Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
952
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
-
▼
diciembre
(Total:
38
)
- MegaChat: el nuevo Skype con cifrado seguro de Kim...
- Hackean Modems USB 4G y tarjetas SIM usando mensaj...
- Lizard Squad para los ataques DDos a PSN y XBOX Li...
- Hackean la web de AEDE en protesta contra el canon
- El proveedor de hosting DinaHosting sufre un ataqu...
- Kodi 14 Helix, el MediaCenter libre y multiplatafo...
- Un adolescente de 17 años de Londres se declara cu...
- SMB Worm Tool es la herramienta usada en el ataque...
- Publican el código fuente de The Open Bay como Ope...
- Disponible John the Ripper 1.8.0-jumbo-1
- Vídeo demostración de BadUSB con USBdriveby en Mac...
- ShadowCrypt, una extensión de Chrome para cifrar c...
- La extensión de Chrome para cifrar e-mails llega a...
- Vulnerabilidad Misfortune Cookie - La galleta de l...
- La ICANN fue objeto de un ataque de spear phishing
- El FBI utilizó Metasploit para descubrir a usuario...
- Análisis del ransomware TorrentLocker
- Disponible Wifislax 4.10 versión Final
- Detenido a un exdirectivo de Intereconomía por con...
- UFONet - DDoS via WebAbuse - v0.4b "Infection"
- Google Zeitgeist 2014: Lo más buscado en Google
- CryptPHP el malware que afecta a WordPress, Drupal...
- Recopilación de más de 100 libros sobre programaci...
- Snort++ aka Snort 3.0 - Network intrusion preventi...
- ODROID-C1, una alternativa a la Raspberry Pi
- msfpayload y msfencode desaparecerán de Metasploit
- Conferencias de seguridad en Santander: Sh3llCON -...
- thepiratebay.cr NO es el nuevo dominio de The Pira...
- Adobe Flash Player 16 ya se encuentra disponible
- Lizard Squad amenaza con tirar Xbox Live el día de...
- Los vídeos más vistos de YouTube en 2014
- Un redada policial en Suecia deja sin servicio a T...
- Poodle también afecta a TLS 1.2
- Alerta por infecciones masivas por e-mail falso de...
- Solucionada grave vulnerabilidad CSRF en Paypal
- La red temática Criptored cumple 15 años
- (PoC) Proof of Concept Wordpress y Drupal (CVE-201...
- Samurai Web Testing Framework 3.0: LiveDVD para au...
- ► septiembre (Total: 18 )
-
▼
diciembre
(Total:
38
)
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
346
)
ransomware
(
337
)
vulnerabilidad
(
293
)
Malware
(
259
)
Windows
(
239
)
android
(
239
)
cve
(
231
)
tutorial
(
230
)
manual
(
215
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
programación
(
25
)
apache
(
23
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Si estos días vas a cualquiera de las plataformas de venta que hay en internet y buscas un USB probablemente te encuentras con no pocos con ...
-
La barra de estado aparece en la parte supe rior de cada pantalla. Muestra los íconos que indican que has recibido notificaciones (a la izq...
CryptPHP el malware que afecta a WordPress, Drupal y Joomla
martes, 16 de diciembre de 2014
|
Publicado por
el-brujo
|
Editar entrada
CMS tan conocidos como WordPress, Joomla, Drupal son el punto de mira de CryptoPHP. En la mayoría de los casos el código malicioso es implementado a través de themes y plugins nulled descargados desde sitios web poco fiables, en otras ocasiones el problema (agujero de seguridad) se encuentra en plugins y themes sin actualizar desde hace meses o incluso años.
En cualquiera de los dos casos anteriormente citados, el resultado es el mismo, un WordPress infectado que puede desencadenar diferentes tipos de situaciones:
Finalmente comenzamos a darnos cuenta de que los servidores no habían enviado SPAM y que el problema era otro, fue ahí donde nos dimos cuenta de que algunos sitios web de nuestros clientes estaban infectados.
Podemos detectar CryptPHP de dos formas posibles, la primera es utilizando algún antivirus del servidor y la segunda es dándose cuenta del pésimo rendimiento que puede llegar a tener un sitio web cuando nuestro sitio web esté infectado.
Además, como las “desgracias” normalmente no vienen de una en una, además de tener el servidor infectado posiblemente la dirección IP de tu servidor será añadida a una lista de abusos, malware y spam, las más conocidas son las listas de SpamHaus.
A nivel servidor, podemos utilizar un antivirus o antimalware en nuestro servidor VPS o servidor dedicado para detectar el problema, cuando realizamos un análisis con Maldet para Linux sobre un servidor CentOS podemos ver los siguientes datos:
Si podemos ver lo que sale en la imagen anterior es que Maldet ha detectado CryptPHP en nuestro servidor.
También existe un método manual para encontrar el backdoor, ya que es característico por estar dentro de un archivo llamado “social.png” que realmente es un “social.php” oculto como imagen pero con código malicioso dentro.
