Preguntas frecuentes: Servidores VPS
Backdoor CryptoPHP
Publicado por Silvia Herrero, Last modified by Silvia Herrero en 29 June 2017 10:28
Recientemente han sido descubiertos miles de plugins y themes maliciosos para diversos sistemas de gestión de contenidos (CMS) que pueden ser utilizados por atacantes para comprometer servidores web.

La compañía de seguridad Fox-IT ha realizado una publicación informando de un nuevo Backdoor llamado CryptoPHP que al menos puede llegar a afectar a Wordpress, Joomla y Drupal.

Los complementos afectados han sido mayoritariamente componentes para maximizar los resultados de los motores de búsqueda (SEO). Los propietarios de los sitios webs han podido ser víctimas de versiones gratuitas de plugins y themes que eran maliciosos y una vez instalado este componente incluye una puerta trasera con la que los atacantes pueden realizar diferentes acciones ilegítimas.

Hasta el momento la herramienta que hemos visto más efectiva para detectar las posibles infecciones ha sido el siguiente script.

Lo descargamos en nuestro servidor con el comando:

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py

Le asignamos permisos:

chmod 700 check_filesystem.py

Lo ejecutamos:

-Para Plesk:
./check_filesystem.py /var/www/vhosts

-Para cPanel
./check_filesystem.py /home


El chequeo generará líneas del tipo:

/var/www/vhosts/XXXX.com/httpdocs/wp-content/plugins/example/images/social.png: CRYPTOPHP DETECTED!

En estos casos y tal como se indica en http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-000-sites-affected/ debemos reinstalar el sitio web pues aunque estos plugin/themes sean eliminados y las claves de acceso al CMS modificadas, no es posible garantizar la integridad del sitio web pues no podemos conocer hasta que punto ha sido comprometido por el atacante.
(0 votos)
Útil
No útil

Comentarios (0)