Clicky

Jump to content
  • Sign Up
Sign in to follow this  
redenflu

CryptoPHP mais de 23.000 locais afetados

Recommended Posts

Em 20 de novembro que publicou o nosso relatório sobre CryptoPHP . Desde a publicação que temos, juntamente com outras partes, foi ocupado lidando com os servidores afetados e derrubar o CryptoPHP infra-estrutura.

Estatísticas Sinkhole

Com a ajuda do NCSC , Abuse.ch, Shadowserver e Spamhaus, temos sido capazes de coletar dados sobre a escala da operação correu pelas CryptoPHP autores. A maioria dos domínios C2 que estavam ativos no momento da publicação, quer tenham sido sinkholed ou retirado. A partir dos domínios sinkholed temos sido capazes de obter estatísticas.

No total, 23,693 endereços IP exclusivos ligados aos buracos. Já estamos vendo um declínio nas conexões sinkhole, no dia 22 de 20,305 conexões foram feitas, no dia 23 de 18,994 e no dia 24 já era baixo para 16,786. Estes números não são, contudo, uma indicação clara, principalmente porque os servidores de ligação aos nossos buracos foram hospedagem compartilhada com sites pelo menos 1 ou múltipla backdoored. Isto significa que os sites afetados reais será maior. Infelizmente, também são incapazes de fazer estatísticas sobre se o servidor afetado está executando WordPress, Joomla ou Drupal. Esta informação é criptografada usando criptografia de chave pública, como explicado no papel.

Um mapa geológico foi gerado a partir dos dados sumidouro, a imagem abaixo dá uma visão geral dos países afetados.

 

 

Mais informações: http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/


HostHP - Revenda de Hospedagem - Revenda de Streaming AAC+ -  Cloud SSD na ALOG/Equinix SP1 - Operamos nossa própria estrutura.
A sua revenda no lugar certo! CloudLinux, Gerenciadores financeiro, Sub Revendas e muito mais! www.hosthp.com.br

Share this post


Link to post
Share on other sites
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

Share this post


Link to post
Share on other sites
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py 
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.py
chmod 775 check_filesystem.py
chmod 775 check_url.py 
./check_filesystem.py /home
./check_url.py --verbose site.com

Fonte: http://gerenciamentodedicado.com.br/298/cryptophp-se-voce-usa-temas-e-plugins-piratas-fique-atento/

 

 

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D


| TiGerencia | Gerenciamento e Suporte

Share this post


Link to post
Share on other sites

Esse check_filesystem.py  demora muito porque ele não aceita wildcard no caminho. É mais fácil procurar com o find. Pra servidores com Cpanel:

 

find /home*/*/public_html/ -type f -name social.png

 

Depois com a lista de arquivos é só checar se algum deles tem código php dentro.

O check_filesystem.py  também só verifica arquivos com esse nome (social.png), se o nome for outro ele passa direto, então depois de encontrar alguns, é só procurar por um padrão de código e filtrar os outros arquivos do site pra ver se tem algum com nome diferente.

 

Importante dizer também que esse malware tem se espalhado por plugins e addons pirateados do WP e Joomla, então alertem aqueles seus clientes "espertinhos" ;D

 

Boa dica, mas o foco aí é especificamente o CryptoPHP, busca não só pelo nome, mas também pelo md5 dos códigos descobertos.

https://github.com/fox-it/cryptophp/blob/master/file_hashes.csv

 

Para algo mais completo recomendo o CXS.

E pelo que li na pagina, 23 mil sites infectados é pouco, é muito mais que isso. Tem um site warez aí famoso com mais de 100k/dia espalhando plugins/temas/scripts tudo modificados com códigos injetados.

Share this post


Link to post
Share on other sites

@pablobr o que eu quis dizer é que se o nome do arquivo não for social.png o script nem verifica o hash.

Ao menos foi isso que eu entendi dessa parte do código e é o que está mencionado no comentário:

            # Only process social*.png
            fname = fname.lower()
            if not (fname.startswith('social') and fname.endswith('.png')):
                continue

Então se por acaso tiver algum arquivo com outro nome, eu acho que ele já não vai detectar.

  • Like 1

| TiGerencia | Gerenciamento e Suporte

Share this post


Link to post
Share on other sites

Estou com esse problema, o script em python detectou uma conta que não tem o arquivo social.png !

 

Existe outra solução para encontrar o problema ?

 

O DC está pedindo para eu resolver em 24h ou desligam o servidor.

Share this post


Link to post
Share on other sites

@opencag aqui não achei em outros arquivos, todos eram social.png mesmo.

 

Mas quals dos scripts detectou? Pois o check_filesystem.py mostra qual é o arquivo infectado.

Você deve ter consultado com o check_url.py, mas nos meus testes esse aí indicou alguns sites que realmente não tinham nada.

 

Vou te passar aqui uma parte da chave que eu encontrei em vários arquivos, talvez por esse código você consiga encontrar outros infectados:

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6K/I2l6k2Iz7Vojzxk5Q
43QNfIJm2jWPvXAvFtft+yy4rD3MseQJWx3PLlkoRQjSI1uiiwwlPZWED0e5wFet
nS5tKhvvRaOeUPYJq6MtyUbnaMn7bshlgaAlPaUCVdAOjdtGHMuFaWfnBLgTSu3c
uccVC2zOlXx7XK1tw39eZepRemoh0W3Qhf+hDFsEzACSBmKhBiganwCZzTDvyXpj

Isso é uma parte de uma public key que faz parte do código dos arquivos


| TiGerencia | Gerenciamento e Suporte

Share this post


Link to post
Share on other sites

realmente eu passei o "url".

 

Agora estou passando o "file", mas demora bastante...

 

Já está passando umas 2 horas, e realmente encontrou em um site que não tinha visto antes.

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.




×
×
  • Create New...