Cómo evitar la infecciones de CryptoPHP

CryptoPHP es un malware indeseable que, a pesar de no ser una potencial amenaza para tu sitio web, su infección puede provocar que tu blog pase a formar parte de las blacklist clasificándose como spam o con fines blackhat SEO o de posicionamiento rápido. Este fichero es un backdoor que, al conectar con otros servidores, puede hacer pesado y lento tu wordpress, pues permite el control manual, backups de información vía email o la subida de ficheros remotos, entre otras cosas. Y esa es la primera sospecha: la lentitud.

La segunda, la verás con el tiempo, pues al ser incluido en lista como SpamHaus, tu blog puede quedar desindexado o bajar abruptamente de posiciones en los buscadores, que se traduce en pérdida de visibilidad y de ingresos.

CryptoPHP se encuentra en su mayor parte en todo aquel theme nulled, plugins nulled o cualquier fichero de dudosa procedencia, casi siempre fuera de los canales habituales como el repositorio de WordPress que, aunque no es perfecto, cuando se detecta algo es eliminado en unos días o los usuarios comentan las advertencias al autor.

Si nuestro panel incopora clamav o alguna herramienta antivirus o de detección de malware, lo primero es recurrir al escaneo y automáticamente desinfectar. Si la desinfección no es posible, hay que detectar dónde está el fichero y proceder a eliminarlo. Esto se puede hacer de dos formas:

Detección Manual del Fichero

Buscamos en los ficheros php del theme o del plugin de forma manual la siguiente línea de código:

<?php include('images/social.png'); ?>
									

Detección Automática del Fichero con LM

Si trabajamos con nuestro propio servidor vps o dedicado, podemos instalar Maldet o LMD (Linux Malware Detection) y ejecutar el siguiente comando:

find / -type f -name ‘social.png’ | xargs file
									

Si no tienes instalado este anti-malware, puedes hacerlo de la siguiente forma (para CentOS, RHEL):

# cd /opt
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

									

# tar xfz maldetect-current.tar.gz
									

# cd maldetect-1.4.2
# sh install.sh
# maldet --scan-all /var/www/ruta_de_tu_dominio
									

Si se detecta malware, puedes ejecutar:

# maldet --quarantine SCANID
o bien,
# maldet --clean SCANID
									

Detectar CryptoPHP desde la consola de Linux

Basta con ejecutar desde la línea de comando:

find / -type f -name ‘social.png’ | xargs file
									

Si existen varios archivos infectados en tu theme o en plugins, lo más seguro es que necesites una lista que te muestre cuáles contienen el malware. Esto lo puedes hacer mediante:

find -L /home -type f -name '*.png' -print0 | xargs -0 file | grep "PHP script" > /root/crypto.txt
									

El archivo .txt te mostrará los archivos infectados, pero recuerda, que borrar los ficheros no es una solución ya que WordPress puede mostrar fallos. Lo recomendable son 3 pasos:

Recursos e información:

https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf

https://www.rfxn.com/projects/linux-malware-detect/

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *