Skocz do zawartości

Polecane posty

Hej,

Zauważyliście u siebie problem z syfem CryptoPHP, który wykorzystuje dziury w popularnych CMS'ach?
Polecam zapoznać się z analizą problemu: http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/

Powstały regułki do Snorta, które mają eliminować problem: http://rules.emergingthreats.net/open/snort-edge/rules/emerging-web_server.rules

Syf siedzi w pliku social.png, który jest includowany do skryptów PHP, tak więc można go znaleźć:

find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {}  \; -exec chmod 000 {} \; -print

Można również skorzystać z narzędzia napisanego w Perlu: http://cbl.abuseat.org/findbot.pl

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Problem nie dot. wyłącznie pliku "social.png"- zagrożenie wykryliśmy także m.in w "social.php", czy "social.jpg".

Złośliwy kod zawierany jest najczęściej w pluginach/templatkach wordpress pochodzących z niepewnych źródeł z czego bardzo duży odsetek infekcji zawierany jest w tzw. "nulled" pluginach.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na githubie znajduje się projekt który na bieżąco aktualizuje adresacje serwerów c2 oraz skrypty do potencjalnego wyszukiwania zarażonych kont.

 

https://github.com/fox-it/cryptophp

Edytowano przez globalnetwork.pl (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×