CryptoPHP malware dosyalarını tespit etmek ve silmek

Merhabalar,
Bugün bilgi bankamıza kullanmış olduğunuz/olduğumuz sanal sunucu ve fiziksel sunucularda  CryptoPHP malware zararlı dosyalarını bulmayı ve temizlemeyi ekleyeceğiz.

CryptoPHP malware'i , komut ve kontrol sunucuları ile public key şifrelemesi kullanarak iletişime geçen saldırgan ve zararlı içeriktir.
Bilindik içerik kontrol sistemleri olan wordpress, joomla, drupal gibi sistemler ile kolaylıkla entegre olabilir. Yasadışı arama motoru optimizasyonu yapanlar tarafından kullanılır. Bu script genellikle kendini güncelleyecek şekilde yapılandırılır ve sahibi diler ise onu uzaktan güncelleyebilir ya da yeni özellikler ekleyebilir.

Fox it , bununla ilgili detaylı bir analiz yapmıştır ve https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf adresinden inceleyebilirsiniz.

Tespiti için yine foxit'in hazırladığı phyton scriptini kullanabiliriz. Sırasıyla önce scripti indiriyoruz , çalışma hakkı tanıyoruz ve /home dizinimizin altındaki dosyaları taramasını istiyoruz.

 

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py
chmod +x check_filesystem.py
./check_filesystem.py /home


Örnek çıktı aşağıdaki gibi olacaktır.

File matching patterns: ['*.png', '*.gif', '*.jpg', '*.bmp']
Recursively scanning directory: /home
 /home/username/public_html/wp-content/themes/VideoThemeRes/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)
 /home/username/public_html/wp-content/plugins/_revslider/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)


Silmek için ise aşağıdaki komutu çalıştırmamız yeterli olacaktır.

rm -rf  /home/username/public_html/wp-content/themes/VideoThemeRes/images/social.png



Eğer python scriptini kullanmak istemez isek, aşağıdaki komut ile tarama işlemini gerçekleştirebiliriz.

find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print



Bol trafikli günler dileriz.

  • Email, SSL
  • 0 Користувачі, які знайшли це корисним
Ця відповідь Вам допомогла?

Related Articles

CentOS 7 SSH Portu Değiştirmek

Merhabalar,CentOS 7 işletim sistemi kulanıcıları için SSH Portunun nasıl değiştirileceğini...

Centos 6 ve Centos 7 Ekstra Güvenlik İçin SSH PORT Değişimi

Merhabalar,Makalemizde Centos 6.X ve Centos 7.X kullanıcıları için SSH port değişimi nasıl...

Cloud linux nedir? Hosting Firmaları Neden Cloudlinux Kullanır ?

Cloudlinux sistem nedir?Yeni nesil Cloud yapısı sunucularda her hesaba belirli sistem kaynağı...

IP Adresine Göre Windows Server RDP Erişimini Kısıtlamak

IP Adresine Göre RDP Erişimini Kısıtlamak ve Windows Server Güvenliğini SağlamakÖzel Uzak...

Kritik Microsoft Windows Sunucu Açığı

Merhabalar, Microsoft Windows işletim sistemi kullanan sunucular üzerinde yetkisiz bir şekilde...