https://blog.superhosting.bg/cryptophp-secured.html

Натиснете ENTER, за да видите резултатите или ESC за изход.

Блог на SuperHosting.BG

Пиратски теми и плъгини крият злонамерен скрипт в WordPress, Joomla и Drupal

2016-07-20
Новини и събития
cryptophp, crytophp backdoor, cryptophp уязвимост, cryptophp заплаха, злонамерен скрипт, cryptophp троянски кон

В последните няколко дни засякохме необичайна активност в немалък брой хостинг акаунти. Виновникът за това беше троянски кон, който наскоро е бил активиран, след като се е спотайвал с месеци в темите и плъгините на WordPress, Joomla! и Drupal.

Този троянски кон е наречен CryptoPHP и дава възможност отдалечено да се придобие достъп и контрол над CMS системата, чрез метод познат като backdoor.

Файловете на CryptoPHP са маскирани като автентични файлове на темата или плъгина. Това прави откриването им почти невъзможно, докато не бъдат използвани.

Маскираните файлове са част от кракнати теми и плъгини (nulled scripts). Без да подозират това, клиентите неволно качват маскираните файлове в хостинг акаунта когато инсталират такава тема или плъгин. При проверката открихме множество такива теми и плъгини за WordPress, Joomla! и Drupal.

CryptoPHP се разпространява чрез сайтове за пиратски плъгини и теми за WordPress, Joomla! и Drupal.

Как CryptoPHP може да навреди?

  • Маскираните скриптове ползват базата данни на CMS системата. Могат да записват нова информация и да променят вече съществуващите записи. Например промяна на настройките на системата и добавяне на нови административни акаунти.
  • Инжектиране на код и линкове в страниците на системата. Например JavaScript код на логин страниците.
  • Модифициране на информацията за SEO. Вмъква данни, които са видими само за ботовете на търсещите машини. Например линкове към други сайтове.
  • Може да се управлява отдалечено от контролен сървър C2 (Command and Control). Извършва връзка с такъв сървър и очаква команди.
  • Ако връзката с контролен сървър не е възможна, управлението може да се извършва ръчно.
  • Може да извърши автоматично обновяване на версията на маскираните скриптове.

Тези действия на CryptoPHP може сериозно да повлияят на дадения сайт. Например сайтът може да изгуби позиции в класирането на резултатите в Google. Възможно е дори да възпрепятства коректната работа и достъпа до сайта.

CryptoPHP при услугите в СуперХостинг?

Веднага след като CryptoPHP беше засечен, всички засегнати хостинг акаунти на споделен Linux хостинг и Managed VPS сървърите са подсигурени и злонамерените скриптове са неутрализирани.

Активността на тези скриптове доведе до неприятни последствия, като добавяне на IP адреси на някои сървъри за споделен хостинг в мейл blacklist. От наша страна бяха взети навременни мерки за изчистване на IP адресите и предотвратяване на тази ситуация за в бъдеще.

Въпреки мигновената ни реакция, изчистването на IP адресите отне известно технологично време. Извиняваме се на клиентите, които изпитаха затруднение при работата с имейл услугата, за причиненото неудобство.

Как CryptoPHP може да бъде открит?

Преди да инсталирате някоя тема или плъгин към вашия сайт, уверете се че този софтуер се предлага от официален сайт на разработчика или доверен източник. Също така можете да проверите файловете на темата/плъгина, преди да ги качите в хостинг акаунта.

В случай, че в хостинг акаунта има инсталиран плъгин/тема от неофициален източник, проверете директорията за съмнителни файлове.

CryptoPHP използва файл social.png, в който се намира злонамерения код.

Файлът social.png се извиква в системен файл на плъгина или темата. Например за тема на WordPress погледнете във файл functions.php, за Joomla! component.php и за Drupal template.php.

