مراقب جوملا، وردپرس و دروپال باشید

آلوده شدن بیش از 23000 سرور وب به CryptoPHP

این اسکریپت backdoor از طریق پلاگین‌ها و تم‌های جعلی وردپرس، جوملا و دروپال منتشر می‌شود
کد خبر: ۷۴۴۹۹۷
آلوده شدن بیش از 23000 سرور وب به CryptoPHP

به گزارش جام جم کلیک: بیش از 23000 وب سرور توسط یک backdoor به نام CryptoPHP که به تم‌ها و پلاگین‌های تقلبی سیستم‌های مدیریت محتوای مشهور چسبیده است آلوده شده‌اند.
CryptoPHP یک اسکریپت خرابکار است که حملات راه دور را با قابلیت اجرای کد خرابکار روی سرورهای وب و تزریق محتوای خرابکارانه به وب‌سایت‌های میزبانی شده بر روی آنها فراهم می‌کند.
به گزارش شرکت هلندی Fox-IT که هفته گذشته گزارشی در مورد این تهدید منتشر کرد، این backdoor ابتدا برای بهینه سازی موتورهای جستجو به شیوه کلاه سیاه‌ها مورد استفاده قرار گرفت. این کار شامل تزریق کلمات کلیدی و صفحات جعلی به سایت‌های مورد سوء استفاده برای سرقت رتبه آنها در موتورهای جستجو و قرار دادن محتوای خرابکارانه در رده بالاتری در نتایج جستجوی موتورهای جستجو می‌باشد.

بر خلاف اغلب backdoor های وب‌سایت، CryptoPHP با سوء استفاده از آسیب‌پذیری‌ها نصب نمی‌شود. بلکه مهاجمان نسخه‌های جعلی پلاگین‌ها و تم‌های جعلی جوملا، وردپرس و دروپال را از طریق چندین سایت منتشر کرده و منتظر می‌مانند تا مدیران سایت‌ها آنها را بر روی سایت‌های خود دانلود و نصب نمایند. این پلاگین‌ها و تم‌های جعلی حاوی CryptoPHP هستند.
وب‌سرورهای آلوده با CryptoPHP مانند یک بات‌نت عمل می‌کنند. آنها با استفاده از یک کانال ارتباطی رمزشده به سرورهای دستور و کنترل هدایت شده توسط مهاجمان متصل شده و به دستورات آنها گوش می‌کنند.
Fox-IT با کمک مرکز امنیت سایبری ملی دولت هلند و چند سازمان مبارزه با جرایم سایبری، کنترل دامنه‌های دستور و کنترل CryptoPHP را در اختیار گرفته و آنها را به سرورهایی تحت کنترل خود برای جمع‌آوری آمار هدایت کرده است.
محققان Fox-IT روز چهارشنبه اعلام کردند که در مجموع 23693 آدرس آی‌پی به این سرورها متصل شده‌‎اند. البته تعداد وب‌سایت‌های تحت تأثیر احتمالاً بیشتز است، چرا که برخی از این آدرس‌های آی‌پی به سرورهای میزبانی وب اشتراکی متعلق هستند که بیش از یک سایت آلوده دارند.
پنج کشور برتر در مورد آلودگی CryptoPHP عبارتند از ایالات متحده آمریکا (با 8657 آدرس آی‌پی)، آلمان (با 2877 آدرس آی‌پی)، فرانسه (با 1231 آدرس آی‌پی)، هلند (با 1008 آدرس آی‌پی) و ترکیه (با 749 آدرس آی‌پی).
از آنجا که Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر کرد، مهاجمان وب‌سایت‌هایی را که میزبان پلاگین‌ها و تم‌های جعلی بودند از کار انداخته و وب‌سایت‌های جدیدی راه‌اندازی کرده‌اند. آنها احتمالاً جهت جلوگیری از شناسایی، نسخه جدیدی از این backdoor نیز ارائه کرده‌اند.
محققان Fox-IT دو اسکریپت Python روی GitHub عرضه کرده‌اند که مدیران سایت‌ها می‌توانند جهت اسکن سرورها و سایت‌ها در مورد آلودگی CryptoPHP از آنها استفاده نمایند. آنها همچنین دستورات حذف این backdoor را در بلاگ خود منتشر کرده‌اند، اما تأکید کرده‌اند که نهایتاً بهتر است سیستم مدیریت محتوای آلوده را به کلی پاک کنید.

منبع: مرکز ماهر

newsQrCode
ارسال نظرات در انتظار بررسی: ۰ انتشار یافته: ۰

نیازمندی ها