最近美国安全研究者爆料，针对CMS（内容管理系统）网站的数千种插件和主题被植入了名为CryptoPHP的后门，这可能导致大量的Web服务器被攻击者据为己有。

　　隐藏在CMS免费插件之中

　　这种新发现的后门插件名为“CryptoPHP”，这种后门通常会隐藏在WordPress、Joomla和Drupal的插件或主题中。

　　为了让网站管理员中招，邪恶的攻击者使用了社会工程学的招数。一旦网站管理员下载并使用了包含了后门的盗版的CMS插件，后门便会在服务器上安家。

　　荷兰Fox-IT公司在揭密“CryptoPHP”的白皮书中提到：“演员一样的后门安插在盗版的主题和插件中，并免费提供给网站管理员安装到服务器中。”

　　白皮书链接请戳：foxitsecurity 。

　　一旦后门被安插在服务器后，攻击者可以通过多种方式控制服务器，包括C&C（command and control server）、邮件和人工控制。

　　后门功能特性

　　CryptoPHP后门的其他特性包括：

　　整合并支持多种内容管理系统包括WordPress、Drupal和Joomla

　　与指控服务器（C&C）的通讯使用公钥加密

　　准备了大量的指控服务器域名和IP

　　通过邮件防止指控服务器域名下线的备份机制

　　手动控制后门

　　远程更新指控服务器列表

　　后门自动更新

　　同时，攻击者还利用置入了CryptoPHP后门的网站和服务器进行黑帽SEO。

　　截止11月12日，安全研究人员在上千种插件和主题中发现了超过16种CryptoPHP后门及其变种，而第一次发现此后门是在2013年9月。目前受到影响的网站数量难以准确统计，但至少已有上千个网站已经受到了此后门的威胁。