CryptoPHP mais de 23.000 locais afetados

[redenflu]

Em 20 de novembro que publicou o nosso relatório sobre CryptoPHP . Desde a publicação que temos, juntamente com outras partes, foi ocupado lidando com os servidores afetados e derrubar o CryptoPHP infra-estrutura.

Estatísticas Sinkhole

Com a ajuda do NCSC , Abuse.ch, Shadowserver e Spamhaus, temos sido capazes de coletar dados sobre a escala da operação correu pelas CryptoPHP autores. A maioria dos domínios C2 que estavam ativos no momento da publicação, quer tenham sido sinkholed ou retirado. A partir dos domínios sinkholed temos sido capazes de obter estatísticas.

No total, 23,693 endereços IP exclusivos ligados aos buracos. Já estamos vendo um declínio nas conexões sinkhole, no dia 22 de 20,305 conexões foram feitas, no dia 23 de 18,994 e no dia 24 já era baixo para 16,786. Estes números não são, contudo, uma indicação clara, principalmente porque os servidores de ligação aos nossos buracos foram hospedagem compartilhada com sites pelo menos 1 ou múltipla backdoored. Isto significa que os sites afetados reais será maior. Infelizmente, também são incapazes de fazer estatísticas sobre se o servidor afetado está executando WordPress, Joomla ou Drupal. Esta informação é criptografada usando criptografia de chave pública, como explicado no papel.

Um mapa geológico foi gerado a partir dos dados sumidouro, a imagem abaixo dá uma visão geral dos países afetados.

 

 

Mais informações: http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/

[Pedro Sodre]

Tem que tomar cuidado, que além dos problemas "normais" do Crypto, ele ainda tá sendo responsável pela entrada de vários IPs em blacklists.

[Jaime Silva]

Agora tenho somente 2 servidores de hospedagem comprtilhada e todos foram afetados por esta βФЅтд.

Os IPs foram parar em duas blacklists de email. Tomem cuidado.

[pablobr]

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

[tvoltolini]

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

 

 

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

[pablobr]

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

 

Boa dica, mas o foco aí é especificamente o CryptoPHP, busca não só pelo nome, mas também pelo md5 dos códigos descobertos.

https://github.com/fox-it/cryptophp/blob/master/file_hashes.csv

 

Para algo mais completo recomendo o CXS.

E pelo que li na pagina, 23 mil sites infectados é pouco, é muito mais que isso. Tem um site warez aí famoso com mais de 100k/dia espalhando plugins/temas/scripts tudo modificados com códigos injetados.

[tvoltolini]

@pablobr o que eu quis dizer é que se o nome do arquivo não for social.png o script nem verifica o hash.

Ao menos foi isso que eu entendi dessa parte do código e é o que está mencionado no comentário:

            # Only process social*.png
            fname = fname.lower()
            if not (fname.startswith('social') and fname.endswith('.png')):
                continue

Então se por acaso tiver algum arquivo com outro nome, eu acho que ele já não vai detectar.

[opencag]

Estou com esse problema, o script em python detectou uma conta que não tem o arquivo social.png !

 

Existe outra solução para encontrar o problema ?

 

O DC está pedindo para eu resolver em 24h ou desligam o servidor.

[tvoltolini]

@opencag aqui não achei em outros arquivos, todos eram social.png mesmo.

 

Mas quals dos scripts detectou? Pois o check_filesystem.py mostra qual é o arquivo infectado.

Você deve ter consultado com o check_url.py, mas nos meus testes esse aí indicou alguns sites que realmente não tinham nada.

 

Vou te passar aqui uma parte da chave que eu encontrei em vários arquivos, talvez por esse código você consiga encontrar outros infectados:

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6K/I2l6k2Iz7Vojzxk5Q
43QNfIJm2jWPvXAvFtft+yy4rD3MseQJWx3PLlkoRQjSI1uiiwwlPZWED0e5wFet
nS5tKhvvRaOeUPYJq6MtyUbnaMn7bshlgaAlPaUCVdAOjdtGHMuFaWfnBLgTSu3c
uccVC2zOlXx7XK1tw39eZepRemoh0W3Qhf+hDFsEzACSBmKhBiganwCZzTDvyXpj

Isso é uma parte de uma public key que faz parte do código dos arquivos

[opencag]

realmente eu passei o "url".

 

Agora estou passando o "file", mas demora bastante...

 

Já está passando umas 2 horas, e realmente encontrou em um site que não tinha visto antes.