Moving Menu

CryptoPHP - czyli poważny backdoor w WordPress, Joomla i Drupal

corner CryptoPHP - czyli poważny backdoor w WordPress, Joomla i Drupal
Poważny backdoor, który zagraża najpopularniejszym systemom CMS takim jak: WordPress, Joomla oraz Drupal. Postaramy się wyjaśnić jak działa oraz jak można zabezpieczyć się przed jego działaniem.

 

Bardzo łatwo stać się podatnym na jego działanie, ale bardzo trudno go wykryć. Nawet gdy, aktualizujemy naszą aplikację regularnie to niebezpieczeństwo jest bardzo realne. Jak to bywa w takich sytuacjach, często sami je na siebie sprowadzamy. CryptoPHP o którym mowa, najczęściej instaluje się z popularnymi wtyczkami lub skórkami do naszej aplikacji. Warunek jest jeden, dotyczy to instalacji pobieranych z niezaufanych źródeł.

 

Jak działa?

Wszystko sprowadza się do niewinnie wyglądającego pliku graficznego social.png w którym to zaszyto kod PHP. Backdoor może wykonać następujące akcje na naszym koncie.

  • Wykorzystywanie bazy danych CMS do przechowywania danych
  • Wykorzystanie szyfrowanego klucza do przesyłania danych pomiędzy serwerami
  • Możliwość przejęcia ręcznej kontroli nad kontem
  • Wprowadzanie treści na stronę internetową
  • Wykonanie dowolnego kodu

 

CryptoPHP najczęściej w tej chwili jest wykorzystywane do blackhat SEO. Dlatego tak ważne jest sprawdzenie swojej instalacji pod tym kątem.

 

Social.png

Oto jak od środka wygląda plik odpowiedzialny za całe zamieszanie.

 

CryptoPHP komunikuje się z serwerami za pomocą klucza RSA (widoczny w linii 10). Przy pierwszym uruchomieniu generuje losowy klucz serwera zawierający 10 znaków i dodatkową parę kluczy RSA, klucz publiczny jest wysyłany do serwera, więc może komunikować się obustronnie.

 

Jak uniknąć infekcji?

Jest to analogiczna sytuacja, gdy ściągamy jakiekolwiek oprogramowanie z internetu, źródło pliku jest bardzo istotne. Jedynym czynnikiem, który sprawia, że konto zostało zainfekowane CryptoPHP to instalacja pluginów, skórek czy całych aplikacji z niezaufanych źródeł. Dlatego należy dokonywać instalacji tylko z zaufanych i sprawdzonych źródeł, aby nie stać się potencjalną ofiarą.

 

Jak wykryć zagrożenie?

Są dwie metody, które można zastosować, aby wykryć CryptoPHP.

  • Ręcznie analizując pliki i kod - zwracając szczególną uwagę na zawartość plikow social*.png - gdzie * to dowolna liczba - jesli wewnatrz znajduje sie kod php, to witryna jest zainfekowana.
  • Użycie programu antywirusowego

 

Jak usunąć istniejący już CryptoPHP?

Jedyny sposób to ręczne usunięcie szkodliwego kodu z plików. Należy przeanalizować w szczegółności wtyczki pobierane z niezaufanych źródeł oraz pliki social*.png

 

Aktualizacja 27-11-2014 dla klientów Kylos.pl

W trosce o bezpieczeństwo naszych klientów, postanowiliśmy zabezpieczyć serwery hostingowe. Zostały wgrane reguły filtrujące ruch dzięki czemu zagrożenie CryptoPHP zostało zneutralizowane.

 

 

 

 

comments powered by Disqus

Powiązane

photo corner
Jak przebiega migracja z serwera na serwer?

Wielokrotnie spotykaliśmy się z pytaniem jak wygląda migracja z hostingu X do środowiska Kylos, dlatego w tym wpisie postanowiliśmy Wam przedstawić ten proces.

Czytaj więcej
photo corner
Wdrożenie skanera antywirusowego dla hostingu współdzielonego w Kylos

W celu poprawy bezpieczeństwa klientów korzystających z kont hostingowych Brozne, Silver, Gold i Platinum uruchomiliśmy na serwerach Kylos skaner antywirusowy CXS.

Czytaj więcej
photo corner
Przenieś swoją stronę www do Kylos.pl za darmo!

Doskonale wiemy, że przeniesienie danych pomiędzy jednym a drugim hostingiem może być procesem trudnym, męczącym i wymagającym posiadania stosownej wiedzy . Dlatego Kylos.pl, chcąc do maksimum ułatwić Wam korzystanie z naszych usług, oferuje darmowe przeniesienie danych z poprzedniego serwera na nasz.

Czytaj więcej