Greek English German
CryptoPHP: threat inside popular content management systems CryptoPHP: threat inside popular content management systems - by Support|4U

CryptoPHP: Μια απειλή για τα πιό γνωστά CMS

Τι ακριβώς είναι το CryptoPHP? Πώς αναπτύχθηκε και πώς επηρεάζονται ιστοσελίδες βασισμένες σε Joomla / Wordpress και άλλα γνωστά CMS. H ιστοσελίδα σου είναι κατασκευασμένη με κάποιο απο τα γνωστά CMS? Ενημερώσου για ένα malmware που κυκλοφορεί το τελευταίο διάστημα και έχει επηρεάσει πάνω απο 23,000 ιστοσελίδες στον κόσμο.

Τι είναι το CryptoPHP ?

Το CryptoPHP είναι ένα αρχείο malmware όπου χρησιμοποιεί τροποποιημένες ευπάθειες απο γνωστά και δημοφιλή extensions όπως templates, plugins με απότερο σκοπό να αποκτηθεί πρόσβαση στην ιστοσελίδα μας ή ακόμα χειρότερα στον server που φιλοξενεί την ιστοσελίδα.

Πώς όμως φτάνουμε σε αυτό το σημείο ?

Είναι πολύ απλό. Το δημιουργούμε εμείς οι ίδιοι :)
Kαι για να γίνουμε πιο κατανοητοί να εξηγήσω λίγο τι ακριβώς συμβαίνει. Κάποια απο τα πιό δημοφιλή extensions για την joomla / wordpress / drupal σελίδα μας οι κατασκευαστές τα δημοσιεύουν με κόστος αγοράς. Για να χρησιμοποιήσει κάποιος πχ ένα social page extension ή ένα RSS extension ή ένα template της RocketTheme , της Gavick, της Joomlaworks κλπ κλπ πρέπει να πληρώσει ένα πόσο, είτε ανα μήνα , είτε ανα χρόνο , είτε μια μόνο φορά.

Για να μας "γλυτώσουν απο το κόστος" κάποιοι, αυτά τα πιό γνωστά και δημοφιλή extensions, τα δημοσιεύουν δωρεάν σε ιστοσελίδες πειρατικού περιεχομένου. Με αυτόν τον τρόπο μπορείς να κατεβάσεις δωρεάν ότι επιθυμείς και να χρησιμοποιήσεις κάποιο δημοφιλή extension. Βέβαια την άδεια χρήσης ΔΕΝ την έχεις, γιατί πολύ απλά ΔΕΝ έχεις αγοράσει αυτό το extension.

Όλα έχουν το κόστος τους!

Προφανώς για όλα υπάρχει μια τιμή. Έχοντας καταλάβει ότι πολλοί χρήστες αναζητούν πειρατικό περιεχόμενο, κάποιοι ξεκίνησαν να δημοσιεύζουν μαζικά πειρατικό περιεχόμενο απο τα πιό δημοφιλή και γνωστά CMS όπως Joomla, Wordpress, Drupal κλπ με μια μεγάλη διαφορά. Έχει γίνει τροποποίηση στον κώδικα του extension και έχει αλλαχτεί με ένα δικό τους backdoor.
Με απλά λόγια, δημοσιεύοντας πειρατικά πειραγμένα extensions γνωστών κατασκευαστών, δωρεάν για τον καθένα, αντί να τα πληρώσεις, το malmware CryptoPHP δρά ώς φορέας μέσα απο αυτά τα extensions, χωρίς ο χρήστης να καταλάβει την παραμικρή διαφορά. Κάνοντας εγκατάσταση το πειρατικό extension, ταυτόχρονα κάνεις install και το backdoor στην ιστοσελίδα σου.

Συνέχεια και αποτέλεσμα του Backdoor

Mετά την εγκατάσταση, το malmware ξεκινάει δουλειά. Eμφανίζετε συνήθως με την ονομασία social.png. Δεν είναι όμως αρχείο φωτογραφίας. Αν γίνει επεξεργασία αρχείου θα δούμε κακόβουλο κώδικα. Παίρνει έλεγχο σε αρκετές functions της PHP όπως αποστολή μαζικώνremove the include php parameter for social.png
spam emails, έλεγχο του server φιλοξενίας, και φυσικά πρόσβαση στην διαχείριση της ιστοσελίδας μας.
Και όλα αυτά χωρίς να φανεί η διαφορά σε γυμνό μάτι. Συνήθως οι ιδιοκτήτες ιστοσελίδων δεν γνωρίζουν ότι έχουν το malmware στην ιστοσελίδα τους μέχρι φυσικά να ενημερωθούν απο τον πάροχο τους ή απο κάποιον 3ο φορέα.

