這個週末,我們的一些電子郵件伺服器瘋狂發送垃圾郵件。在快速解決垃圾郵件問題後,我們開始了識別垃圾郵件原因的較長過程。事實證明這是 CryptoPHP 感染(請參閱官方白皮書),透過一些 WordPress 主題和外掛程式啟動。
什麼是 CryptoPHP 感染?
CryptoPHP 感染很久以前就被發現了,但在過去幾個月似乎被更頻繁地利用。使用這種方法攻擊網站的駭客,喀麥隆電話號碼數據 獲取付費的 WordPress、Joomla 和 Drupal 主題和擴展,刪除驗證某個擴展/主題是否獲得許可的程式碼區塊,然後免費分發它們。此類版本的擴充功能/主題稱為空腳本。
修改後的主題/擴充功能通常包含惡意程式碼,為駭客提供對受感染網站的完全存取權。在空主題/擴充中,有一行程式碼看起來與此類似:
大多數 PHP 開發人員會立即註意到這個程式碼區塊看起來很奇怪。 PHP 指令包含一個文件,該文件應包含 PHP 程式碼。然而,在這種情況下,該檔案是一個圖像,並且包含通常被混淆的惡意程式碼。惡意程式碼用於各種目的,例如黑帽 SEO 攻擊和其他目的,例如在我們的伺服器上發送垃圾郵件。
我們做了什麼?
首先,我們掃描伺服器以確定有多少網站被感染,並限制對無效腳本的存取。這意味著此類惡意檔案不會在我們的伺服器上按預期運行,駭客將無法使用它們存取我們基礎設施上託管的網站。
其次,我們正在應用伺服器範圍的保護,社群媒體與廣告網路集成 以確保防止未來任何類似 CryptoPHP 感染的嘗試。
你應該做什麼?
由於我們無法確定感染可能造成的損害的全部範圍,因此我們向所有受感染的用戶發送了一封電子郵件,要求他們做兩件事:
- 檢查其應用程式的使用者清單中是否有他們不認識的管理員並將其刪除。管理員使用者擁有對您網站的完全存取權限,如果該使用者不是您為受信任的人創建的,那麼它很可能是由駭客創建的。
- 對您的網站進行審核,尋找駭客可能留下的後門,CryptoPHP 感染 – 關於免費取 這表示 – 尋找不應該存在於您帳戶中的未知文件。
我們也強烈建議您永遠不要下載應該付費的免費擴充功能和主題。無論您下載哪種類型的軟體,台灣數據 請確保從信譽良好的來源下載。
我們還鼓勵您分享有關此漏洞的信息,以及為什麼使用應該付費的免費主題不是一個好主意。這將有助於提高認識並保護更多網站免受感染。