ايتنا - آلوده شدن بیش از 23000 سرور وب به CryptoPHP

بیش از ۲۳۰۰۰ وب سرور توسط یک backdoor به نام CryptoPHP که به تم‌ها و پلاگین‌های تقلبی سیستم‌های مدیریت محتوای مشهور چسبیده است آلوده شده‌اند.

CryptoPHP یک اسکریپت خرابکار است که حملات راه دور را با قابلیت اجرای کد خرابکار روی سرورهای وب و تزریق محتوای خرابکارانه به وب‌سایت‌های میزبانی شده بر روی آنها فراهم می‌کند.

به گزارش ایتنا از مرکز ماهر، شرکت هلندی Fox-IT که هفته گذشته گزارشی در مورد این تهدید منتشر کرد، این backdoor ابتدا برای بهینه سازی موتورهای جستجو به شیوه کلاه سیاه‌ها مورد استفاده قرار گرفت.

این کار شامل تزریق کلمات کلیدی و صفحات جعلی به سایت‌های مورد سوء استفاده برای سرقت رتبه آنها در موتورهای جستجو و قرار دادن محتوای خرابکارانه در رده بالاتری در نتایج جستجوی موتورهای جستجو می‌باشد.

بر خلاف اغلب backdoor های وب‌سایت، CryptoPHP با سوء استفاده از آسیب‌پذیری‌ها نصب نمی‌شود. بلکه مهاجمان نسخه‌های جعلی پلاگین‌ها و تم‌های جعلی جوملا، وردپرس و دروپال را از طریق چندین سایت منتشر کرده و منتظر می‌مانند تا مدیران سایت‌ها آنها را بر روی سایت‌های خود دانلود و نصب نمایند. این پلاگین‌ها و تم‌های جعلی حاوی CryptoPHP هستند.

وب‌سرورهای آلوده با CryptoPHP مانند یک بات‌نت عمل می‌کنند. آنها با استفاده از یک کانال ارتباطی رمزشده به سرورهای دستور و کنترل هدایت شده توسط مهاجمان متصل شده و به دستورات آنها گوش می‌کنند.

Fox-IT با کمک مرکز امنیت سایبری ملی دولت هلند و چند سازمان مبارزه با جرایم سایبری، کنترل دامنه‌های دستور و کنترل CryptoPHP را در اختیار گرفته و آنها را به سرورهایی تحت کنترل خود برای جمع‌آوری آمار هدایت کرده است.
محققان Fox-IT روز چهارشنبه اعلام کردند که در مجموع ۲۳۶۹۳ آدرس آی‌پی به این سرورها متصل شده‌‎اند.

البته تعداد وب‌سایت‌های تحت تأثیر احتمالاً بیشتز است، چرا که برخی از این آدرس‌های آی‌پی به سرورهای میزبانی وب اشتراکی متعلق هستند که بیش از یک سایت آلوده دارند.

پنج کشور برتر در مورد آلودگی CryptoPHP عبارتند از ایالات متحده آمریکا (با ۸۶۵۷ آدرس آی‌پی)، آلمان (با ۲۸۷۷ آدرس آی‌پی)، فرانسه (با ۱۲۳۱ آدرس آی‌پی)، هلند (با ۱۰۰۸ آدرس آی‌پی) و ترکیه (با ۷۴۹ آدرس آی‌پی).

از آنجا که Fox-IT گزارش CryptoPHP خود را هفته گذشته منتشر کرد، مهاجمان وب‌سایت‌هایی را که میزبان پلاگین‌ها و تم‌های جعلی بودند از کار انداخته و وب‌سایت‌های جدیدی راه‌اندازی کرده‌اند.
آنها احتمالاً جهت جلوگیری از شناسایی، نسخه جدیدی از این backdoor نیز ارائه کرده‌اند.

محققان Fox-IT دو اسکریپت Python روی GitHub عرضه کرده‌اند که مدیران سایت‌ها می‌توانند جهت اسکن سرورها و سایت‌ها در مورد آلودگی CryptoPHP از آنها استفاده نمایند. آنها همچنین دستورات حذف این backdoor را در بلاگ خود منتشر کرده‌اند، اما تأکید کرده‌اند که نهایتاً بهتر است سیستم مدیریت محتوای آلوده را به کلی پاک کنید.