Już ponad 23 000 adresów IP pod wpływem CryptoPHP

Kraje-dotknięte-CryptoPHP

CMS jest powszechnie używanym narzędziem. W trakcie korzystania z niego stosuje się wiele wtyczek i pluginów. Zagrożeniem dla popularnego CMS jest CryptoPH. To nic innego jak backdoor, który jest dołączany do darmowych pirackich wtyczek i motywów popularnych systemów zarządzania treścią takich jak WordPress, Joomla czy Drupal. Operatorzy CryptoPHP potajemnie instalują do pirackich motywów i wtyczek backdoora.

Backdoor CryptoPHP obejmuje komunikację pomiędzy zaatakowanym serwerem i serwerem hakerów, integrację z popularnymi systemami zarządzania treścią,  możliwość aktualizacji i ręczne sterowanie backdoorem. CryptoPHP obecnie używa się dla tzw. Blackhat SEO, czyli nielegalnych działań pozycjonerskich w wyszukiwarkach.

Obecnie już ponad 23 tys. adresów IP serwerów jest pod kontrolą CryptoPHP. Informacje na temat skali operacji CryptoPHP zostały zebrane przez Fox IT we współpracy z Abuse.ch, ShadowServer i Spamhaus.

Stworzono dwa skrypty Pythona, aby pomóc administratorom wykrywać CryptoPHP:

check_url.py,

check_filesystem.py

Skrypt Check_filesystem.py służy do skanowania systemu plików. Jest narzędziem do znalezienia backdoora. Jego zadaniem jest wyszukanie plików typu social.png, a następnie określenie, czy są one szkodliwe. Drugi skrypt Check_url.py służy do skanowania strony w celu ustalenia, czy strona jest podatna na CryptoPHP. To narzędzie powstało dla tych, którzy posiadają wiele hostów wirtualnych i nie wiedzą, który z nich jest uszkodzony.

Co zrobić jeśli znalazłeś u siebie CryptoPHP?

– sprawdź swoją bazę danych, czy nie dodano jakiegoś dodatkowego konta administratora, jeśli tak – usuń je,
– zresetuj poświadczenia własnego konta CMS i innych administratorów (były prawdopodobnie naruszone).

Te dwie czynności powinny wystarczyć, aby usunąć wpływ CryptoPHP na stronie www. Mimo to zaleca się szersze działanie, polegające na całkowitej reinstalacji CMS. To zabezpiecza stronę w przypadku, gdy atakujący zyskał szeroki dostęp do systemu, aby zainstalować CryptoPHP.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *