احذر الاصابة ب CryptoPHP Backdoor داخل ثيمات ووردبريس و جوملا + سكريبت الإزالة

السلام عليكم و رحمة الله و بركاته
ظهر مؤخرا backdoor جديد قام بإصابة آلاف المواقع و السيرفرات عن طريق ثيمات ووردبريس و جوملا و ايضا دروبال المصابة به
قام بالإكتشاف شركة أمنية هولندية تدعى FOX-IT و قامت بتسميته CryptoPHP
حيث اكتشف الباحثون الأمنيون انه يقوم بالإنتشار عن طريق حقنة داخل الثيمات و الاضافات الخاصة الغير ممجانية بنظم ادارة المحتوى المشهورة مثل ووردبريس و جوملا و دروبال و التي يتم توزيعها بشكل غير شرعي


بمجرد ان يتم تنزيل هذا الثيم او الاضافة , يقوم ال backdoor بإعطاء امكانية للمخترق بالتحكم في سيرفر الضحية عن طريق remote connection & execution كذلك امكانية لارسال الايميلات و تحكم كامل في السيرفر
بالإضافة إلى انه يقوم بإضافة مستخدم جديد لديه صلاحية المدير administrator و يقوم بإرسال هذه البيانات للمخترق
و يصنف هذه ال backdoor أيضا ك black SEO Malware
حيث انه يقوم بزرع لينكات لمواقع في الموقع المصاب Dirty SEO ليرفع تصنيفها في جوجل او ما يعرف ب site backlinks

تم التعرف على حوالي 16 شكل مختلف لل backdoor و حوالي 8 مواقع تقوم بنشر هذه الثيمات و الإضافات المصابة , عدد المواقع المصابة غير معروف جتى الآن و لكن طبقا لشركة FOX-IT الأمنية فعدد المواقع يتجاوز ال 23000 سيرفر

لحماية نفسك و موقعك يجب أن تقوم بالآتي :-
-- قم بإزالة اي ثيم أو إضافة قمت بوضعها على موقعك قمت بتنزيلها من موقع غير موثوق فيها
-- قم بفحص موقعك بأي برنامج Antivirus محدث
-- قم بالتفتيش في المستخدمين لديك عن مستخدم جديد غير معروف , إذا وجدته قم بحذفه فورا و يفضل تغيير كلمات المرور للمستخدمين الحاليين
-- لا تقوم بتنزيل اي ثيمات او اضافات بشكل غير شرعي فهو بغض النظر انه يعرضك لأخطار كثيرة إلا أنه ايضا "غير شرعي" :)

قمنا في shieldfy بعمل سكريبت مفتوح المصدر لإزالة الباك دور من موقعك إن وجد
للإطلاع على الكود من هنا https://github.com/shieldfy/CryptoPHP-malware-removal
و للتحميل من هنا https://raw.githubusercontent.com/sh...hp_removal.php

فقط قم برفع هذا الملف على موقعك http://yourwebsite.com/cryptophp_removal.php و قم بتشغيله و سيقوم بالتعرف إذا كان موقعك مصاب ام لا و إذا كان مصاب سيقوم بإزالة الباك دور
إن شاء الله
http://1.bp.blogspot.com/-Wx91tQCXRs...screenshot.jpg
و شكرا لكم

ألف شكر على الموضوع

من الغباء استخدام ثيمات واضافات غير شرعية في اي موقع وشكرا علي التنبيه