CryptoPHP Infection

WordPress/Drupal/Joomla son unos de los sistemas de administración de contenidos que se han vuelto más populares en los últimos años, por lo que se ha incrementado la cantidad de ataques a estos CMS y Blogs.

A continuación mostraremos uno de los ataques más recientes y que ha infectado a miles de sitios en pocas semanas.

Existen scripts, plugins y temas que han sido modificados para evitar pagar por ellos, dichos módulos suelen llamarseles [nulled] que significa que no revisan su licencia debido a que han sido alterados.

Al instalar estos módulos suelen instalarse junto con ellos archivos infectados con CryptoPHP.

Esta infección suele contener código como el siguiente:

<?php include(‘assets/images/social.png’); ?>

A simple vista pareciera que se esta incluyendo código PHP, sin embargo una imagen no puede ser importada, por lo que es probable que contenga código dentro de la misma, este código suele estar códificado en base64 para evitar su lectura u ofuscado para dificultar su entendimiento.

Una vez que tu sitio ha sido infectado con este malware este puede ser usado para enviar SPAM, para atacar otros sitios o para almacenar contenido ilegal, este malware también puede actualizarse de manera remota y aumentar su complejidad o inyectar nuevo malware.

Una herramienta que usamos en IxayaNet para localizar este malware es: "Linux Malware Detect" mejor conocida como maldet de R-fx Networks.

Para instalar maldet en un servidor VPS puedes seguir los siguientes pasos:

Ejecuta como Root:

[email protected][~]# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
[email protected][~]# tar xfz maldetect-current.tar.gz
[email protected][~]# cd maldetect-*
[email protected][~]# ./install.sh

Una vez instalado puedes ejecutar el siguiente comando para detectar el malware

[email protected][~]# maldet -b -a

Esto ocacionará que se escanee todo el servidor en background, podrás ver el proceso y resultado de dichá búsqueda usando el siguiente comando

[email protected][~]# tail -f /usr/local/maldetect/event_log

Para ver el reporte generado deberás usar un comando con el número de reporte arrojado por el comando anterior:

[email protected][~]# maldet -e 041115-2250.11480

Para tratar de desinfectar los archivos

[email protected][~]# maldet -n 041115-2250.11480

Para poner en quarentena los archivos infectados

[email protected][~]# maldet -q 041115-2250.11480

Para regresar de quarentena algún archivo infectado (restaurarlo)

[email protected][~]# maldet -s /usr/local/maldetect/quarantine/config.php.23754
También puedes configurar maldet para enviar un email todos los días con el resultado de la búqueda, para ello debes de editar el archivo:
/usr/local/maldetect/conf.maldet
Allí deberás editar las siguientes líneas
### [ EMAIL ALERTS ]
# The default email alert toggle
# [0 = disabled, 1 = enabled]

email_alert=1

# The subject line for email alerts
email_subj="maldet alert from $(hostname)"

# The destination addresses for email alerts
# [ values are comma (,) spaced ]
email_addr="[email protected]"
En caso de requiera asistencia no dude en contactar nuestro departamento de soporte al respecto.


  • 2 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Artículos Relacionados

Chkrootkit

ChkRootKit es una herramienta que nos permite como su nombre lo indica buscar en tu sistema la...