CryptoPHP Backdoor چیست؟
در این پست قصد داریم شما کاربران عزیز را با CryptoPHP Backdoor آشنا کنیم. در ابتدا توضیحات مختصری درمورد CryptoPHP ارائه خواهیم داد و در ادامه به توضیحاتی درموردکدهای مخرب اشاره خواهیم نمود. امیدواریم مقاله CryptoPHP Backdoor چیست؟ مورد توجه شما قرار بگیرد.
کاربران و مدیران وقـت زیادی را صرف از میـان بردن مساله نفوذ و هک شدن سایت های وردپرسی میکنند. در اکثر مسائـل در وقتی که ما در حال پاکسازی سایت وردپرسی هستیم، هکر ها کماکان قادر به نفوذ به سایت ما می باشند . در این مقاله ما کوشش داریم تا شیوه های پیدا کردن Backdoor ها و ممانعـت و از میـان بردن آن را آموزش دهیم.
معرفی CryptoPHP:
روشی برای دورزدن تاییـد هویت پیش فرض سیستم و بدست آوردن راه نفوذ به سرور یا سایت است در حالی که هنوز این حفره تاشناخته مانده می باشد. معـمولاً هکرهای باهوش چنان چه که توانایی نفوذی را پیدا کنند، قطعا Backdoor دیگری را برای نفوذ دوباره برای خود روی سایت قرار میدهند. حتی شانس دارد با ایجاد رسانی وردپرس هم این Backdoor ها کماکان در سایت باقی بمانند.
حتی در اقسام پیشرفته تر توانایی تهیه دستری های بالاتر، انجام هر نوع کد php دلخواه، ارسال ایمیل اسپم از سایت، اجرا کوئری از دیتابیس و یا سایـر مسائـل را فراهم نماید .
کدهای مخرب کجا پنهـان می شوند ؟
Backdoor های درون وردپرس اغلب در محل های پایین پنهـان می شوند :
۱- تم ها (Themes) :
بیشتر اوقات شانس داردBackdoor ها درون Theme ای که بهره گیری مینمایید ، نباشند.
هکر ها میخواهند دستورات مخربی که اضافه کرده اند با بروزرسـانی هسته وردپرس از میـان نرود. پس چنان چه شما Theme قدیمی دارید یا Theme های غیرعـادی دارید شانس دارد دستورات مخرب در راه ذخیره شدن آن ها وجود داشته باشند.
ما پیشنهاد میکنیم همـه Theme های غیرعـادی و بدون بهره گیری را پاک نمایید .
۲- پلاگین ها (Plugins) :
پلاگین ها هم به سه علـت یکـی از برترین مکان ها برای پنهـان کردن دستورات مخرب هکر ها می باشند.
– علـت اول : کاربران وردپرس پلاگین ها و دستورات مربوط به آن را بازبینی نمیکنند.
– علـت دوم : کاربران وردپرس علاقه ای به ایجاد کردن پلاگین ها ندارند.
– ضعیف بودن دستورات پلاگین های نصب شده که شانس دارد آسیب پذیزی از این پلاگین ها شـروع شود.
۳- پوشه uploads :
شما تنها در این فولدر تصویر آپلود مینمایید و در پست ها از این راه بهره گیری مینمایید و شانس دارد هزاران تصویر و فایل آپلود کرده باشید که بر حسب ماه و سـال در این پوشه قرار گرفته باشند.
آپلود کردن Backdoorها در این راه یکـی از ساده ترین راه ها برای هکر ها است چون فایل های مخرب در میـان هزاران فایلی که در این پوشه می باشند ، پنهـان می گـردد و شما به شیوه منظم این پوشه و فایل های آن را چک نمینمایید . ضمناً زیـادتر مردم از پلاگین هایی امنیتی مانند Sucuri برای مانیتورینگ این راه بهره گیری نمیکنند.
در انتهـا به این علـت که پوشه uploads قابل نوشتن است هدف عالی ی برای آپلود کردن فایل می باشد.
۴- فایل wp-config :
این فایل هم یکـی از هدف های بسیار خوب برای هکرها اسـت و یکـی از اولیـن مکانهایی هست که به کاربران گفته می شود بازبینی کنند. خوب است دسترسی به این فایل بصورت خیلی محدود باشد.
۵- پوشه wp-includes :
این پوشه هم یکـی دیگر از محل هایی است که خواهید توانست فایل های مخرب را پیدا نمایید . برخـی از هکر ها قطعا اینجا زیـادتر از یک فایل مخرب از خود به جا میزارند.
