Clicky

Ir para conteúdo

redenflu

CryptoPHP mais de 23.000 locais afetados

Posts Recomendados

Em 20 de novembro que publicou o nosso relatório sobre CryptoPHP . Desde a publicação que temos, juntamente com outras partes, foi ocupado lidando com os servidores afetados e derrubar o CryptoPHP infra-estrutura.

Estatísticas Sinkhole

Com a ajuda do NCSC , Abuse.ch, Shadowserver e Spamhaus, temos sido capazes de coletar dados sobre a escala da operação correu pelas CryptoPHP autores. A maioria dos domínios C2 que estavam ativos no momento da publicação, quer tenham sido sinkholed ou retirado. A partir dos domínios sinkholed temos sido capazes de obter estatísticas.

No total, 23,693 endereços IP exclusivos ligados aos buracos. Já estamos vendo um declínio nas conexões sinkhole, no dia 22 de 20,305 conexões foram feitas, no dia 23 de 18,994 e no dia 24 já era baixo para 16,786. Estes números não são, contudo, uma indicação clara, principalmente porque os servidores de ligação aos nossos buracos foram hospedagem compartilhada com sites pelo menos 1 ou múltipla backdoored. Isto significa que os sites afetados reais será maior. Infelizmente, também são incapazes de fazer estatísticas sobre se o servidor afetado está executando WordPress, Joomla ou Drupal. Esta informação é criptografada usando criptografia de chave pública, como explicado no papel.

Um mapa geológico foi gerado a partir dos dados sumidouro, a imagem abaixo dá uma visão geral dos países afetados.

 

 

Mais informações: http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/


HostHP - Revenda de Hospedagem - Revenda de Streaming AAC+ -  Cloud SSD na ALOG/Equinix SP1 - Operamos nossa própria estrutura.
A sua revenda no lugar certo! CloudLinux, Gerenciadores financeiro, Sub Revendas e muito mais! www.hosthp.com.br

Compartilhar este post


Link para o post
Compartilhar em outros sites

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

Compartilhar este post


Link para o post
Compartilhar em outros sites
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

 

 

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

 

Boa dica, mas o foco aí é especificamente o CryptoPHP, busca não só pelo nome, mas também pelo md5 dos códigos descobertos.

https://github.com/fox-it/cryptophp/blob/master/file_hashes.csv

 

Para algo mais completo recomendo o CXS.

E pelo que li na pagina, 23 mil sites infectados é pouco, é muito mais que isso. Tem um site warez aí famoso com mais de 100k/dia espalhando plugins/temas/scripts tudo modificados com códigos injetados.

Compartilhar este post


Link para o post
Compartilhar em outros sites

@pablobr o que eu quis dizer é que se o nome do arquivo não for social.png o script nem verifica o hash.

Ao menos foi isso que eu entendi dessa parte do código e é o que está mencionado no comentário:

            # Only process social*.png
            fname = fname.lower()
            if not (fname.startswith('social') and fname.endswith('.png')):
                continue

Então se por acaso tiver algum arquivo com outro nome, eu acho que ele já não vai detectar.

  • Gostei! 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...