В последните няколко дни засякохме необичайна активност в немалък брой хостинг акаунти. Виновникът за това беше троянски кон, който наскоро е бил активиран, след като се е спотайвал с месеци в темите и плъгините на WordPress, Joomla! и Drupal.
Този троянски кон е наречен CryptoPHP и дава възможност отдалечено да се придобие достъп и контрол над CMS системата, чрез метод познат като backdoor.
Файловете на CryptoPHP са маскирани като автентични файлове на темата или плъгина. Това прави откриването им почти невъзможно, докато не бъдат използвани.
Маскираните файлове са част от кракнати теми и плъгини (nulled scripts). Без да подозират това, клиентите неволно качват маскираните файлове в хостинг акаунта когато инсталират такава тема или плъгин. При проверката открихме множество такива теми и плъгини за WordPress, Joomla! и Drupal.
CryptoPHP се разпространява чрез сайтове за пиратски плъгини и теми за WordPress, Joomla! и Drupal.
Как CryptoPHP може да навреди?
- Маскираните скриптове ползват базата данни на CMS системата. Могат да записват нова информация и да променят вече съществуващите записи. Например промяна на настройките на системата и добавяне на нови административни акаунти.
- Инжектиране на код и линкове в страниците на системата. Например JavaScript код на логин страниците.
- Модифициране на информацията за SEO. Вмъква данни, които са видими само за ботовете на търсещите машини. Например линкове към други сайтове.
- Може да се управлява отдалечено от контролен сървър C2 (Command and Control). Извършва връзка с такъв сървър и очаква команди.
- Ако връзката с контролен сървър не е възможна, управлението може да се извършва ръчно.
- Може да извърши автоматично обновяване на версията на маскираните скриптове.
Тези действия на CryptoPHP може сериозно да повлияят на дадения сайт. Например сайтът може да изгуби позиции в класирането на резултатите в Google. Възможно е дори да възпрепятства коректната работа и достъпа до сайта.
CryptoPHP при услугите в СуперХостинг?
Веднага след като CryptoPHP беше засечен, всички засегнати хостинг акаунти на уеб хостинг и Managed VPS сървърите са подсигурени и зловредните скриптове са неутрализирани.
Активността на тези скриптове доведе до неприятни последствия, като добавяне на IP адреси на някои сървъри за споделен хостинг в мейл blacklist. От наша страна бяха взети навременни мерки за изчистване на IP адресите и предотвратяване на тази ситуация за в бъдеще.
Въпреки мигновената ни реакция, изчистването на IP адресите отне известно технологично време. Извиняваме се на клиентите, които изпитаха затруднение при работата с имейл услугата, за причиненото неудобство.
Как CryptoPHP може да бъде открит?
Преди да инсталирате някоя тема или плъгин към вашия сайт, уверете се че този софтуер се предлага от официален сайт на разработчика или доверен източник. Също така можете да проверите файловете на темата/плъгина, преди да ги качите в хостинг акаунта.
В случай, че в хостинг акаунта има инсталиран плъгин/тема от неофициален източник, проверете директорията за съмнителни файлове.
CryptoPHP използва файл social.png
, в който се намира злонамерения код.
Файлът social.png
се извиква в системен файл на плъгина или темата. Например за тема на WordPress погледнете във файл functions.php
, за Joomla! component.php
и за Drupal template.php
.
В системния файл може да потърсите следния ред:
<?php include('images/social.png'); ?>
Ако откриете някой от признаците на CryptoPHP – файл social.png
или посочения по-горе ред, се препоръчва да премахнете от системата на сайта компрометираната тема/плъгин.
Съвет от support-а: Инсталирайте системите за управление на съдържанието през Softaculous, достъпен във вашия cPanel. За по-голяма сигурност на вашия сайт препоръчваме да се инсталират теми и плъгини от официалните сайтове. Препоръчително е плъгини, модули и други добавки да се изтеглят само от доверени източници.
Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.