September 21, 2020

Language:

CamSA18-05 : ប្រុងប្រយ័ត្នវេបសាយ ដំណើរការដោយ WordPress ដែលមានបង្កប់មេរោគ Cryptocurrency Mining

ប្រវត្តិនៃបញ្ហា

កាលពីថ្ងៃទី២៩ ខែមករា ឆ្នាំ២០១៨ កន្លងទៅនេហ អ្នកស្រាវជ្រាវមកពីក្រុមហ៊ុន Securi បានរកឃើញនូវយុទ្ធនាការវាយប្រហារមួយ ដែលមានគោលដៅទៅលើវេបសាយដំណើរការដោយ WordPress ដោយធ្វើការបង្កប់នូវកម្មវិធីសម្រាប់ mining cryptocurrency និងមេរោគ keylogger ។

កម្មវិធីសម្រាប់ធ្វើការ​ mining cryptocurrency ដំណើរការនៅលើប្រព័ន្ធកុំព្យូទ័រដែលមានភ្ជាប់ទៅកាន់អ៊ិនធឺណិត ហើយវាប្រើប្រាស់នូវកំលាំងនៃឧបករណ៍ CPU និង​ GPU (Graphics Processing Unit) ហើយដែល keylogger វាជាកម្មវិធីសម្រាប់ធ្វើការចាប់យកនូវរាល់ការវាយអក្សរនៅលើ Keyboard (ដែលនិយមប្រើប្រាស់ដោយឧក្រិដ្ឋជនដើម្បីលួចយក Login Password ឬព័ត៌មានគណនីធនាគារជាដើម)។

កម្មវិធីដែលរងគ្រោះ

ការប្រើប្រាស់​ WordPress ជំនាន់ចាស់, ការប្រើប្រាស់ស្បែកជំនាន់ចាស់ (themes) និងការប្រើប្រាស់ plug-ins ជំនាន់ចាស់ គឺសុទ្ធតែប្រឈមមុខទៅនឹងការឆ្លងមេរោគខាងលើ។

ផលប៉ៈពាល់

អ្នកប្រើប្រាស់អាចដឹងបានតាមរយៈការថយចុះនូវប្រសិទ្ធិភាពនៃប្រតិបត្តិការរបស់ CPU (ដើរខ្លំាងជាងមុន ឬលីសំលេងកង្ហារ CPU ខ្លាំងជាមុន) នៅពេលដែលគាត់វេបសាយដែលមានបញ្ហា។ Cryptocurrency tool ដំណើរការនៅក្នុង background ដែលអាចប្រើប្រាស់ ៦០ភាគរយឬច្រើនជាងនេះនៃ CPU ហើយ​ Keylogger គឺវាអាចចាប់យកព័ត៌មានសំខាន់ដូចជា login credentials និង credit card numbers​ ។

សេចក្តីណែនាំ

សម្រាប់អ្នកប្រើប្រាស់

CamCERT សូមធ្វើការណែនាំទៅដល់អ្នកប្រើប្រាស់ជាទូទៅថា ត្រូវធ្វើការតម្លើង anti-adware web brower extensions និង antivirus tools នៅក្នុងកុំព្យូទ័រ។

អ្នកប្រើប្រាស់ឧបករណ៍ចល័តដែលជួបប្រទៈនូវការអស់ថ្មទូរស័ព្ទយ៉ាងរហ័ស ឬក្តៅខុសប្លែកពីធម្មតា សូមធ្វើការបិទវេបសាយនោះជាបន្ទាន់។

សម្រាប់អភិបាលគ្រប់គ្រងប្រព័ន្ធ

អ្នកគ្រប់គ្រងប្រព័ន្ធអាចធ្វើតាមការណែនាំដូចខាងក្រោម៖

១. ធ្វើការកំណត់ ឬលប់ចោលនូវ malicious scripts ចេញពីវេបសាយ WordPress
១.១. លប់ចោលនូវ​ script ដែលបានបញ្ចូលទៅក្នុងដាតាបេសនៃវេបសាយ WordPress ឬ theme’s file
– ធ្វើការ​ស្កេននូវ database table មានឈ្មោះថា “wp_posts” សម្រាប់ស្វែងរកនូវការឆ្លងណាមួយ ដោយប្រើប្រាស់ malware scanners សម្រាប់ WordPress ដូចជា Sucuri Security ឬ Wordfence Security
– ធ្វើការស្វែងរក និងលប់ចោលនូវ code ចេញពីក្នុង​ theme “functions.php” file
១.២. ឧទាហរណ៍សម្រាប់ធ្វើការស្វែងរកនូវ malicious scripts រួមមាន:
– hxxps://cdjs.online/lib.js
– hxxps://cdjs.online/lib.js?ver=…
– hxxps://cdns.ws/lib/googleanalytics.js?ver=…
– hxxps://msdns.online/lib/mnngldr.js?ver=…
– hxxps://msdns.online/lib/klldr.js

* https ត្រូវបានជំនួសដោយ hxxps សម្រាប់ការងារសុវត្ថិភាព

២. ធ្វើការបិទជាបណ្តោះអាសន្ននូវ malicious call-back IP addresses ដូចខាងក្រោមៈ
– 185.209.23.219
– 185.14.28.10
– 107.181.161.159

៣. ធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់របស់ WordPress ទាំងអស់

៤. ធ្វើការអាប់ដេតទៅលើប្រព័ន្ធម៉ាស៊ីនមេទាំងអស់រួមមានទាំងកម្មវិធីរបស់ភាគីទីបី (third-party) ដូចជា Themes និង Plugins ទៅកាន់ជំនាន់ចុងក្រោយបង្អស់

ឯកសារយោង

https://blog.sucuri.net/2018/01/cloudflare-solutions-keylogger-returns-on-new-domains.html

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.