CryptoPHP malware koji se krije u fajlovima slika

CryptoPHP malware koji se krije u fajlovima slika

Nedavno je otkriven novi malware pod nazivom CryptoPHP koji napadačima omogućava daljinsku kontrolu nad sajtovima rađenim u nekim od najpopularnijih CMS sistema poput Joomla-e, WordPress-a i Drupal-a.

Ovaj malware može da dodaje nove admin korisnike direktno u bazu, da krade podatke za pristup bazi, ali i što je najopasnije, da ubaci na admin login stranicu javascript koji zapisuje podatke unete za svako admin logovanje i iste šalje svom autoru odnosno napadaču.

CryptoPHP malware najčešće dospeva na sajt ukoliko administrator istog instalira neki piratski (nulled) plugin ili temu i najčešće se nalazi u fajlu social.png.

Jedan od administratora MyCity.rs foruma, Predrag Damnjanović, napisao je veoma korisnu PHP skriptu koja otkriva ovaj malware.

Ukoliko ova skripta pronađe malware o kom pišemo, napisaće Vam tačnu putanju do istog koja će počinjati od foldera u kom se sama skripta nalazi.

Skriptu možete preuzeti sa linka http://pastebin.com/uh5Ftp5J i njen sadržaj kopirati npr u notepad a dokument snimiti kao search.php koji ćete uploadovati u svoj public_html folder.

Skriptu možete posetiti putem linka www.vassajt.com/search.php i ona će vam napisati sve putanje do fajlova koji su zaraženi ovim malware-om. Normalno je da skripta detektuje samu sebe u ovom procesu.

Ukoliko je detektnovani fajl u formatu slike (png, jpg i dr.), isti možete obrisati, dok, ukoliko je u pitanju PHP fajl, isti morate otvoriti u svom omiljenom tekst editor-u i sa kraja koda tog fajla obrisati sadržaj koji poziva sliku u kojoj je ubačen malware (include link).