CryptoPHP را می توان به عنوان یکی از مشکلات بزرگ سرویس دهنده های وب دانست. CryptoPHP در واقع یک Malware یا کد مخرب است که کدهای دروغینی را بر روی سرویس دهنده های وب ایجاد کرده و باعث ارسال محتواهای مخرب به وب سایت ها می شود. عملکرد این کد مخرب به گونه ای است که سیستم امنیتی نرم افزارهای مدیریت محتوا را هدف قرار داده و به هسته theme و پلاگین ها دسترسی پیدا کرده و از این طریق فایل های مخرب را ارسال می نماید. نرم افزار های مدیریت محتوا مانند جوملا، دروپال و ورد پرس می توانند تحت تاثیر کد مخرب CryptoPHP قرار بگیرند.
در دنیا کشورهای زیادی دارای آلودگی های CryptoPHP هستند که در این میان 5 کشور ایالات متحده آمریکا، آلمان، فرانسه، هلند و ترکیه دارای بالاترین رتبه از لحاظ آلودگی هستند. به طور کلی بیش از 23 هزار IP آلوده در دنیا وجود دارد و پیش بینی می شود تعداد وب سایت های آلوده از این عدد هم بالاتر باشد.
هکر ها جهت دست یابی به هسته سایت های آلوده از این کد مخرب استفاده می کنند. CryptoPHP هکر ها را قادر می سازد تا از آن برای دسترسی به Backdoor استفاده نماید. هکر ها با خرید پلاگین ها و قالب های غیر رایگان مربوط به CMS ها، آن ها را دستکاری کرده و ابتدا کدهای مخرب CryptoPHP را وارد این افزونه ها و پلاگین ها نموده و سپس آن ها را به صورت نسخه های رایگان انتشار می دهند. به همین دلیل از لحاظ امنیتی به کاربران توصیه می شود که این گونه قالب ها، پلاگین ها و افزونه ها از منابع معتبر و یا با پرداخت هزینه دریافت نمایند.
یکی دیگر از استفاده هایی که از CryptoPHP می شود در سئوی کلاه سیاه یا بهینه سازی غیر قانونی موتورهای جستجو می باشد.
CryptoPHP ها دارای قابلیت های فراوانی هستند که هکر ها از آن ها برای اهداف مخرب خود استفاده می نمایند:
– قابلیت اثرگذاری بر روی اکثر سیستم های محتوای پر کاربرد مانند دوپال، ورد پرس و جوملا
– امکان رمز گذاری کلید عمومی که رابط میان سرویس دهنده مورد هدف هکر ها و سرویس دهنده دستوری در آن وجود دارد. سرویس دهنده های دستوری و کنترلی یا Command-and-control که به اختصار C2 نامیده می شود در واقع سرور هایی هستند که هکر ها از آن ها برای ایجاد و حفظ ارتباط با سیستم های در معرض خطر استفاده می کنند.
– CryptoPHP ها دارای زیر ساخت گسترده ای از لحاظ دامنه ها و IP های سرویس دهنده های دستوری و کنترلی یا Command-and-control هستند.
– ضربه به ارتباط ایمیلی از طریق قابلیت بک آپ یا پشتیبان گیری در محل بر خلاف دامین های Command-and-control
– وجود ارتباطات سرویس دهنده های دستوری و کنترلی یا Command-and-control همراه با کنترل دستی Backdoor
– امکان به روز رسانی سرویس دهنده های دستوری و کنترلی یا Command-and-control از راه دور
– به روز رسانی خود CryptoPHP
می توان در صورت مشاهده برخی از نشانه های اولیه به وجود مشکل امنیتی CryptoPHP پی برد
– به طور کلی CryptoPHP با سرورهای خارجی ارتباط برقرار می کند و در نتیجه به درخواست های متعدد خارجی نیاز دارد
– اگر سایت در اولین لود شدن کند باشد می توان به وجود کد مخرب CryptoPHP مشکوک شد.
– اگر تعداد request های شکست خورده زیاد باشد می توان در لاگ مربوط به سرور خطاهای مربوط به آن را مشاهده نمود
برای حذف CryptoPHP از سایت باید مراحل زیر را به ترتیب انجام داد:
1 – در ابتدا لازم است Include مربوط به Backdoor را پیدا و حذف نمایید
2 – در مرحله دوم باید فایل اصلی Backdoor را حذف نمایید.
3 – این مرحله مربوط به پایگاه داده وب سایت است. در این بخش لازم است پایگاه داده وب سایت را بررسی نموده و در صورتی که اکانت administrator دیگری در آن اضافه شده بود آن را حذف نمایید.
4 – مرحله آخر که می تواند از اهمیت بالایی برخوردار باشد محافظت از حساب های کاربری موجود است. برای این کار باید اطلاعات مربوط به تمام حساب های کاربری را تغییر دهید.
راه های زیادی برای محافظت در برابر آلودگی های CryptoPHP وجود دارد که استفاده از آن ها تا حد زیادی می تواند از ایجاد مشکلات بعدی که نتیجه آن تحمیل هزینه های زیاد به مدیران سایت ها می باشد جلوگیری به عمل آورد. از میان راه های زیادی که برای پیشگیری از آلودگی های CryptoPHP وجود دارد می توان به موارد زیر اشاره نمود:
1 – از نصب پلاگین ها و قالب های رایگان پرهیز نمایید و این موارد را تنها از منابع معتبر و تائید شده دانلود کرده و نصب نمایید. برخی از سایت هایی که پلاگین های آلوده به فایل های مشکوک را منتشر می کنند شامل موارد زیر هستند:
– anythingforwp.com
– awesome4wp.com
– bestnulledscripts.com
– dailynulled.com
– freeforwp.com
– freemiumscripts.com
– getnulledscripts.com
– izplace.com
– mightywordpress.com
– nulledirectory.com
بسیاری از سایت های دیگر نیز در این لیست وجود دارند که با بررسی پلاگین های ارائه شده توسط این سایت ها توصیه شده که فایلی را از آن ها دریافت ننمایید.
2 – از پلاگین ها و هسته های CMS به روز شده استفاده نمایید.
3 – نیازی نیست قالب ها و پلاگین های قدیمی را روی سیستم نگه دارید. این موارد دیگر به کار شما نمی آیند و باید از روی سیستم حذف شوند.
4 – استفاده از ابزار های امنیتی راه دیگری است که می توانید از آن ها بهره ببرید. در سیستم ورد پرس ابزار های امنیتی مثل iThemes Security و WordFence و در سیستم جوملا ابزار های امنیتی مانند Akeeba و Securitycheck Pro وجود دارند که می توان از آن ها برای ارتقاء سطح امنیتی در برابر CryptoPHP استفاده نمود.
5 – استفاده از آنتی ویروس های معتبر برای بررسی و اسکن فایل های و اطلاعات موجود امری ضروری تلقی می گردد که نه تنها در خصوص مشکلات مربوط به CryptoPHP موثر است بلکه به طور کلی برای حفظ امنیت سایت در برابر بسیاری از موارد مشکوک می تواند مفید واقع گردد.
این مطلب چقدر برای شما مفید بود؟
امتیاز 5 / 5. تعداد نظرات : 1
اولین نظر را شما ثبت کنید!