เว็บไซต์ WordPress และ Joomla กว่า 700 แห่งติดมัลแวร์ ionCube ที่ปลอมแปลงเป็นไฟล์เข้ารหัส ionCube ที่ถูกต้อง
IonCube เป็น PHP Encoder ที่เก่าและทรงพลัง ซึ่งใช้สำหรับเข้ารหัสและป้องกันไฟล์ด้วยความสามารถในการเข้ารหัส PHP, การเข้ารหัส, ทำให้งงงวยและอนุญาตให้ใช้สิทธิ์ เนื่องจากค่าใช้จ่ายในการออกใบอนุญาต โดยทั่วไป ionCube จึงไม่เป็นคู่แข่งกันสำหรับการใช้งานที่เป็นอันตราย
อย่างไรก็ตาม ผู้โจมตีพบวิธีการปลอมแปลงมัลแวร์ที่คล้ายกับไฟล์ที่เข้ารหัส ionCube เพื่อประนีประนอมเว็บไซต์ต่างๆ ในบรรดาเว็บไซต์ที่ได้รับผลกระทบ ได้แก่ ไซต์ที่ใช้ WordPress, Joomla และ CodeIgniter มัลแวร์ช่วยให้แฮกเกอร์สร้างแบ็คดอร์บนเว็บไซต์ที่มีช่องโหว่ ส่งผลให้มีการขโมยข้อมูลจากผู้ใช้ไซต์ที่มีช่องโหว่
สัญญาณของการติดเชื้อมัลแวร์ ionCube
นักวิจัยค้นพบไฟล์ ionCube ปลอมกว่า 7000 ไฟล์ที่มีชื่อที่ไม่เป็นอันตรายซึ่งทำงานบนเซิร์ฟเวอร์ PHP ตามที่นักวิจัยกล่าวว่าในขณะที่ไฟล์ ionCube ที่ถูกต้องมีเพียงไม่กี่บรรทัด แต่ก็ไม่ใช่กรณีของปลอม นอกจากนี้ ไฟล์ Ioncube ที่ถูกต้องทุกไฟล์จะอ้างอิงถึงโดเมน ioncube.com นี่ไม่ใช่กรณีในไฟล์ปลอม
นี่คือลักษณะของไฟล์ ionCube ปลอม
ในขณะที่ไฟล์ ionCube ที่ถูกต้องมีลักษณะดังนี้:
นอกจากนี้ นักวิจัยค้นพบบล็อคโค้ดหลังจากแท็กปิด PHP ซึ่งประกอบด้วยอักขระที่เป็นตัวอักษรและตัวเลขและการขึ้นบรรทัดใหม่เท่านั้น ซึ่งแตกต่างจากไฟล์จริง ตามที่นักวิจัย:
การสอบสวนเปิดเผยการค้นพบไซต์ที่ติดไวรัส 700 แห่ง รวมไฟล์ที่ติดไวรัสมากกว่า 7,000 ไฟล์ ไฟล์ PHP เช่น “diff98.php” และ “wrgcduzk.php” ซึ่งโดยทั่วไปแล้วเป็นไฟล์ที่น่าสงสัยซึ่งสร้างความสับสน ดูเหมือนจะเกือบจะเหมือนกับไฟล์ที่เข้ารหัส ionCube ที่ถูกต้อง
ในการถอดรหัส ไฟล์ ionCube ปลอมประกอบด้วยมัลแวร์ ionCube ในทางทฤษฎี โค้ดที่เป็นอันตรายที่ฉีดเข้าไปสามารถแพร่ระบาดเว็บไซต์ใดๆ โดยอิงจากเว็บเซิร์ฟเวอร์ที่ใช้ PHP
วิธีการบรรเทา?
การแยกความแตกต่างระหว่างไฟล์ ionCube ปลอมและไฟล์ที่ถูกต้องอาจเป็นเรื่องยาก เนื่องจากมีมัลแวร์หลากหลายรูปแบบ นอกจากนี้ หากผู้พัฒนาไม่ได้ติดตั้งไฟล์ที่เข้ารหัส ionCube โดยเฉพาะ แต่พบว่าไฟล์ดังกล่าวบนเซิร์ฟเวอร์ของพวกเขาอาจติดไวรัส เป็นเรื่องปกติที่จะเห็นมัลแวร์ที่แตกต่างกันเล็กน้อยถึง 100 แบบในไซต์เดียว นอกจากนี้ ความเข้ากันได้ข้ามกับ PHP เวอร์ชันต่างๆ นั้นมีน้อยมาก ทำให้การใช้งานเป็นมัลแวร์ลดลง
มัลแวร์ ionCube สามารถบรรเทาได้ นักวิจัยแนะนำให้ผู้ดูแลระบบตรวจสอบการมีอยู่ของไฟล์ที่เข้ารหัส ionCube เป็นตัวบ่งชี้การประนีประนอม ในการตรวจจับในเชิงบวก เพื่อกำจัดภัยคุกคามอย่างสมบูรณ์ การสแกนทั่วทั้งไซต์เป็นสิ่งจำเป็นพร้อมกับการนำไฟร์วอลล์แอปพลิเคชันเว็บ (WAF) มาใช้
ดาวน์โหลดฟรี . ของเรา รายการตรวจสอบแนวทางปฏิบัติในการเข้ารหัสที่ปลอดภัยสำหรับนักพัฒนาเพื่อให้แน่ใจว่าไซต์ของคุณปฏิบัติตามทุกแง่มุมของการรักษาความปลอดภัยในการเขียนโค้ด
หากต้องการบรรเทาเว็บไซต์ของคุณจากภัยคุกคามออนไลน์เพิ่มเติม ให้ติดตั้ง Web Security Firewall ของ Astra
