Linux

CryptoPHP malware dosyalarını tespit etmek ve silmek

sunucu linux kernel
Share

Merhabalar,
Bugün bilgi bankamıza kullanmış olduğunuz/olduğumuz sanal sunucu ve fiziksel sunucularda  CryptoPHP malware zararlı dosyalarını bulmayı ve temizlemeyi ekleyeceğiz.

CryptoPHP malware‘i , komut ve kontrol sunucuları ile public key şifrelemesi kullanarak iletişime geçen saldırgan ve zararlı içeriktir.
Bilindik içerik kontrol sistemleri olan wordpress, joomla, drupal gibi sistemler ile kolaylıkla entegre olabilir. Yasadışı arama motoru optimizasyonu yapanlar tarafından kullanılır. Bu script genellikle kendini güncelleyecek şekilde yapılandırılır ve sahibi diler ise onu uzaktan güncelleyebilir ya da yeni özellikler ekleyebilir.

Fox it , bununla ilgili detaylı bir analiz yapmıştır ve https://foxitsecurity.files.wordpress.com/2014/11/cryptophp-whitepaper-foxsrt-v4.pdf adresinden inceleyebilirsiniz.

Tespiti için yine foxit’in hazırladığı phyton scriptini kullanabiliriz. Sırasıyla önce scripti indiriyoruz , çalışma hakkı tanıyoruz ve /home dizinimizin altındaki dosyaları taramasını istiyoruz.

 

wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_filesystem.py
chmod +x check_filesystem.py
./check_filesystem.py /home

Örnek çıktı aşağıdaki gibi olacaktır.

File matching patterns: ['*.png', '*.gif', '*.jpg', '*.bmp']
Recursively scanning directory: /home
 /home/username/public_html/wp-content/themes/VideoThemeRes/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)
 /home/username/public_html/wp-content/plugins/_revslider/images/social.png: CRYPTOPHP DETECTED! (version: 0.2)

Silmek için ise aşağıdaki komutu çalıştırmamız yeterli olacaktır.

rm -rf  /home/username/public_html/wp-content/themes/VideoThemeRes/images/social.png

Eğer python scriptini kullanmak istemez isek, aşağıdaki komut ile tarama işlemini gerçekleştirebiliriz.

find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print

Bol trafikli günler dileriz.