کمیته رکن چهارم – بیش از ۲۳۰۰۰ وب سرور توسط یک backdoor به نام CryptoPHP که به تمها و پلاگینهای تقلبی سیستمهای مدیریت محتوای مشهور چسبیده است آلوده شدهاند.
CryptoPHP یک اسکریپت خرابکار است که حملات راه دور را با قابلیت اجرای کد خرابکار روی سرورهای وب و تزریق محتوای خرابکارانه به وبسایتهای میزبانی شده بر روی آنها فراهم میکند.
به گزارش شرکت هلندی Fox-IT که هفته گذشته گزارشی در مورد این تهدید منتشر کرد، این backdoor ابتدا برای بهینه سازی موتورهای جستجو به شیوه کلاه سیاهها مورد استفاده قرار گرفت. این کار شامل تزریق کلمات کلیدی و صفحات جعلی به سایتهای مورد سوء استفاده برای سرقت رتبه آنها در موتورهای جستجو و قرار دادن محتوای خرابکارانه در رده بالاتری در نتایج جستجوی موتورهای جستجو میباشد.
بر خلاف اغلب backdoor های وبسایت، CryptoPHP با سوء استفاده از آسیبپذیریها نصب نمیشود. بلکه مهاجمان نسخههای جعلی پلاگینها و تمهای جعلی جوملا، وردپرس و دروپال را از طریق چندین سایت منتشر کرده و منتظر میمانند تا مدیران سایتها آنها را بر روی سایتهای خود دانلود و نصب نمایند. این پلاگینها و تمهای جعلی حاوی CryptoPHP هستند.
وبسرورهای آلوده با CryptoPHP مانند یک باتنت عمل میکنند. آنها با استفاده از یک کانال ارتباطی رمزشده به سرورهای دستور و کنترل هدایت شده توسط مهاجمان متصل شده و به دستورات آنها گوش میکنند.
Fox-IT با کمک مرکز امنیت سایبری ملی دولت هلند و چند سازمان مبارزه با جرایم سایبری، کنترل دامنههای دستور و کنترلCryptoPHP را در اختیار گرفته و آنها را به سرورهایی تحت کنترل خود برای جمعآوری آمار هدایت کرده است.
محققان Fox-IT روز چهارشنبه اعلام کردند که در مجموع ۲۳۶۹۳ آدرس آیپی به این سرورها متصل شدهاند. البته تعداد وبسایتهای تحت تأثیر احتمالاً بیشتز است، چرا که برخی از این آدرسهای آیپی به سرورهای میزبانی وب اشتراکی متعلق هستند که بیش از یک سایت آلوده دارند.
پنج کشور برتر در مورد آلودگی CryptoPHP عبارتند از ایالات متحده آمریکا (با ۸۶۵۷ آدرس آیپی)، آلمان (با ۲۸۷۷ آدرس آیپی)، فرانسه (با ۱۲۳۱ آدرس آیپی)، هلند (با ۱۰۰۸ آدرس آیپی) و ترکیه (با ۷۴۹ آدرس آیپی).
از آنجا که Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر کرد، مهاجمان وبسایتهایی را که میزبان پلاگینها و تمهای جعلی بودند از کار انداخته و وبسایتهای جدیدی راهاندازی کردهاند. آنها احتمالاً جهت جلوگیری از شناسایی، نسخه جدیدی از اینbackdoor نیز ارائه کردهاند.
محققان Fox-IT دو اسکریپت Python روی GitHub عرضه کردهاند که مدیران سایتها میتوانند جهت اسکن سرورها و سایتها در مورد آلودگی CryptoPHP از آنها استفاده نمایند. آنها همچنین دستورات حذف این backdoor را در بلاگ خود منتشر کردهاند، اما تأکید کردهاند که نهایتاً بهتر است سیستم مدیریت محتوای آلوده را به کلی پاک کنید.
منبع : مرکز ماهر