رسانی آنتی ویروس
​3- اجرا یکی از دستورات زیر :

کد:

find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {}  \; -exec chmod 000 {} \; -print

کد:

find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {}  \; -print

کد:

find /home/ -name social.png -size 32k -exec rm -rf {} \;

کد:

find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" >cryptoPHP.txt

کد:

find -L / -type f -name ‘social.png’ -exec file {} +

در صورتی که می خواهید این مشکل امنیتی توسط تیم امنیت سکیورهاست برطرف گردد لطفا یک تیکت به بخش امنیت ارسال نمایید.

منبع :
http://goo.gl/oFIwdE
مرکز آموزش - CryptoPHP در wordpress ، drupal و Joomla | SecureHost

[nginxweb]

ممنون از حامد عزیز

دوستان مشکل فوق با پیدا کردن *.png آلوده و همینطور اسکن با maldet یا CXS و بروررسانی آنتی ویروس (freshclam) و سپس اسکن سرور قابل شناسایی و رفع میباشد و جای نگرانی نیست

[Yas-Host]

تشکر از آقای مسافر عزیز

همچنین یک نمونه از ابیوزی که از دیتاسنتر هتزنر رسیده است :

کد:

CryptoPHP ist eine PHP-basierte Backdoor, welche von Angreifern
in kompromittierte Content-Management-Systeme wie Joomla,
Wordpress oder Drupal eingeschleust wird. Detaillierte Informationen
zu CryptoPHP sind unter folgender URL verfügbar:
<http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-
 threat-inside-popular-content-management-systems/>


Der Backdoor-Code enthält eine Liste von Domainnamen für Kontrollserver
der Täter, zu denen die Schadsoftware versucht Kontakt aufzunehmen.
Einige dieser Domainnamen konnten von Analysten auf Sinkhole-Server
umgeleitet werden, welche die Zugriffe protokollieren. Die Quell-IPs
dieser Anfragen lassen auf mit CryptoPHP infizierte Content-Management-
Systeme schließen.


Nachfolgend senden wir Ihnen eine Liste von IP-Adressen in Ihrem
Netzbereich, von denen Zugriffe auf die Kontrollserver-Domainnamen
der Schadsoftware erfolgten. Hierbei handelt es sich potenziell um
Webserver mit infizierten Content-Management-Systemen.


Wir möchten Sie bitten, den Sachverhalt zu prüfen und ggf. Maßnahmen
zur Bereinigung und Absicherung der betroffenen Systeme einzuleiten
bzw. Ihre Kunden entsprechend zu informieren.


Bitte beachten Sie:
Dies ist eine automatisch generierte Nachricht.
An die Absenderadresse kann nicht geantwortet werden.
Bei Rückfragen wenden Sie sich bitte an .




Liste der betroffenen Systeme in Ihrem Netzbereich:


Format: ASN | IP-Adresse | Zeitstempel (UTC) | C&C Domain
 24940 | 192.168.0.1  | 2014-11-23 06:40:56 | ****.com






Mit freundlichen Grüßen
das Team CERT-Bund


----------------------------------------------------------------------


Dear Sir or Madam,


We have received spam/abuse notification from reports@reports.cert-bund.de. Please take the necessary
steps to prevent this from happening again in future.


Furthermore, we would request that you provide both ourselves and the
person who has submitted this complaint with a short statement within
24 hours. This statement should include details of the events leading
up to the incident and the steps you are taking to deal with it.


Next steps:
- Solve the problem
- Send your statement to us: Please use the following link for this:
- Send your statement to the person making the complaint per email


Important information:
When replying to us, please leave the Abuse ID [AbuseID:12BD10:19] in
the subject line unchanged.




Kind regards,


Hetzner Abuse Team


Hetzner Online AG
Industriestr. 25
91710 Gunzenhausen
Tel: + 49 (0)9831 505-0
Fax: + 49 (0)9831 505.3
abuse@hetzner.de
www.hetzner.com


Register Court: Registergericht Ansbach, HRB 3204
Management Board: Dipl. Ing. (FH) Martin Hetzner
Chairwoman of the Supervisory Board: Diana Rothhan


----- attachment -----
Dear Sir or Madam


CryptoPHP is a PHP based backdoor with which attackers infiltrate
compromised content management systems such as Joomla, Wordpress or
Drupal. Detailed information regarding CryptoPHP is available via the
following URL:
<http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-
 threat-inside-popular-content-management-systems/>


The backdoor code contains a list of domain names for the
perpetrator's control servers which the malicious software can try to
reach. Analysts have been able to redirect some of these domain names
to sinkhole servers which log the attacks. The source IPs for these
requests indicate content management systems infected with CryptoPHP.


We are sending you a list of IP addresses in your net area, which have
been used to access the malicious software's control server domain
names. This potentially involves web servers with infected content
management systems.


Would you please examine the situation and take the necessary measures
to clean and safeguard the systems concerned and inform your customers
accordingly.


