این اسکریپت backdoor از طریق پلاگینها و تمهای جعلی وردپرس، جوملا و دروپال منتشر میشود.
بیش از ۲۳۰۰۰ وب سرور توسط یک backdoor به نام CryptoPHP که به تمها و
پلاگینهای تقلبی سیستمهای مدیریت محتوای مشهور چسبیده است آلوده شدهاند.
CryptoPHP
یک اسکریپت خرابکار است که حملات راه دور را با قابلیت اجرای کد خرابکار
روی سرورهای وب و تزریق محتوای خرابکارانه به وبسایتهای میزبانی شده بر
روی آنها فراهم میکند.
به گزارش مرکز ماهر، شرکت هلندی
Fox-IT که هفته گذشته گزارشی در مورد این تهدید منتشر کرد، این backdoor
ابتدا برای بهینه سازی موتورهای جستجو به شیوه کلاه سیاهها مورد استفاده
قرار گرفت.
این کار شامل تزریق کلمات کلیدی و صفحات جعلی به
سایتهای مورد سوء استفاده برای سرقت رتبه آنها در موتورهای جستجو و قرار
دادن محتوای خرابکارانه در رده بالاتری در نتایج جستجوی موتورهای جستجو
میباشد.
بر خلاف اغلب backdoor های وبسایت، CryptoPHP با سوء
استفاده از آسیبپذیریها نصب نمیشود. بلکه مهاجمان نسخههای جعلی
پلاگینها و تمهای جعلی جوملا، وردپرس و دروپال را از طریق چندین سایت
منتشر کرده و منتظر میمانند تا مدیران سایتها آنها را بر روی سایتهای
خود دانلود و نصب نمایند. این پلاگینها و تمهای جعلی حاوی CryptoPHP
هستند.
وبسرورهای آلوده با CryptoPHP مانند یک باتنت عمل میکنند.
آنها با استفاده از یک کانال ارتباطی رمزشده به سرورهای دستور و کنترل
هدایت شده توسط مهاجمان متصل شده و به دستورات آنها گوش میکنند.
Fox-IT
با کمک مرکز امنیت سایبری ملی دولت هلند و چند سازمان مبارزه با جرایم
سایبری، کنترل دامنههای دستور و کنترل CryptoPHP را در اختیار گرفته و
آنها را به سرورهایی تحت کنترل خود برای جمعآوری آمار هدایت کرده است. محققان Fox-IT روز چهارشنبه اعلام کردند که در مجموع ۲۳۶۹۳ آدرس آیپی به این سرورها متصل شدهاند.
البته
تعداد وبسایتهای تحت تأثیر احتمالاً بیشتز است، چرا که برخی از این
آدرسهای آیپی به سرورهای میزبانی وب اشتراکی متعلق هستند که بیش از یک
سایت آلوده دارند.
پنج کشور برتر در مورد آلودگی CryptoPHP عبارتند
از ایالات متحده آمریکا (با ۸۶۵۷ آدرس آیپی)، آلمان (با ۲۸۷۷ آدرس آیپی)،
فرانسه (با ۱۲۳۱ آدرس آیپی)، هلند (با ۱۰۰۸ آدرس آیپی) و ترکیه (با ۷۴۹
آدرس آیپی).
از آنجا که Fox-IT گزارش CryptoPHP خود را هفته گذشته
منتشر کرد، مهاجمان وبسایتهایی را که میزبان پلاگینها و تمهای جعلی
بودند از کار انداخته و وبسایتهای جدیدی راهاندازی کردهاند. آنها احتمالاً جهت جلوگیری از شناسایی، نسخه جدیدی از این backdoor نیز ارائه کردهاند.
محققان
Fox-IT دو اسکریپت Python روی GitHub عرضه کردهاند که مدیران سایتها
میتوانند جهت اسکن سرورها و سایتها در مورد آلودگی CryptoPHP از آنها
استفاده نمایند. آنها همچنین دستورات حذف این backdoor را در بلاگ خود
منتشر کردهاند، اما تأکید کردهاند که نهایتاً بهتر است سیستم مدیریت
محتوای آلوده را به کلی پاک کنید.