Sử dụng hàng null và cuộc hội ngộ với CryptoPHP [NEW]

Cụm từ “Nulled”Chắc hẳn cũng đã quá quen thuộc với những người dùng WordPress lâu năm, chẳng hạn như Nulled Themes, Nulled Plugin,… Vậy nó là gì? Sản phẩm có nhãn Nulled có nghĩa là ai đó đã bẻ khóa kích hoạt (nếu sản phẩm yêu cầu kích hoạt thì có thể gọi một cách khác là Crack), nhưng hiện nay cụm từ Nulled còn được dùng để chỉ các sản phẩm kỹ thuật số không có bản quyền, tức là sử dụng trái phép của các sản phẩm thương mại hóa.

Đã có rất nhiều lời khuyên rằng sử dụng sản phẩm null rất nguy hiểm và đối mặt với nguy cơ bị chèn mã độc để lấy cắp thông tin trong website, truy cập máy chủ trái phép, sử dụng trái phép tài nguyên (băng thông) hoặc tệ hơn là kết thúc vòng đời của website độc ​​hại . Nhưng nó thực sự nguy hiểm như thế nào và tác dụng của nó ra sao thì không phải ai cũng thực sự biết.

Trong hình thức chèn mã độc hại vào các sản phẩm rỗng, việc chèn tập lệnh CryptoPHP có thể coi là phổ biến nhất mà các chuyên gia SEO mũ đen (Black-Hat SEO) thường sử dụng để chèn các liên kết ngược đến các trang web bị chèn độc hại hoặc gửi email hàng loạt từ chính tài nguyên trên máy chủ của nạn nhân. cốt lõi.

Hôm qua, tôi đọc một bài báo giới thiệu công trình nghiên cứu của một công ty bảo mật Hà Lan có tên là Fox-IT về phần mềm độc hại Crypto PHP có các trang web cung cấp các sản phẩm rỗng cho các CMS phổ biến. Các từ như WordPress, Joomla có thể được chèn vào để xâm phạm trang web của người dùng. Bài nghiên cứu này dài 56 trang với cách viết rất dễ hiểu, tóm lại có thể giúp bạn hiểu rõ hơn về mã độc này và cách các sản phẩm null có thể được chèn vào trang web của bạn. Bạn có thể tải xuống tài liệu nghiên cứu nơi đây.

Sử dụng hàng null và cuộc hội ngộ với CryptoPHP [NEW]

Bắt đầu với bài nghiên cứu, tác giả sẽ đưa ra một ví dụ về một sản phẩm rỗng được tải tại trang web nulledstylez.com và phân tích cho thấy rằng sản phẩm chứa tệp social.png không có trong tệp tải xuống từ trang web gốc.

cryptophp-foxit-example1

Tiến hành tìm kiếm nội dung với từ khóa social.png trong mã nguồn của plugin, tác giả bắt gặp đoạn sau, nơi tệp social.png được chèn trực tiếp thông qua một hàm PHP:


<?php include(‘images/social.png’); ?>

Nếu bạn có một chút kiến ​​thức về lập trình PHP, bạn sẽ biết rằng, không ai lại sử dụng hàm include () để chèn một hình ảnh như vậy, trừ khi tệp hình ảnh kia có vấn đề. Và vâng, mở nó ra và phát hiện ra cả một ổ mã độc.

cryptophp-foxit-example2

Và tiếp nối chuỗi nghiên cứu, nhóm tác giả sẽ chỉ ra cách thức thực thi mã độc này và nhiệm vụ thực sự của nó là gì. Vì vậy, tôi khuyến khích các bạn nên đọc bài nghiên cứu một cách chậm rãi vì 56 trang nghe có vẻ dài nhưng đó chỉ là do cách trình bày thôi, chứ đọc 56 ​​trang này chỉ mất 30 phút là xong.

Thực ra mình cũng định Việt hóa lại nội dung ở đây nhưng khi bắt đầu tìm hiểu thì họ ghi rõ đây là tài liệu thuộc sở hữu của Fox-IT nên không ai được phép sử dụng lại dưới mọi hình thức. nên chỉ có cách đã giới thiệu ở trên để bạn tải về. Dành thời gian để đọc nghiên cứu này là rất xứng đáng. : D

Đánh giá nội dung này