Please note:


This is an automatically generated message.
Please do not reply to the sender.
For queries, please contact:

دوستان عزیز با استفاده از قرار دادن دستور file:social.png در فایل /etc/cxs/cxs.xtra از آپلود این فایل توسط کاربران در cxs جلوگیری کنند.

اما برای افرادی که cxs هم ندارند با استفاده از قرار دادن دستور زیر :

<Files social.png>
Order allow,deny
Deny from all
</Files>

در کانفیگ وب سرور خود از اجرا این فایل خودداری کنند.

همچنین با استفاده از دستورات chmod , find میتوان دسترسی این فایل ها را بر روی سرور مسدود کرد .

با تشکر

[majidisaloo1]

بله برای دو سرور اختصاصی کاربران ما نیز این مشکل بود که قبل از این تاپیک بررسی شد و رفع شدند



rm /home/xxx/domains/xxx/public_html/wordpress/wp-content/themes/fullfashion/images/social.png
rm /home/xxx/public_html/wp-content/tfuse_bk_cloudhost-parent_2014-02-04/images/social.png
rm /home/xxx/public_html/wp-content/themes/cloudhost-parent/images/social.png
rm /home/xxx/domains/xxx/public_html/wp-content/tfuse_bk_cloudhost-parent_2014-02-04/images/social.png
rm /home/xxx/domains/xxx/public_html/wp-content/themes/cloudhost-parent/images/social.png
rm /home/xxx/domains/xxx/public_html/flex/wp-content/themes/flexform/images/social.png

[mhiizadi]

کلا از خیلی وقت پیش cxs میتونست این نوع شل ها رو تشخیص بده .
اما در رابطه با دیگر سرور هایی که فاقد این ابزار بوده اند بله و صد در صد در خطرند .

[Yas-Host]

کلا از خیلی وقت پیش cxs میتونست این نوع شل ها رو تشخیص بده .
اما در رابطه با دیگر سرور هایی که فاقد این ابزار بوده اند بله و صد در صد در خطرند .

ما بر روی دو سرورمان cxs نصب داشتیم و همه نوع شل هارو روش تست کرده بودیم اما این شل رو حذف نکرده بود !

حتی الان هم آنتی شلر ران بود و در حساس ترین درجه هم با آپلود فایل فوق حذف نکرد.

سرور آقای عیسی لو هم بنده اطلاع دارم آنتی شلر نصب بوده است و توسط خود configserver.com کانفیگ شده بود اما باز خودشون اعلام کردند که این فایل رو پیدا کردند !!

[majidisaloo1]

ما بر روی دو سرورمان cxs نصب داشتیم و همه نوع شل هارو روش تست کرده بودیم اما این شل رو حذف نکرده بود !

حتی الان هم آنتی شلر ران بود و در حساس ترین درجه هم با آپلود فایل فوق حذف نکرد.

سرور آقای عیسی لو هم بنده اطلاع دارم آنتی شلر نصب بوده است و توسط خود configserver.com کانفیگ شده بود اما باز خودشون اعلام کردند که این فایل رو پیدا کردند !!

خیر
این فایل روی سرور های خود ما نبود
روی سرور های اختصاصی که توسط ما برای همکاران تهیه شده بود از هتزنر این فایل ها پیدا شده و این گزارش ارسالی به دیتاسنتر به منظور رفع مشکل است
سرور های ما همه رو چک کردیم طبق جست و جوی انجام شده خدا رو شکر همه سرور ها سالم بودند و cxs مشکلی نداشته
حالا یا گرفته و یا اصلا وجود نداشته این را نمیتوانم به طور قطع اعلام بکنم اما چیزی که هست مشکلی در سرویس های دارای cxs وجود نداشته است

با سپاس
عیسی لو

[pardishosting]

ما هم cxs و maldet هیچکدام پیدا نکردند.

[secure_host]

با سلام
فایل social.png را حدود ماه پیش در مانیتورینگ امنیتی سرور ها شناسایی کردیم و همان لحظه به configserver.com گزارش داده ایم.
تاکنون 1 نسخه از این فایل مخرب social.png منتشر شده است که cxs و maldet برخی از ورژن ها را شناسایی می کرده اند. که در بروز رسانی که دیروز maldet داشت این مورد پوشش داده شده است . و به نظز میرسد برخی از نسخه ها را هنوز cxs شناسایی نکرده است.
در صورت شناسایی فایلی در سرور های خود سریعا فایل را با دستور زیر به configserver.com گزارش نمایید.
cxs -wttw social.png
باتشکر

- - - Updated - - -

- - - Updated - - -

برای سریعتر پیدا کردن فایل های مخرب می توانید این دستور را نیز اجرا نمایید.

کد:

for s in `locate social | grep png`; do file $s; done | grep PHP

باتشکر

[Cpt.Liux]

دلیل نمیشه هر فایل png که اسمش social.png هست این فایل باشه که.

<Files social.png>
Order allow,deny
Deny from all
</Files>

شما با این رول کل فایل های social.png رو بلوکه کردید.