700 से अधिक वर्डप्रेस और जूमला वेबसाइटें आयनक्यूब मैलवेयर से संक्रमित हो गई हैं जो वैध आयनक्यूब-एन्कोडेड फाइलों के रूप में प्रच्छन्न हैं।

IonCube एक पुराना और शक्तिशाली PHP एनकोडर है जिसका उपयोग PHP एन्कोडिंग, एन्क्रिप्शन, अस्पष्टता और लाइसेंसिंग क्षमताओं के साथ फ़ाइलों को एन्क्रिप्ट और संरक्षित करने के लिए किया जाता है। लाइसेंसिंग लागतों के कारण, आयनक्यूब आमतौर पर दुर्भावनापूर्ण उपयोगों का दावेदार नहीं है।

हालांकि, हमलावरों ने विभिन्न वेबसाइटों से समझौता करने के लिए आयनक्यूब-एन्कोडेड फाइलों के समान अपने मैलवेयर को छिपाने का एक तरीका ढूंढ लिया। प्रभावित लोगों में वर्डप्रेस, जूमला और कोडइग्निटर पर आधारित साइटें थीं। मैलवेयर हैकर्स को कमजोर वेबसाइटों पर पिछले दरवाजे बनाने की अनुमति देता है, जिसके परिणामस्वरूप कमजोर साइट उपयोगकर्ताओं से डेटा की चोरी होती है।

आयनक्यूब मैलवेयर संक्रमण के लक्षण

शोधकर्ताओं ने 7000 से अधिक नकली आयनक्यूब फाइलों की खोज की, जिनमें सहज नाम PHP सर्वर पर चल रहे थे। शोधकर्ताओं के अनुसार, जबकि वैध आयनक्यूब फ़ाइल में कुछ पंक्तियाँ मौजूद हैं, नकली लोगों के लिए ऐसा नहीं था। इसके अलावा, प्रत्येक वैध Ioncube फ़ाइल ioncube.com डोमेन का संदर्भ देती है। फर्जी फाइलों में ऐसा नहीं था

नकली ionCube फ़ाइल इस तरह दिखती थी।

जबकि एक वैध ionCube फ़ाइल इस तरह दिखती है:

इसके अतिरिक्त, शोधकर्ताओं ने वास्तविक फ़ाइल के विपरीत, केवल अल्फ़ान्यूमेरिक वर्णों और नई पंक्तियों से युक्त PHP समापन टैग के बाद कोड ब्लॉक की खोज की। शोधकर्ताओं के अनुसार:

एक जांच में 700 संक्रमित साइटों की खोज का पता चला, जिसमें कुल 7,000 से अधिक संक्रमित फाइलें थीं। "diff98.php" और "wrgcduzk.php" जैसी PHP फ़ाइलें, जो मूल रूप से संदिग्ध अस्पष्ट फ़ाइलें थीं, लगभग वैध ionCube-एन्कोडेड फ़ाइलों के समान दिखाई दीं।

डिकोडिंग पर, नकली आयनक्यूब फ़ाइल में आयनक्यूब मैलवेयर शामिल होता है। सैद्धांतिक रूप से, इंजेक्ट किया गया दुर्भावनापूर्ण कोड PHP चलाने वाले वेब सर्वर के आधार पर किसी भी वेबसाइट को संक्रमित कर सकता है।

कम करने के लिए कैसे?

बड़ी संख्या में मैलवेयर विविधताओं को देखते हुए नकली और वैध आयनक्यूब फ़ाइलों के बीच अंतर करना मुश्किल हो सकता है। इसके अलावा, यदि डेवलपर ने विशेष रूप से आयनक्यूब-एन्कोडेड फ़ाइलों को स्थापित नहीं किया है, लेकिन पाता है कि उनके सर्वर पर ऐसी फाइलें संक्रमित हैं। एक ही साइट पर मैलवेयर के 100 से थोड़ा भिन्न प्रकार देखना आम बात है। इसके अलावा, PHP के विभिन्न संस्करणों के साथ क्रॉस-संगतता न्यूनतम है, जिससे मैलवेयर के रूप में उपयोग की व्यवहार्यता कम हो जाती है।

आयनक्यूब मैलवेयर को कम किया जा सकता है। शोधकर्ता प्रशासकों को समझौता के संकेतक के रूप में आयनक्यूब-एन्कोडेड फाइलों की उपस्थिति की जांच करने की सलाह देते हैं। सकारात्मक पहचान पर, खतरे को पूरी तरह से समाप्त करने के लिए, वेब एप्लिकेशन फ़ायरवॉल (WAF) को अपनाने के साथ-साथ साइट-व्यापी स्कैनिंग अनिवार्य है।

हमारी निःशुल्क डाउनलोड करें डेवलपर्स के लिए सुरक्षित कोडिंग प्रैक्टिस चेकलिस्ट यह सुनिश्चित करने के लिए कि आपकी साइट कोडिंग सुरक्षा के सभी पहलुओं का पालन करती है।

अपनी वेबसाइट को ऐसे ऑनलाइन खतरों से और कम करने के लिए, एस्ट्रा की वेब सुरक्षा फ़ायरवॉल स्थापित करें।