ព័ត៌មាន

មេរោគថ្មី(Backdoor Malware) ត្រូវគេរកឃើញថាឆ្លងលើគេហទំព័រដែលប្រើ WordPress និង Joomla

មេរោគថ្មីមួយត្រូវគេរកឃើញទោះបីជាម្ចាស់គេហទំព័រសម្អាតគេហទំព័ររបស់ពួកគេក៏ដោយ។ មេរោគផ្តោតសំខាន់ទៅលើគេហទំព័រដែលប្រើ WordPress  និង Joomla ដើម្បីផ្តើម​ដំណើរ​ការឆ្លងមេរោគរបស់វា។

តើមានអ្វីថ្មីអំពីមេរោគ?

នៅក្នុងអត្ថបទចុងក្រោយបំផុតរបស់ខ្លួន លោក Sucuri លើកឡើងថា ការតស៊ូរបស់មេរោគ លើគេហទំព័រត្រូវបង្កើតឡើងដោយ Cron ដើម្បីទាញយកមេរោគចេញពី domain ភាគីទីបី។ កូដប្រភពមេរោគកំណត់រចនាសម្ព័ន្ធតែដើម្បីរកមើល WordPress  និងគេហទំព័រ Joomla។​  អាស្រ័យលើប្រភេទនៃវេទិកា  ​កម្មវិធីកម្ចាត់មេរោគកំណត់វិធីសាស្ត្រ ដែលវានឹង​ប្រើបន្ថែមដើម្បីចម្លងមេរោគទៅឯកសារលើគេហទំព័រ។

តើវាដំណើរការយ៉ាងដូចម្តេច?

ក្រុមអ្នកស្រាវជ្រាវ Sucuri លើកឡើងពីឧទាហរណ៏មួយស្តីពីអតិថិជនម្នាក់របស់ខ្លួនរងផលប៉ះពាល់ពីការឆ្លងមេរោគ។ គេហទំព័រលើម៉ាស៊ីនភ្ញៀវប្រើ WordPress។ វាបំពានកម្មវិធីជំនួយ‘Hello Dolly’  Word​Press  លំនាំដើមដើម្បីបន្ថែមដំណើរការរបស់វា។  មេរោគដំណើរការ​ដើម្បីរក្សា​ទុក​ត្រា default WordPress plugin “Hello, Dolly” ក្រោយមកវាប៉ុនប៉ងលាក់មូលដ្ឋានមេរោគ ដែល​អ៊ីនគ្រីបក្នុង base64 ទៅកាន់ឯកសារកម្មវិធីជំនួយ ./wp-content/plugins/hello.php” ។ Backdoor មេរោគរក្សាជំហររបស់ខ្លួន​ទោះបីជាមានដំណើរការសំអាតនៅលើគេហ​ទំព័រក៏​ដោយ។

ចំណុចសម្គាល់សំខាន់

ក្នុងរយៈពេលពី ៥ ទៅ ៨ឆ្នាំប្រតិបត្តិករមេរោគផ្លាស់ប្តូរ domain សម្រាប់ចែកចាយមេរោគ។ ពួកគេផ្លាស់ប្តូរ domain ប្រភេទ hestonsflorist [.] com ទៅ hestonsflorists [. ] com ដើម្បីផ្សព្វផ្សាយពពួកមេរោគ។  អ្នកវាយប្រហារទាំងនោះកត់ត្រាពេលវេលាក្លែងក្លាយដូច​គ្នានឹង(201104202045) ដោយប្រើការប៉ះដើម្បីសាកល្បង​  និងបន្លំអ្នក​គ្រប់​គ្រង​គេហ​ទំព័រដែលសព្វថ្ងៃអាចនឹងមានភាពគួរឱ្យសង្ស័យថែមទៀតព្រោះកំណត់ត្រាពេលក្លែងក្លាយឆ្លុះបញ្ចាំងពីកាលបរិច្ឆេទដែលមានអាយុលើសពី ៨ ឆ្នាំ។ ក្រុមអ្នកស្រាវជ្រាវបញ្ជាក់បន្ថែមទៀត​ថា ឯកសារព្យាបាទរបស់មេរោគ Backdoor ដែលមានគ្រោះថ្នាក់ត្រូវរក្សាទុកពីថតឯកសារ &#039/ tmp&#039 ដែលកម្រនឹងត្រូវស្កេន ឬត្រួតពិនិត្យ និងធ្វើឱ្យពិបាកក្នុងការរកឃើញ។

image

image