redenflu Postado Novembro 27, 2014 Compartilhar Postado Novembro 27, 2014 Em 20 de novembro que publicou o nosso relatório sobre CryptoPHP . Desde a publicação que temos, juntamente com outras partes, foi ocupado lidando com os servidores afetados e derrubar o CryptoPHP infra-estrutura. Estatísticas Sinkhole Com a ajuda do NCSC , Abuse.ch, Shadowserver e Spamhaus, temos sido capazes de coletar dados sobre a escala da operação correu pelas CryptoPHP autores. A maioria dos domínios C2 que estavam ativos no momento da publicação, quer tenham sido sinkholed ou retirado. A partir dos domínios sinkholed temos sido capazes de obter estatísticas. No total, 23,693 endereços IP exclusivos ligados aos buracos. Já estamos vendo um declínio nas conexões sinkhole, no dia 22 de 20,305 conexões foram feitas, no dia 23 de 18,994 e no dia 24 já era baixo para 16,786. Estes números não são, contudo, uma indicação clara, principalmente porque os servidores de ligação aos nossos buracos foram hospedagem compartilhada com sites pelo menos 1 ou múltipla backdoored. Isto significa que os sites afetados reais será maior. Infelizmente, também são incapazes de fazer estatísticas sobre se o servidor afetado está executando WordPress, Joomla ou Drupal. Esta informação é criptografada usando criptografia de chave pública, como explicado no papel. Um mapa geológico foi gerado a partir dos dados sumidouro, a imagem abaixo dá uma visão geral dos países afetados. Mais informações: http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/ 0 Citar Publicidade digital? www.upeex.com Link para o comentário Compartilhar em outros sites More sharing options...
Pedro Sodre Postado Novembro 27, 2014 Compartilhar Postado Novembro 27, 2014 Tem que tomar cuidado, que além dos problemas "normais" do Crypto, ele ainda tá sendo responsável pela entrada de vários IPs em blacklists. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Jaime Silva Postado Novembro 28, 2014 Compartilhar Postado Novembro 28, 2014 Agora tenho somente 2 servidores de hospedagem comprtilhada e todos foram afetados por esta βФЅтд. Os IPs foram parar em duas blacklists de email. Tomem cuidado. 0 Citar Não há bem nem mal que dure para sempre. Um dia tudo acaba. Link para o comentário Compartilhar em outros sites More sharing options...
pablobr Postado Novembro 28, 2014 Compartilhar Postado Novembro 28, 2014 wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py chmod 775 check_filesystem.py chmod 775 check_url.py ./check_filesystem.py /home ./check_url.py --verbose site.com Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/ 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
tvoltolini Postado Novembro 28, 2014 Compartilhar Postado Novembro 28, 2014 wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py chmod 775 check_filesystem.py chmod 775 check_url.py ./check_filesystem.py /home ./check_url.py --verbose site.com Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/ Esse check_filesystem.py demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel: find /home*/*/public_html/ -type f -name social.png Depois com a lista de arquivos é só checar se algum deles tem código php dentro. O check_filesystem.py também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente. Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
pablobr Postado Novembro 28, 2014 Compartilhar Postado Novembro 28, 2014 Esse check_filesystem.py demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel: find /home*/*/public_html/ -type f -name social.png Depois com a lista de arquivos é só checar se algum deles tem código php dentro. O check_filesystem.py também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente. Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D Boa dica, mas o foco aí é especificamente o CryptoPHP, busca não só pelo nome, mas também pelo md5 dos códigos descobertos. https://github.com/fox-it/cryptophp/blob/master/file_hashes.csv Para algo mais completo recomendo o CXS. E pelo que li na pagina, 23 mil sites infectados é pouco, é muito mais que isso. Tem um site warez aí famoso com mais de 100k/dia espalhando plugins/temas/scripts tudo modificados com códigos injetados. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
tvoltolini Postado Novembro 28, 2014 Compartilhar Postado Novembro 28, 2014 @pablobr o que eu quis dizer é que se o nome do arquivo não for social.png o script nem verifica o hash. Ao menos foi isso que eu entendi dessa parte do código e é o que está mencionado no comentário: # Only process social*.png fname = fname.lower() if not (fname.startswith('social') and fname.endswith('.png')): continue Então se por acaso tiver algum arquivo com outro nome, eu acho que ele já não vai detectar. 1 Citar Link para o comentário Compartilhar em outros sites More sharing options...
opencag Postado Dezembro 3, 2014 Compartilhar Postado Dezembro 3, 2014 Estou com esse problema, o script em python detectou uma conta que não tem o arquivo social.png ! Existe outra solução para encontrar o problema ? O DC está pedindo para eu resolver em 24h ou desligam o servidor. 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
tvoltolini Postado Dezembro 3, 2014 Compartilhar Postado Dezembro 3, 2014 @opencag aqui não achei em outros arquivos, todos eram social.png mesmo. Mas quals dos scripts detectou? Pois o check_filesystem.py mostra qual é o arquivo infectado. Você deve ter consultado com o check_url.py, mas nos meus testes esse aí indicou alguns sites que realmente não tinham nada. Vou te passar aqui uma parte da chave que eu encontrei em vários arquivos, talvez por esse código você consiga encontrar outros infectados: MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6K/I2l6k2Iz7Vojzxk5Q 43QNfIJm2jWPvXAvFtft+yy4rD3MseQJWx3PLlkoRQjSI1uiiwwlPZWED0e5wFet nS5tKhvvRaOeUPYJq6MtyUbnaMn7bshlgaAlPaUCVdAOjdtGHMuFaWfnBLgTSu3c uccVC2zOlXx7XK1tw39eZepRemoh0W3Qhf+hDFsEzACSBmKhBiganwCZzTDvyXpj Isso é uma parte de uma public key que faz parte do código dos arquivos 0 Citar Link para o comentário Compartilhar em outros sites More sharing options...
opencag Postado Dezembro 3, 2014 Compartilhar Postado Dezembro 3, 2014 realmente eu passei o "url". Agora estou passando o "file", mas demora bastante... Já está passando umas 2 horas, e realmente encontrou em um site que não tinha visto antes. 1 Citar Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.