មេរោគថ្មីមួយត្រូវគេរកឃើញទោះបីជាម្ចាស់គេហទំព័រសម្អាតគេហទំព័ររបស់ពួកគេក៏ដោយ។ មេរោគផ្តោតសំខាន់ទៅលើគេហទំព័រដែលប្រើ WordPress និង Joomla ដើម្បីផ្តើមដំណើរការឆ្លងមេរោគរបស់វា។
តើមានអ្វីថ្មីអំពីមេរោគ?
នៅក្នុងអត្ថបទចុងក្រោយបំផុតរបស់ខ្លួន លោក Sucuri លើកឡើងថា ការតស៊ូរបស់មេរោគ លើគេហទំព័រត្រូវបង្កើតឡើងដោយ Cron ដើម្បីទាញយកមេរោគចេញពី domain ភាគីទីបី។ កូដប្រភពមេរោគកំណត់រចនាសម្ព័ន្ធតែដើម្បីរកមើល WordPress និងគេហទំព័រ Joomla។ អាស្រ័យលើប្រភេទនៃវេទិកា កម្មវិធីកម្ចាត់មេរោគកំណត់វិធីសាស្ត្រ ដែលវានឹងប្រើបន្ថែមដើម្បីចម្លងមេរោគទៅឯកសារលើគេហទំព័រ។
តើវាដំណើរការយ៉ាងដូចម្តេច?
ក្រុមអ្នកស្រាវជ្រាវ Sucuri លើកឡើងពីឧទាហរណ៏មួយស្តីពីអតិថិជនម្នាក់របស់ខ្លួនរងផលប៉ះពាល់ពីការឆ្លងមេរោគ។ គេហទំព័រលើម៉ាស៊ីនភ្ញៀវប្រើ WordPress។ វាបំពានកម្មវិធីជំនួយ‘Hello Dolly’ WordPress លំនាំដើមដើម្បីបន្ថែមដំណើរការរបស់វា។ មេរោគដំណើរការដើម្បីរក្សាទុកត្រា default WordPress plugin “Hello, Dolly” ក្រោយមកវាប៉ុនប៉ងលាក់មូលដ្ឋានមេរោគ ដែលអ៊ីនគ្រីបក្នុង base64 ទៅកាន់ឯកសារកម្មវិធីជំនួយ ./wp-content/plugins/hello.php” ។ Backdoor មេរោគរក្សាជំហររបស់ខ្លួនទោះបីជាមានដំណើរការសំអាតនៅលើគេហទំព័រក៏ដោយ។
ចំណុចសម្គាល់សំខាន់
ក្នុងរយៈពេលពី ៥ ទៅ ៨ឆ្នាំប្រតិបត្តិករមេរោគផ្លាស់ប្តូរ domain សម្រាប់ចែកចាយមេរោគ។ ពួកគេផ្លាស់ប្តូរ domain ប្រភេទ hestonsflorist [.] com ទៅ hestonsflorists [. ] com ដើម្បីផ្សព្វផ្សាយពពួកមេរោគ។ អ្នកវាយប្រហារទាំងនោះកត់ត្រាពេលវេលាក្លែងក្លាយដូចគ្នានឹង(201104202045) ដោយប្រើការប៉ះដើម្បីសាកល្បង និងបន្លំអ្នកគ្រប់គ្រងគេហទំព័រដែលសព្វថ្ងៃអាចនឹងមានភាពគួរឱ្យសង្ស័យថែមទៀតព្រោះកំណត់ត្រាពេលក្លែងក្លាយឆ្លុះបញ្ចាំងពីកាលបរិច្ឆេទដែលមានអាយុលើសពី ៨ ឆ្នាំ។ ក្រុមអ្នកស្រាវជ្រាវបញ្ជាក់បន្ថែមទៀតថា ឯកសារព្យាបាទរបស់មេរោគ Backdoor ដែលមានគ្រោះថ្នាក់ត្រូវរក្សាទុកពីថតឯកសារ ‘/ tmp’ ដែលកម្រនឹងត្រូវស្កេន ឬត្រួតពិនិត្យ និងធ្វើឱ្យពិបាកក្នុងការរកឃើញ។
ប្រភពព័ត៌មាន៖
https://cyware.com/news/new-backdoor-malware-found-infecting-wordpress-and-joomla-websites-cde02f62