Πρίν λίγες μέρες και συγκεκριμένα 18 Νoεμβρίου , η εταιρεία fox-it που ασχολείτε με την ασφάλεια στο διαδίκτυο ανακόινωσε μια άκρως ενδιαφέρουσα μελέτη 50 σελίδων για τα σπασμένα Theme και plugin σε Joomla , WordPress , Drupal.
Συγκεκριμένα , όσοι κατεβάζανε πειρατικά theme – plugins από συγκεκριμένες ιδιαίτερα διαδεδομένες σελίδες , κατέβαζαν μαζί και ένα ιδαίτερα καλογραμμένο κακόβουλο κώδικα που κρυβόταν μέσα σε φωτογραφίες. Ο κώδικας αυτός δύσκολα ανιχνεύεται γιατί ακριβώς επειδή είναι μέσα σε φωτογραφία , πολλά antivirus αγνοούσαν την σάρωση του. Η εγκαταστάση λοιπόn αυτού του theme – plugin μετέτρεπε την σελίδα σας σε bot σε ένα τεράστιο δίκτυο bots. Αν και η μελέτη αναφέρει οτι χρησιμοποιήθηκαν κυρίως για black hat seo , ο δυνατότητες του είναι για πολλά παραπάνω …
Πως ακριβώς λειτουργεί :
Σε κάποιο αρχείο μέσα στο σπασμένο theme – plugin , θα δείτε τον εξής ή παρόμοιο κώδικα:
<?php include(‘images/social.png’); ?>
Για κάποιον που καταλαβαίνει php θα δεί το παράξενο: Καλεί ένα αρχείο .png ! Με μία ματιά σε αυτό το αρχείο θα δείτε ότι δεν είναι εικόνα αλλά κώδικας php !
Τι πρόβλημα δημιουργεί :
Καταρχήν η σελίδα έχει τρύπα και απομακρυσμένα ενδεχόμενος να μπορούν να κάνουν ότι θέλουν . Από black hat seo έως dos attack! Και ότι συνεπάγεται αυτό…
Επίσης από προχθές η spamhaus σκανάρει servers και αν δει ότι υπάρχουν τέτοιες σελίδες βάζει σε black list την ip του server. Κοινώς αντίο email προς τα περισσότερα εταιρικά email , yahoo , hotmail … ( η spamhaus μαζί με baraccuda είναι τα ποιο διαδεδομένα anti spam site τα οποία εμπιστεύονται οι περισσότεροι servers )
Πως το διορθώνω ;
Εδώ είναι το πραγματικά δύσκολο . ΤoClam Antivirus που έχουν οι servers μέχρι και χθες δεν έπιανε τίποτα… Το cxs όπως δείχνει να καταλαβαίνει το κακόβουλο λογισμικό. Εάν το έχετε στον server σας τρέξτε το ! επίσης αν έχετε πρόσβαση ssh στον Server σας η spamhaus δίνει ένα πρόγραμμα για να το τρέξετε . Aν σας κλείδωσε την ip τότε θα σας αναφέρει τους λόγους ( και όχι το αρχείο όμως που κάνει την ζημιά ) και θα σας προσφέρει το λογισμικό του δωρεάν να το τρέξετε…
Εναλλακτικά μπορείτε να τρέξετε την εξής εντολή
find -L / -type f -name ‘social.png’ -exec file {} +
να σας εμφανίσει τα social.png αρχεία και να τα ελέγξετε ένα ένα…
Προσωπική άποψη :
Η χρήση σπασμένων themeplugin από τέτοιες σελίδες , προφανώς έχει κίνδυνο και πολλές φορές η ζημιά που κάνουν είναι μεγαλύτερη από απλά να το αγόραζες. Παρόλα αυτά θεωρώ απαράδεκτο να κλειδώνει όλη την ip ενός sharehostingserver επειδή 1-2 πελάτες έχουν cryptophp από σπασμένα theme – plugin …
Update 1 :
h spamhaus μαζί με το blog της fox-it προτείνουν να τρέξετε σε ssh
find -L / -type f -name ‘social.png’ | xargs file
locate -b ‘\social.png’ | xargs file
αν επιστραφεί κάτι σαν “../images/social.png: PHP script, ASCII text”, τότε βρήκατε ένα μολυσμένο αρχείο
ενώ αναβάθμισε το findbot.pl πρόγραμμα της για ποιο γρήγορο scanning
{fcomment}