آیا میدانید :   تنها کانال رسمی گلچین آنلاین در تلگرام این کانال است و گلچین آنلاین هیچ کانال دیگری در تلگرام ندارد؟

هشدار خطر دانلود از سایت های ناشناس افزونه !(CryptoPHP)

در تاریخ . مجموعه : اخبار و بروز رسانی ها

0
Like
0
Dislike
0

هشدار جوملا

با سلام و درود خدمت تمامی کاربران و بازدیدکنندگان عزیز. به اطلاع میرساند طبق برسی های به عمل آمده .اکثر کاربرانی که دنبال افزونه های جوملا در سایت های خارجی میگردند به وبسایت nullit.net برخورد می کنند. طبق برسی هایی ک کردیم این سایت بدون هیچ تبلیغی لینک های مستقیم افزونه را برای دانلود قرار می دهد. که در نوع خود بی سابقه بود. از همین رو با آنالیز هایی ک بر روی افزونه های این سایت کردیم پی بردیم که این سایت در اکثر افزونه های خود فایلی به نام social.png  را در پوشه image قرار می دهد که یک فایل ویروسی است و سیستم یا سرور را آلوده می کند. این بدافزار با نام CryptoPHP شناخته می شود متاسفانه شاهد بودیم که خیلی از همکارانی ک در زمینه جوملا فعالیت داشتند به راحتی فایل ها را ازین سایت ها دانلود و برای کاربران ایرانی انتشار می دادند..انجمن هایی که با نام جوملا در ایران پک های جوملایی را به کاربران میفروختن که اکثر آنها از همچین سایت هایی دانلود شده بود...از همین رو توصیه می شود تحت هیچ شرایطی از این سایت ها دانلودی انجام ندهید.

توجه : لیست کامل سایت هایی که این بدافزار در افزونه های آن ها موجود است را در ادامه مطلب قرار دادیم.

این بدافزار  چیست؟ و راه های مقابله با آن : 

‫تهدید جدید امنیتی به نام  CryptoPHP

طبق گزارشات واصله، اخیرا Malware خطرناکی با نام CryptoPHP در پلاگین‌های wordpress ،joomla و Drupal شناسایی شده؛ فایل‌های social.png ،social2.png و social3.png حاوی این فایل مخرب است.

این Malware بعد از آپلود شدن بر روی سرور اقدام به دریافت دستورات کنترلی از سرویس دهنده اصلی می‌نماید، و دراولین قدم باعث می‌گردد تا تاثیر منفی در نتایج جستجو وب‌سایت (BlackSEO) نمایش داده‌شود؛ این امر باعث می‌گردد تا آی‌پی شما در وب سایت‌هایی نظیر cbl لیست و در نتیجه آی‌پی سرور Block (مسدود) می‌گردد و حداقل پیامدی که مسدود شدن آی‌پی سرور به‌همراه دارد عدم ارسال ایمیل‌های سرور خواهد بود. CryptoPHP در قدم‌های بعد اقدامات زیر را انجام می‌دهد:

  1. ادغام شدن در CMSهای مختلف نظیر WordPress ,Joomla و Drupal
  2. ایجاد درب پشتی برای ارتباطات بعد در صورت قطع ارتباط
  3. استفاده از کلید عمومی برای ارتباط وب سایت هک شده با سرور اصلی (C2 Server
  4. ایجاد زیر ساخت مناسب و گسترده برای دریافت اطلاعات ار سرور اصلی
  5. استفاده از مکانیزم پشتیبان گیری در صورت در دسترس نبودن دامنه اصلی و ایجاد ارتباط از طریق ایمیل
  6. کنترل دستی و ارتباط از طریق درب پشتی ایجاد شده در سرور توسط سرور کنترلی
  7. به‌روز رسانی خودکار جهت ارتباط بیشتر با سرویس دهنده‌های دیگر
  8. به‌روز رسانی خود Malware

ادامه اخبار را از ادامه مطلب بخوانید

 

برخی وب سایت‌های غیرمجازی که pluginهای آن‌ها حاوی CryptoPHP بوده است، شناسایی و به شرح ذیر می‌باشد:

  • anythingforwp.com
  • awesome4wp.com
  • bestnulledscripts.com
  • dailynulled.com
  • freeforwp.com
  • freemiumscripts.com
  • getnulledscripts.com
  • izplace.com
  • mightywordpress.com
  • nulledirectory.com
  • nulledlistings.com
  • nullednet.com
  • nulledstylez.com
  • nulledwp.com
  • nullit.net
  • topnulledownload.com
  • websitesdesignaffordable.com
  • wp-nulled.com
  • yoctotemplates.com

CryptoPHP تهدیدی بر علیه وب سرورها است که با استفاده از درب پشتی (به انگلیسی: BackDoor) وب سایت‌های مبتنی بر CMS، دسترسی خود را به سرور ایجاد و حفظ می‌کند.

از تاریخ ۱۲ نوامبر ۲۰۱۴  تاکنون بیش از ۱۰۰۰ درب پشتی در پلاگین‌ها و تم‌های CMSهای WordPress ,Joomla و Drupal شناسایی و ورژن‌های مختلفی از این Malware دیده شده‌است. تا کنون ۱۶ به‌روز رسانی برای این Malware ارائه شده‌است.

 

روش شناسایی CryptoPHP

  • Joomla: عبارت زیر را در فایل themeها و pluginهای Joomla جستجو نمایید، در Joomla معمولا در انتهای فایل component.php وجود دارد.
1
<?phpinclude('images/social.png');?>

نظر خود را اضافه کنید.

ارسال نظر به عنوان مهمان

0
نظر شما به دست مدیر خواهد رسید
شرایط و قوانین.