هکر ها یکبار فایل را آپلود میکنند و قطعا راه یا راه های دیگری برای دسترسی در آینده برای خود قرار خواهند داد.
فولدر include یکـی از مکانهایی است که کاربران بازبینی نمی کنند.
ضمناً شانس دارد فایل های مخربی وجود داشته باشند که خیلی شبیه به فایل های مهـم وردپرس هستنـد ولی در واقع فایل های مخربی می باشند که از نگاه کـرد ما پنهـان شده اند.
برای مثال در پاکسازی یک سایت با یک فایل مخرب در پوشه wp-includes با نام wp-uers.php مواجه شدیم، چنان چه که این فایل در وردپرس وجود ندارد و نام اصلی آن user.php می باشد.
در بازبینی دیگری فایلی با نام hello.php در راه پوشه uploads پیدا شد، این فایل در استـایل پلاگین Hello Dolly پنهـان شده بود، در حالی که رابطه ی با این پلاگین نداشت
چطور Backdoor ها و فایل های مخرب را پیدا کنیم؟
حالا که با معنی Backdoor آشنا شدیم، می بایست به دنبال راهی برای پیدا کردن و پاک کردن فایل ها و دستورات مخرب باشیم.
اگر مدیر سرور می باشید خواهید توانست از شل اسکنر هایی مثل CXS برای سرور خود بهره گیری نمایید.
– اسکریپت ConfigServer eXploit Scanner (مخفف CXS)
یک ابزار امنیتی و محصولی از شرکت ConfigServer می باشد. به کمک این ابزار میتوان تا حدودی از اسکریپتهای مخرب مثل وبشل و ابزارهای هک در امان ماند. میتوان CXS را یک Exploit (پویشگر ابزارهای مخرب) دانست.
چنان چه که فقط مدیر وب سایت می باشید و به هاست و مدیریت وردپرس دسترسی دارید خواهید توانست از پلاگین هایی کمک بگیرید تا شما را در پیدا کردن مـوارد یاری نمایید . حالا چند پلاگین را به شما معرفی میکنیم.
– پلاگین Exploit Scanner
این پلاگین در فایل ها و دیتابیس وردپرس شما برای پیدا کردن نشانه هایی از عملیات خراب کارانه پیدا کردن را انجام می دهد . این پلاگین هیچ اطلاعاتی را پاک نمی کند و فقط گزارشی از آخرین تغییرات مشکوک در اطلاعات شما را جهت بازبینی عرضه میدهد.
– پلاگین Plugin Vulnerabilities
این پلاگین همـه پلاگین های نصب شده را بازبینی و آخرین مـوارد و باگ ها را به همراه ایجاد رسانی های موجود اطلاع رسانی می کند . پس چنان چه که پلاگین های شما حاوی گزارش ضعف امنیتی باشند خواهید توانست از این طریق آگاه شوید.
– پلاگین Wordfence Security
این پلاگین یک ابزار کامل برای وردپرس است حاوی فایروال، اسکن نرم افزارهای مخرب و مسدود کردن، نمایش ترافیک زنده سایت، تهیه امنیت برای داخل به پنل ادمین می باشد.
– پلاگین All In One WP Security & Firewall
این پلاگین هم یک پلت ساختـار کامل امنیتی برای ودپرس حاوی فایروال، بلک لسیت، امنیت داخل و ثبت نام در سایت، امنیت دیتابیس و حفاظت از فایل ها می باشد.
روش حل مساله CryptoPHP:
جهت حل مساله اقدامات پایین را انجام دهید.
- ساخته آنتی شل CXS.
- بهروز رسانی آنتی ویروس
- اجرا یکـی از دستورات زیر:
find /home/ –name “social*.png” –exec grep –q –E –o ‘php.{0,80}’ {} ; –exec chmod 000 {} ; –print
find /home/ –name “social*.png” –exec grep –E –o ‘php.{0,80}’ {} ; –print
find /home/ –name social.png –size 32k –exec rm –rf {} ;
find –L /home –type f –name ‘*.png’ –print0 | xargs –0 file | grep “PHP script” >cryptoPHP.txt
find –L / –type f –name ‘social.png’ –exec file
خب دوستان به پایان مقاله آموزشی CryptoPHP Backdoor چیست؟ رسیدیم. از توجه و همراهی شما سپاسگزاریم. برای مشاهده اطلاعات بیشتر درمورد سرور مجازی و هاستینگ سایر مقالات این سایت را دنبال نمایید.