В системния файл може да потърсите следния ред:

<?php include(‘images/social.png’); ?>

Ако откриете някой от признаците на CryptoPHP – файл social.png или посочения по-горе ред, се препоръчва да премахнете от системата на сайта компрометираната тема/плъгин.

Съвет от support-а:
Инсталирайте системите за управление на съдържанието през Softaculous, достъпен във вашия cPanel. За по-голяма сигурност на вашия сайт препоръчваме да се инсталират теми и плъгини от официалните сайтове. Препоръчително е плъгини, модули и други добавки да се изтеглят само от доверени източници.

Специалист Техническа Поддръжка

Меган е нашият support гуру – може да отговори на всеки технически въпрос. Знае всичко за новите технологии. СуперСилата на Меган е, че може да обясни и най-сложните технологии на достъпен за всеки език.

500px270px
SuperHosting.BG

Препоръчани статии

Оставете коментар

7 Коментара към "Пиратски теми и плъгини крият злонамерен скрипт в WordPress, Joomla и Drupal"

Уведоми ме при
avatar

Димитър Георгиев - Бико
Гост
21 декември 2014 16:54
Всеки сякаш е имал подобни проблеми в един или друг момент. Кривото е, че голяма част от проблемите в темите и плъгините са спящи и се активират от злосторниците в един конкретен момент, когато правят мазало. За това най-добрият вариант си остава купуването на оригинални теми, а не свалянето им от разни форуми, които най-малкото не проверяват за подобен проблем, докато се опитват да предлагат максимален обем подобни даунлоуди. Още повече като SEO все пак ми се е налагало да се справям с такива проблеми при клиентски сайтове и това… още »
Катя Делиева
Гост
Катя Делиева
22 декември 2014 16:11

По мои наблюдения, обикновено, ако темплейта или плъгина е заразен, проблема настъпва след около 1 година.

P.S. Да допълня, че и в сайтовете за безплатни теми, които самите девелопъри си ги предлагат за безплатно изтегляне са пълни с разни спамърски линкове, скрити в различни файлове. При wordpress, например съм попадала на спамърски линкове в functions.php. :-/

Катя Делиева
Гост
27 ноември 2014 17:06
За съжаление и аз се сблъсках с подобен проблем. В моя случай започна да действа 1 година след активно използване на темата. В моя случай се наложи да сменя базата данни и целият сайт, за да тръгне като хората – което е много, много голяма играчка! Нито предно копие, нито изтриване на всички съмнителни файлове помогна. Чак като смених базата данни, тогава се оправи сайта. Не знам дали става дума за CryptoPHP, обаче заразените файлове ми създадоха много главоболия. Затова моят съвет към потребителите е ако смятат да създавате сериозен… още »
Едуард Димитров
Гост
27 ноември 2014 10:30
За съжаление и аз имах проблеми в един сайт с точно същия проблем и файла social.png. Много благодаря за известието и навременната реакция! Никога в сайта не е ползвано нищо пиратско, той бе супер елементарен WP блог, изграден само от 2-3 безплатни плъгина. Но самия домейн заедно с блога бе купен от друго лице преди около половин година. И в него бе вече инсталирана темата за уърдпресс Thesis, която едва вчера видях че е платена. Най-интересното бе, че темата дори не бе активна (активна в блога бе Twenty Eleven), но… още »
Стоян
Гост
Стоян
28 ноември 2014 14:09

А дали директорията не е била стандартна, като:
http:///yourwebsite.com/wordpress/wp-content/themes/thesis/

Боби
Гост
26 ноември 2014 22:18

Имате ли информация колко от акаунтите с въпросните инсталирани cms системи са били засегнати (като процент)? Предупреждавате ли потребителите, в чиито акаунти е засечен скрипта?

СуперХостинг.БГ
SH
27 ноември 2014 10:48

Здравейте,
Всички клиенти със засегнати хостинг акаунти са информирани.
Засегнатите акаунти са малък процент.

wpDiscuz