السلام عليكم و رحمة الله و بركاته
ظهر مؤخرا backdoor جديد قام بإصابة آلاف المواقع و السيرفرات عن طريق ثيمات ووردبريس و جوملا و ايضا دروبال المصابة به
قام بالإكتشاف شركة أمنية هولندية تدعى FOX-IT و قامت بتسميته CryptoPHP
حيث اكتشف الباحثون الأمنيون انه يقوم بالإنتشار عن طريق حقنة داخل الثيمات و الاضافات الخاصة الغير ممجانية بنظم ادارة المحتوى المشهورة مثل ووردبريس و جوملا و دروبال و التي يتم توزيعها بشكل غير شرعي
بمجرد ان يتم تنزيل هذا الثيم او الاضافة , يقوم ال backdoor بإعطاء امكانية للمخترق بالتحكم في سيرفر الضحية عن طريق remote connection & execution كذلك امكانية لارسال الايميلات و تحكم كامل في السيرفر
بالإضافة إلى انه يقوم بإضافة مستخدم جديد لديه صلاحية المدير administrator و يقوم بإرسال هذه البيانات للمخترق
و يصنف هذه ال backdoor أيضا ك black SEO Malware
حيث انه يقوم بزرع لينكات لمواقع في الموقع المصاب Dirty SEO ليرفع تصنيفها في جوجل او ما يعرف ب site backlinks
تم التعرف على حوالي 16 شكل مختلف لل backdoor و حوالي 8 مواقع تقوم بنشر هذه الثيمات و الإضافات المصابة , عدد المواقع المصابة غير معروف جتى الآن و لكن طبقا لشركة FOX-IT الأمنية فعدد المواقع يتجاوز ال 23000 سيرفر
لحماية نفسك و موقعك يجب أن تقوم بالآتي :-
-- قم بإزالة اي ثيم أو إضافة قمت بوضعها على موقعك قمت بتنزيلها من موقع غير موثوق فيها
-- قم بفحص موقعك بأي برنامج Antivirus محدث
-- قم بالتفتيش في المستخدمين لديك عن مستخدم جديد غير معروف , إذا وجدته قم بحذفه فورا و يفضل تغيير كلمات المرور للمستخدمين الحاليين
-- لا تقوم بتنزيل اي ثيمات او اضافات بشكل غير شرعي فهو بغض النظر انه يعرضك لأخطار كثيرة إلا أنه ايضا "غير شرعي"
قمنا في shieldfy بعمل سكريبت مفتوح المصدر لإزالة الباك دور من موقعك إن وجد
للإطلاع على الكود من هنا https://github.com/shieldfy/CryptoPHP-malware-removal
و للتحميل من هنا https://raw.githubusercontent.com/sh...hp_removal.php
فقط قم برفع هذا الملف على موقعك http://yourwebsite.com/cryptophp_removal.php و قم بتشغيله و سيقوم بالتعرف إذا كان موقعك مصاب ام لا و إذا كان مصاب سيقوم بإزالة الباك دور
إن شاء الله
و شكرا لكم