Αναλυτικά οι δυνατότητες του CryptoPHP :

Οι κατασκευαστές αυτού του είδους malmware, έχει παρατηρηθεί ότι χρησιμοποιούν κυρίως για αποστολή spam μαζικών emails (1,000+) αλλά και για παράνομο Search engine optimization γνωστό και ώς Blackhat SEO. To malmware είναι πολύ καλά κατασκευασμένο και ο κώδικάς είναι αρκετά δυναμικός και ευέλικτος στην χρήση του.
Αναλυτικά : 

1 Eγκατάσταση του malmware απο τον χρήστη. Αυτόματη ενσωμάτωση στα γνωστά CMS Joomla, Wordpress, Drupal μέσω πειρατικού περιεχομένου το οποίο διανέμετε δωρεάν.

2 Public key encryption μεταξύ της παραποιημένης ιστοσελίδας και του server που ελέγχει το cryptophp malmware. Δεν μπορούμε να δούμε το περιεχόμενο της επικοινωνίας.

3 Backup μηχανισμοί φροντίζουν για την άμεση επανεγκατάσταση στην περίπτωση διαγράφης μόνο του malmware αρχείου. Η "τρύπα" στον κώδικα υπάρχει, αυτοματοποιημένα το malmware επανέρχετε ακόμα και μετά την διαγραφή του.

4 Το malmware γίνεται update αυτόματα απο τους χειριστές του απομακρυσμένα. Δεν χρειάζετε να κάνουν κάτι στην ιστοσελίδα μας χειροκίνητα.

5 To malware ξεκινάει την διαδικασία update αυτόματα. Ετσί μπορεί να διαφεύγει απο διάφορα φίλτρα που υπάρχουν στον server φιλοξενίας. 


Φορείς ασφαλείας και προστασίας περιεχομένου ιστοσελίδων έχουν εντοπίσει εκαντοντάδες απο παραποιημένα extensions και έχουν βρεθεί 16 διαφορετικές εκδόσεις του CryptoPHP μέχρι και της 12 Νοεμβρίου 2014. Η πρώτη έκδοση βγήκε στις 25 Σεπτεμβρίου όπου ήταν η έκδοση 0.1. Τώρα το malmware είναι στην έκδοση 1.0a

Προστασία, συμβουλές, ανίχνευση του cryptophp :

Αν η ιστοσελίδα σας είναι σε Shared Webhosting (φιλοξενία ιστοσελίδας σε κοινόχρηστο περιβάλλον) λογικά ο πάροχος σας θα έχει φροντίσει να υπάρχουν φίλτρα στην υποδομή όπου ανιχνεύουν τέτοιες απειλές. Ταυτόχρονα μπορείτε να ζητήσετε έναν έλεγχο του χώρου που έχετε αγοράσει. Στην υπηρεσία φιλοξενίας της webhosting4u.gr τα φίλτρα είναι ενεργά και ειδοποιούμε τους πελάτες μας σε πραγματικό χρόνο μόλις ανιχνευτεί το cryptophp.

Αν είστε ιδιοκτήτης dedicated ή vps server χωρίς διαχείριση απο τον πάροχο, θα χρειαστεί μόνος σας να ανιχνεύσετε αν το cryptophp υπάρχει στην ή στίς ιστοσελίδες που φιλοξενείτε.

  • Διαγράψτε την include παράμετρο. Για παράδειγμα αναζητήστε μέσα στα αρχεία σας γραμμή που να περιλαβμάνει το : php include('images/social.png') , το path μπορεί να είναι διαφορετικό ανάλογα την ιστοσελίδα σας.
  • Διαγράψτε το αρχείο social*.png.
  • Eλένξτε την βάση δεδομένων σας να δείτε αν έχουν δημιουργηθεί επιπλέον λογαριασμοί διαχειριστών.
  • Αλλάξτε τον κωδικό των διαχειριστικών λογαριασμών. (είναι πολύ πιθανό να είναι γνωστοί σε τρίτους)
  • Μην κατεβάζεις πειρατικό περιεχόμενο. Δεν αξίζει.

Επικοινωνήστε μαζί μας αν χρειάζεστε βοήθεια αντιμετώπισης με το cryptophp στον server σας

Rate this item
(0 votes)
Scool

Managing Director στην Gamebattles Ltd.
Φροντίζει για την ομαλή λειτουργιά των υπηρεσιών σας, ειδικεύεται σε υπηρεσίες Datacenter.
Υποστηρίζει έντονα το ανοιχτό λογισμικό και ιδίως το δημοφιλές Joomla CMS, όπου και διαθέτει πολυετή εμπειρία.
Στον ελεύθερο του χρόνο θα τον δείτε να παίζει StarCraft2 με την φυλή των Protoss.

Website: www.webhosting4u.gr
back to top