CryptoPHP PHP malware tespiti ve temizleme

CryptoPHP malware i , komut ve kontrol sunucuları ile public key şifrelemesi kullanarak iletişime geçen bir zararlıdır ve bilindik içerik kontrol sistemleri olan wordpress , joomla , drupal gibi sistemler ile kolaylıkla entegre olabilir. Yasadışı arama motoru optimizasyonu yapanlar tarafından kullanılır. Bu script genellikle kendini güncelleyecek şekilde yapılandırılır ve sahibi diler ise onu uzaktan güncelleyebilir ya da yeni özellikler ekleyebilir.

Fox it , bununla ilgili detaylı bir analiz yapmıştır ve https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf adresinden inceleyebilirsiniz.

Tespiti için yine fox it in hazırladığı phyton scriptini kullanabiliriz. Sırasıyla önce scripti indiriyoruz , çalışma hakkı tanıyoruz ve /home dizinimizin altındaki dosyaları taramasını istiyoruz.

root@ayhanarda.com:~# wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py
root@ayhanarda.com:~# chmod +x check_filesystem.py
root@ayhanarda.com:~# ./check_filesystem.py /home

 

Sonuçlara göz atmak gerekirse çıktı aşağıdakine benzer olacaktır.

File matching patterns: ['*.png', '*.gif', '*.jpg', '*.bmp']
Recursively scanning directory: /home
 /home/guvenlikgeregigizlenmistir1.com/httpdocs/wp-content/themes/VideoThemeRes/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)
 /home/guvenlikgeregizlenmistir2.com/httpdocs/wp-content/plugins/_revslider/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)

Tespit ettikten sonra silmek için aşağıdaki silme komutunu kullanabilirsiniz.

root@ayhanarda.com:~# rm -rf /home/guvenlikgeregigizlenmistir1.com/httpdocs/wp-content/themes/VideoThemeRes/images/social.png

Bu phyton scriptini kullanmak istemiyor iseniz aşağıda belirttiğim betiği de kullanabilirsiniz.

root@ayhanarda.com:~# find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print

Sunucunuza ücretli tarama ve temizleme yaptırmak için bu gibi işlemleri yapan Cpanel Güvenlik sitesi ile iletişime geçebilirsiniz.

Ayhan ARDA

 

Share Button

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*