Biblioteca
Backdoor CryptoPHP
Publicado por Francisco Manuel Jiménez el 28 November 2014 12:27 PM

Recientemente han sido descubiertos miles de plugins y themes maliciosos para diversos sistemas de gestión de contenidos (CMS) que pueden ser utilizados por atacantes para comprometer servidores web.

La compañia de seguridad Fox-IT ha realizado una publicación informando de un nuevo Backdoor llamado CryptoPHP que al menos puede llegar a afectar a Wordpress, Joomla y Drupal.

Los complementos afectados han sido mayoritariamente componentes para maximizar los resultados de los motores de búsqueda (SEO). Los propietarios de los sitios webs han podido ser víctimas de versiones gratuitas de plugins y themes que eran maliciosos y una vez instalado este componente incluye una puerta trasera con la que los atacantes pueden realizar diferentes acciones ilegítimas.

Hasta el momento la herramienta que hemos visto más efectiva para detectar las posibles infecciones ha sido el siguiente script.

Lo descargamos en nuestro servidor con el comando:

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py

Le asignamos permisos:

chmod 700 check_filesystem.py

Lo ejecutamos:

-Para Plesk:
./check_filesystem.py /var/www/vhosts

-Para cPanel
./check_filesystem.py /home


El chequeo generará líneas del tipo:

/var/www/vhosts/XXXX.com/httpdocs/wp-content/plugins/example/images/social.png: CRYPTOPHP DETECTED!

En estos casos y tal como se indica en http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/ debemos reinstalar el sitio web pues aunque estos plugin/themes sean eliminados y las claves de acceso al CMS modificadas, no es posible garantizar la integridad del sitio web pues no podemos conocer hasta que punto ha sido comprometido por el atacante.

(0 votos)
Este artículo ha sido de ayuda
Este artículo no ha sido de ayuda

Comentarios (0)
Publicar nuevo comentario
 
 
Nombre completo:
Email:
Comentarios:
Verificación CAPTCHA 
 
Por favor, introduzca el texto que ve en la imagen en el cuadro de texto siguiente. Es necesario para evitar registros automáticos.

Software Help Desk por Kayako fusion