Ir para conteúdo
  • Cadastre-se

CryptoPHP mais de 23.000 locais afetados


redenflu

Posts Recomendados

Em 20 de novembro que publicou o nosso relatório sobre CryptoPHP . Desde a publicação que temos, juntamente com outras partes, foi ocupado lidando com os servidores afetados e derrubar o CryptoPHP infra-estrutura.

Estatísticas Sinkhole

Com a ajuda do NCSC , Abuse.ch, Shadowserver e Spamhaus, temos sido capazes de coletar dados sobre a escala da operação correu pelas CryptoPHP autores. A maioria dos domínios C2 que estavam ativos no momento da publicação, quer tenham sido sinkholed ou retirado. A partir dos domínios sinkholed temos sido capazes de obter estatísticas.

No total, 23,693 endereços IP exclusivos ligados aos buracos. Já estamos vendo um declínio nas conexões sinkhole, no dia 22 de 20,305 conexões foram feitas, no dia 23 de 18,994 e no dia 24 já era baixo para 16,786. Estes números não são, contudo, uma indicação clara, principalmente porque os servidores de ligação aos nossos buracos foram hospedagem compartilhada com sites pelo menos 1 ou múltipla backdoored. Isto significa que os sites afetados reais será maior. Infelizmente, também são incapazes de fazer estatísticas sobre se o servidor afetado está executando WordPress, Joomla ou Drupal. Esta informação é criptografada usando criptografia de chave pública, como explicado no papel.

Um mapa geológico foi gerado a partir dos dados sumidouro, a imagem abaixo dá uma visão geral dos países afetados.

 

 

Mais informações: http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/

Publicidade digital? www.upeex.com

Link para o comentário
Compartilhar em outros sites

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

Link para o comentário
Compartilhar em outros sites

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

 

 

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

Link para o comentário
Compartilhar em outros sites

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

 

Boa dica, mas o foco aí é especificamente o CryptoPHP, busca não só pelo nome, mas também pelo md5 dos códigos descobertos.

https://github.com/fox-it/cryptophp/blob/master/file_hashes.csv

 

Para algo mais completo recomendo o CXS.

E pelo que li na pagina, 23 mil sites infectados é pouco, é muito mais que isso. Tem um site warez aí famoso com mais de 100k/dia espalhando plugins/temas/scripts tudo modificados com códigos injetados.

Link para o comentário
Compartilhar em outros sites

@pablobr o que eu quis dizer é que se o nome do arquivo não for social.png o script nem verifica o hash.

Ao menos foi isso que eu entendi dessa parte do código e é o que está mencionado no comentário:

            # Only process social*.png
            fname = fname.lower()
            if not (fname.startswith('social') and fname.endswith('.png')):
                continue

Então se por acaso tiver algum arquivo com outro nome, eu acho que ele já não vai detectar.

Link para o comentário
Compartilhar em outros sites

@opencag aqui não achei em outros arquivos, todos eram social.png mesmo.

 

Mas quals dos scripts detectou? Pois o check_filesystem.py mostra qual é o arquivo infectado.

Você deve ter consultado com o check_url.py, mas nos meus testes esse aí indicou alguns sites que realmente não tinham nada.

 

Vou te passar aqui uma parte da chave que eu encontrei em vários arquivos, talvez por esse código você consiga encontrar outros infectados:

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6K/I2l6k2Iz7Vojzxk5Q
43QNfIJm2jWPvXAvFtft+yy4rD3MseQJWx3PLlkoRQjSI1uiiwwlPZWED0e5wFet
nS5tKhvvRaOeUPYJq6MtyUbnaMn7bshlgaAlPaUCVdAOjdtGHMuFaWfnBLgTSu3c
uccVC2zOlXx7XK1tw39eZepRemoh0W3Qhf+hDFsEzACSBmKhBiganwCZzTDvyXpj

Isso é uma parte de uma public key que faz parte do código dos arquivos

Link para o comentário
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Infelizmente, seu conteúdo contém termos que não são permitimos. Edite seu conteúdo para remover as palavras destacadas abaixo.
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?