آشنایی با CryptoPHP Backdoor
اخیرا Malware خطرناکی با نام CryptoPHP در پلاگینهای wordpress ،joomla و Drupal شناسایی شده؛ فایلهای social.png و مشابه آن حاوی این فایل مخرب است. CryptoPHP در قالبها و پلاگین های که لایسنس دارند وجود ندارد، در صورتی که این پلاگین ها را از وب سایتهای غیرمجاز تهیه نمایید احتمال وجود این Malware در آنها بالا است.
این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی مینماید، و دراولین قدم باعث میگردد تا تاثیر منفی در نتایج جستجو وبسایت (BlackSEO) نمایش دادهشود؛ این امر باعث میگردد تا آیپی شما در وب سایتهایی نظیر cbl لیست و در نتیجه آیپی سرور Block (مسدود) میگردد و حداقل پیامدی که مسدود شدن آیپی سرور بههمراه دارد عدم ارسال ایمیلهای سرور خواهد بود. CryptoPHP در قدمهای بعد اقدامات زیر را انجام میدهد:
جهت پاک سازی این درب پشتی به روز بودن آنتی ویروس سرور و استفاده از ابزارهایی مانند cxs الزامیست.
هکر ها اقدام به خرید پلاگین ، افزونه و قالب های غیر رایگان انواع cms ها می کنند و ابتدا قطعه کد داخل آن ها که بیانگر اینکه این پلاگین ، قالب و یا افزونه دارای لایسنس است یا خیر را حذف کرده و سپس کدهای مخرب را به آن ها اضافه کرده و نهایتا آن را به صورت رایگان برای قربانیان توزیع خواهند کرد. این قطعه کد مخرب هکر را قادر خواهد ساخت که به وسیله ی Backdoor به هسته ی سایت های آلوده دسترسی داشته باشد.
در حال حاضر اپراتورهای CryptoPHP از آن برای بهینه سازی غیر قانونی موتورهای جستجو ، که Blackhat SEO نیز نامیده میشود ، سوء استفاده می کنند. این Backdoor قطعه کدی است که به خوبی توسعه یافته و در استفاده از آن پویایی وجود دارد. قابلیتهای CryptoPHP عبارت است از
- ادغام در سیستمهای مدیریت محتوای معروف همچون جوملا ، وردپرس و دروپال.
- رمزنگاری کلید عمومی برای ارتباط بین سرویس دهنده در معرض خطر و سرویس دهنده دستوری و کنترلی (Command-and-control یا C2 سرورهایی هستند که توسط مهاجمان برای حفظ ارتباطات با سیستم های در معرض خطر از طریق یک شبکه ی هدف استفاده می شود.)
- وجود یک زیرساخت گسترده از لحاظ دامنهها و IP های C2
- مکانیسم پشتیبان گیری در محل بر خلاف دامین های C2 ، به شکل ارتباط ایمیلی ضربه میزنند
- کنترل دستی Backdoor در کنار ارتباطات C2
موزرنک (MozRank mR) شناسه دیگری جهت مشخص سازی میزان محبوبیت وب سایت است که از عدد ۱- تا ۱۰ مشخص میشود . موزرنک (MozRank mR) متعلق به شرکت SEOMoz سئو موز میباشد که در سال ۱۹۹۶ با الگوریتم متفاوتی از پیج رنک (PageRank) ایجاد گردید .
موزرنک بر اساس محبوبیت دامنه و محبوبیت صفحات وب سایت برای هر صفحه عددی مشخص را آشکار می سازد