HİZMETLERİNİZ İÇİNBİLGİ BANKASI

Hizmetlerinizi hızlı ve doğru kullanabilmeniz için gerekli dökümanlar ile sorunlarınızı çözümleyebilir ve bilgi sahibi olabilirsiniz.

CryptoPHP Malware Nedir ? Nasıl Temizlenir ?

Bu aralar İnternet’te CryptoPHP backdoor’u kullanarak, sitelerde değişiklik olduğunu gördüm, peki CryptoPHP Nedir ?

CryptoPHP büyük çapta web sunucuların güvenliğine sızmak için WordPress, Joomla ve Drupal temaları ve eklentilerine “backdoor” (arka kapı) kullanan bir tehdittir, tam olarak: ufak bir resim dosyasidir genelde ismi social.png dir.

Temalar veya eklentiler içinde şöyle bir kod görebilirsiniz: “<?php include(‘assets/images/social.png’); ?>”. Saten her akli başında bir PHP developer, bu kodu gördüğünde bir cinslik olduğunu anlar.

Bu temalar veya eklentiler ücretsiz olarak dağıtılır, Warez dediğimiz şey. Bu yöntem ile siz sitenize bu backdoor’u yükler ve CryptoPHP tehdidi çalışır. Bu backdoor bir web sunucusuna yüklendikten sonra bunun sahibi belirli bir kaç seçeneği olur; bir sunucunun iletişimini ele geçirip kontrol etmek, mail iletişimi veya manüel kontrol. Şuan CrpytoPHP’in sahipleri bu tehdidi SEO amaçlı kullanmaktalar; Black-Hat SEO. inanın bu backdoor çok güzel tasarlanmıştır, ve tamamen dinamiktir.

CryptoPHP backdoor’ın özellikleri:

  • Popüler CMS’ler ile entegre çalışır ( WordPress, Joomla veya Drupal ).
  • Ortak anahtarını şifreliye bilir, böylece Backdoor’un sahiplerine yüklenmiş sunucudan bilgilendirme yollayabilir.
  • Yüklenmiş sunucudan bilgi çekebilir ( IP ve Domainlari görüntüler ).
  • Yüklenmiş sunucunun mail iletişimini ele geçirip, bunun bir yedeğini alabilir.
  • Manüel kontrol ile sunucuda komut çalıştırabilir.
  • Backdoor’u otomatik güncelleştirebilir.

Bir kaç warez sitelerine baktım ve yaklaşık 10 çeşit farklı backdoor görebildim.
Verilen bilgilere göre kaç sitede bu backdoor olduğu belli değil fakat, en azından bir kaç bin sitede bu backdoor vardır.

Peki CrpytoPHP backdoor sizin sunucuda var mi yok mu, nasıl bilirsiniz ?

Buradaki vereceğim komutu sadece sunucu yöneticileri çalıştırabilir, henüz bir PHP tarayıcı yapılmadı ama SSH’dan kontrol edebiliriz.
Eğer bir cPanel/WHM sunucunuz var ise, bütün kullanıcılar /home/ klasöründe toplanır. (her kezde cPanel olmayabilir, bazı kisiler kontrol panel’i kullanmıyor bile).

İlk önce /home/ klas oruna gidiyoruz.( tabi bunları yapmamız için root olarak giriş yapmış olacağız ).

“cd /home/” sonra bu komutu çalıştıralım ve bekleyelim. “find . \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \; >> log.txt”

Bu komut bittikten sonra /home/ klasöründe log.txt diye bir dosya olacaktır, bunu bilgisayarımıza indiriyoruz ve Sublime-text veya NotePad++ ile gelişmiş bir not defteri programı ile acıyoruz.
Açtığımız anda bir arama yapmamız gerekiyor. Aradığımız kelime PHP olacaktır ( harfe duyarlı olsun, “Case sensitive” ). Sonuçlarımızda normal bir resim dosyasi: “file.png : PNG image data, 28 x 28, 8-bit/color RGBA, non-interlaced” diye bir sey gostermesi lazim. Fakat CryptoPHP backdoor’u ise “social.png: PHP script text” olarak gosterir.

Buraya tıklayarak CryptoPHP goruntuleyebilirsiniz. CryptoPHP Nedir

ikinci bir yöntem ise

ssh login olun sunucuya root olarak ardından

wget http://cbl.abuseat.org/findbot.pl
perl findbot.pl /home

komutlarını uygulayup virüs bulaşan kısımların çıktısını alabilirsiniz.

CryptoPHP nasıl önlenir ?

Warez’e hayır. Eğer kullandığınız pluginleri ve temaları satın alırsanız böyle bir şey olması imkansız.