آشنایی با CryptoPHP Backdoor

 اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین‌های wordpress ،joomla و Drupal شناسایی شده؛ فایل‌های social.png  و مشابه آن حاوی این فایل مخرب است. CryptoPHP در قالب‌ها و پلاگین های که لایسنس دارند وجود ندارد، در صورتی که این پلاگین ها را از وب سایت‌های غیرمجاز تهیه نمایید احتمال وجود این Malware  در آن‌ها بالا است.
این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می‌نماید، و دراولین قدم باعث می‌گردد تا تاثیر منفی در نتایج جستجو وب‌سایت (BlackSEO) نمایش داده‌شود؛ این امر باعث می‌گردد تا آی‌پی شما در وب سایت‌هایی نظیر cbl لیست و در نتیجه آی‌پی سرور Block (مسدود) می‌گردد و حداقل پیامدی که مسدود شدن آی‌پی سرور به‌همراه دارد عدم ارسال ایمیل‌های سرور خواهد بود. CryptoPHP در قدم‌های بعد اقدامات زیر را انجام می‌دهد:

جهت پاک سازی این درب پشتی به روز بودن آنتی ویروس سرور و استفاده از ابزارهایی مانند cxs الزامیست.

هکر ها اقدام به خرید پلاگین ، افزونه و قالب های غیر رایگان انواع cms ها می کنند و ابتدا قطعه کد داخل آن ها که بیانگر اینکه این پلاگین ، قالب و یا افزونه دارای لایسنس است یا خیر را حذف کرده و سپس کدهای مخرب را به آن ها اضافه کرده و نهایتا آن را به صورت رایگان برای قربانیان توزیع خواهند کرد. این قطعه کد مخرب هکر را قادر خواهد ساخت که به وسیله ی Backdoor به هسته ی سایت های آلوده دسترسی داشته باشد.

در حال حاضر اپراتورهای CryptoPHP از آن برای بهینه‌ سازی غیر قانونی موتورهای جستجو ، که Blackhat SEO نیز نامیده می‌شود ، سوء استفاده می‌ کنند. این Backdoor قطعه کدی است که به خوبی توسعه ‌یافته و در استفاده از آن پویایی وجود دارد. قابلیت‌های CryptoPHP عبارت است از