Para encontrar el archivo “social.png” infectado en tu servidor puedes utilizar el siguiente comando sobre Linux:
La gente de FoxitSecurity han publicado una lista de sitios web donde encontraras themes y plugins nulled para WordPress que contienen malware como CryptPHP, de hecho ellos lo definen como la mayor fuente de malware donde puedes acabar infectado con CryptPHP:
Debemos tener en cuenta que si el backdoor o puerta trasera aun sigue abierta, es posible que nuestro sitio web se vuelva a infectar con malware, incluso es posible que vuelva a aparecer CryptPHP.
Joomla
Fuente:
https://raiolanetworks.es/blog/cryptphp-malware-que-afecta-wordpress/
https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf
En cualquiera de los dos casos anteriormente citados, el resultado es el mismo, un WordPress infectado que puede desencadenar diferentes tipos de situaciones:
- Envío de SPAM a otros destinatarios de forma masiva y sin control.
- Acceso a otros sitios web y datos relevantes dentro del servidor.
- Problemas de rendimiento y estabilidad en el sitio web.
- El malware en algunos casos extremos puede infectar a los visitantes.
- El malware puede hacerte entrar en listas negras de SPAM y malware.
Finalmente comenzamos a darnos cuenta de que los servidores no habían enviado SPAM y que el problema era otro, fue ahí donde nos dimos cuenta de que algunos sitios web de nuestros clientes estaban infectados.
¿COMO DETECTAR CRYPTPHP-CRYPTOPHP?
Script:cd /usr/src/Analizar:
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz -O /usr/src/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sh install.sh
/usr/local/sbin/maldet -d
/usr/local/sbin/maldet -u
maldet -a /home/user/public_html/Script en Phyton
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_url.pyEjecutar:
chmod +x check_url.py
./check_url.py --load=/home/domains.list | grep DETECTED
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py
chmod +x check_filesystem.py
./check_filesystem.py /path/to/file
$ ./check_filesystem.py --help Usage: check_filesystem.py [options] directory|file [directory2|file2] [..] Options: -h, --help show this help message and exit -n, --no-color no color output [default: False] -p PATTERNS, --patterns=PATTERNS scan only files matching the patterns (comma seperated) [default: *.png,*.gif,*.jpg,*.bmp]
Podemos detectar CryptPHP de dos formas posibles, la primera es utilizando algún antivirus del servidor y la segunda es dándose cuenta del pésimo rendimiento que puede llegar a tener un sitio web cuando nuestro sitio web esté infectado.
Además, como las “desgracias” normalmente no vienen de una en una, además de tener el servidor infectado posiblemente la dirección IP de tu servidor será añadida a una lista de abusos, malware y spam, las más conocidas son las listas de SpamHaus.
A nivel servidor, podemos utilizar un antivirus o antimalware en nuestro servidor VPS o servidor dedicado para detectar el problema, cuando realizamos un análisis con Maldet para Linux sobre un servidor CentOS podemos ver los siguientes datos:
Si podemos ver lo que sale en la imagen anterior es que Maldet ha detectado CryptPHP en nuestro servidor.
También existe un método manual para encontrar el backdoor, ya que es característico por estar dentro de un archivo llamado “social.png” que realmente es un “social.php” oculto como imagen pero con código malicioso dentro.
Para encontrar el archivo “social.png” infectado en tu servidor puedes utilizar el siguiente comando sobre Linux:
find / -type f -name ‘social.png’ | xargs file
find . \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \; | grep “PHP script”Lo malo es que limpiar correctamente CryptPHP puede ser un proceso bastante difícil, ya que si borramos directamente el archivo “social.png” infectado, nos aparecerá algun error en nuestro WordPress indicándonos que faltan archivos de la instalación, aunque realmente no es así.
CÓMO EVITAR CRYPTPHP
Existe un método muy efectivo para no resultar infectados por el backdoor CryptPHP, el método se basa en seguir estas dos reglas básicas:- No usar ni themes ni plugins nulled.
- Actualizar los themes y plugins a la última versión.
La gente de FoxitSecurity han publicado una lista de sitios web donde encontraras themes y plugins nulled para WordPress que contienen malware como CryptPHP, de hecho ellos lo definen como la mayor fuente de malware donde puedes acabar infectado con CryptPHP:
CÓMO LIMPIAR UN THEME WORDPRESS CON CRYPTPHP
Lo primero que debemos hacer para limpiar nuestro theme es encontrar y borrar el archivo “social.png”, posteriormente lo que debemos hacer es encontrar la siguiente línea que puede estar una o varias veces en el theme:include('images/social.png'); ?>La ruta mencionada en el código PHP que puedes ver arriba puede variar dependiendo del tipo de plantilla afectada y de la forma de infección.
Debemos tener en cuenta que si el backdoor o puerta trasera aun sigue abierta, es posible que nuestro sitio web se vuelva a infectar con malware, incluso es posible que vuelva a aparecer CryptPHP.
Análisis de CryptoPHP
Wordpress:add_action('wp_head', array( $this, 'JLKCxmYDqGERxDYMhmOj' )); add_action('wp_footer', array( $this, 'JLKCxmYDqGERxDYMhmOj' ));
Joomla
$NEKXukygfLoADkopeheR = JResponse::getBody(); .. JResponse::setBody($NEKXukygfLoADkopeheR);
Fuente:
https://raiolanetworks.es/blog/cryptphp-malware-que-afecta-wordpress/
https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.