Webs WordPress, Joomla y Drupal amenazados por el BackDoor CryptoPHP

Hoy en día, la gran mayoria de webs están creadas con conocidos CMS como WordPress, Joomla, Drupal, etcétera.

Recientemente han sido descubiertos miles de plugins y themes maliciosos para diversos sistemas de gestión de contenidos (CMS) que pueden ser utilizados por atacantes para comprometer servidores web.

La compañia de seguridad Fox-IT ha realizado una publicación con un nuevo Backdoor llamado CryptoPHP que al menos puede llegar a afectar a Wordpress, Joomla y Drupal.

Los complementos afectados han sido mayoritariamente componentes para maximizar los resultados de los motores de búsqueda (SEO). Los propietarios de los sitios webs han podido ser víctimas de versiones gratuitas de plugins y themes que eran maliciosos y una vez instalado este componente incluye una puerta trasera con la que los atacantes pueden realizar diferentes acciones ilegítimas.

Hasta el momento la herramienta que hemos visto más efectiva para detectar las posibles infecciones ha sido el siguiente script.

Lo descargamos en nuestro servidor con el comando:

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_...

Le asignamos permisos:

chmod 700 check_filesystem.py

Lo ejecutamos:

-Para Plesk:
./check_filesystem.py /var/www/vhosts

-Para cPanel
./check_filesystem.py /home


El chequeo generará líneas del tipo:

/var/www/vhosts/XXXX.com/httpdocs/wp-content/plugins/example/images/social.png: CRYPTOPHP DETECTED!

En estos casos y tal como se indica en http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-00... debemos reinstalar el sitio web pues aunque estos plugin/themes sean eliminados y las claves de acceso al CMS modificadas, no es posible garantizar la integridad del sitio web pues no podemos conocer hasta que punto ha sido comprometido por el atacante.
Imagen de admin
About the Author

Etiam malesuada velit bibeum donec sit amet orci augue sed tristique amet risus. Mollis malesuada. Quis quis nulla. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia.

Comparte esta página: