بایگانی

آلودگی CryptoPHP

امروز یک ایمیل غیر مستقیم از دفتر امنیت اطلاعات فدرال (BSI) در خصوص یک آلودگی مخرب به نام “CryptoPHP” به دستم رسید که به دلیل اهمیت آن در تامین امنیت سیستم های مدیریت محتوی تصمیم گرفتم در وبلاگ به اشتراک بگذارم.

CryptoPHP یک backdoor مبتنی بر PHP است که نفوذگر (هکر) می تواند بوسیله آن سیستم های مدیریت محتوی نظیر جوملا, وردپرس یا دروپال را در معرض خطر امنیتی قرار دهد.
اطلاعات فنی CryptoPHP از لینک های زیر قابل دسترس است:

http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/
http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/

یکی از روش‌های خطرناکی که همواره مورد سوءاستفاده هکرها قرار می‌گیرد, تهدیدی موسوم به Back Door یا در پشتی است.

کدهای این backdoor شامل یک لیست از دامنه هایی است که به هکر اجازه دسترسی به یکسری بد افزار های (malicious software) مورد نیاز برای خرابکاری را می دهد.
تحلیل گران توانسته اند برخی از این دامنه ها را به سرورهایی که اعمال خرابکارانه را لاگ و تحلیل می کنند ارسال نمایند.
منشاء IP این درخواست ها سیستم های مدیریت محتوی که به CryptoPHP آلوده شده اند را نشان می دهد.

استفاده از فایروال و بستن پورت های غیر ضروری و همچنین استفاده و تنظیم سیستم های تشخیصی مانند آنتی ویروس های بروز و یا نرم افزار هایی نظیر CXS برای لینوکس امکان نفوذ و سوء استفاده CryptoPHP را به شدت کاهش می دهد.
همچنین توصیه می شود نسبت به بروز رسانی وب سرور و PHP سرور اقدام گردد.