Malware CryptoPHP: Plugins Piratas Comprometen Servidores a Gran Escala

24 Nov

La alerta sobre CryptoPHP apareció durante el fin de semana y de inmediato programadores y maestros en protección empezaron a resolver el peligro de esta infección.

CryptoPHP es una amenaza que maneja plantillas y plugins no autentificados de Joomla, WordPress y Drupal para comprometer servidores(dedicados) web(www) a enorme escala.

CryptoPHP llega integrado en estos templates “gratuitos” de wordpress u otros CMS, por lo tanto se inserta rápidamente en el servidor, causando ciertos inconvenientes a sus visitantes pese a que no tengan su sitio infectado.

Se ha definido que el propósito del malware(gusano) es, por ahora, participar en Black Hat SEO, en otras frases usar técnicas ilegales de posicionamiento, mediante la inyección de enlaces a otros sitios web(www) presumiblemente maliciosos, en tu contenido.  Sin embargo esta infestación es sofisticada y se comunica con servidores(dedicados) de dominio y comando que pueden ordenar varias actividades distintas, incorporando la de autoactualizarse.

Esta es una clásica infestación a través de botnet que transforma a todos los sitios web(www) infectados en drones que pueden ser instruidos para crear casi cualquier cosa, desde enviar spam, insertar enlaces para SEO, alojar contenido ilegal o efectuar ataques a otros sitios web. Esto provoca también que el servidor desde donde se envía este tipo de información pueda ser introducido en listas negras, lo que puede provocar inconvenientes a usuarios no infectados, sin embargo que comparten el mismo servidor, por ejemplo en el envio de correos electrónicos.

El metodo CryptoPHP es una infestación relativamente simple, dentro de un script intervenido hay una pequeña linea de codigo que se parece a esto:

<?php include(‘assets/images/social.png’); ?>

Si eres programador de PHP reconocerás rápidamente este aspecto diferente. Se intenta de una directiva PHP para incorporar un archivo externo que contenga codigo fuente de PHP, sin embargo el archivo es en realidad una imagen. Dentro de este archivo de imagen, que realmente es un PHP, el codigo es ocultado a través de transcrito para tratar de disimular el hecho de que es malicioso.

Si teneis WordPress, instala el plugin de protección Wordfence y efectua los escaneos necesarios. Debes tener en cuenta que la configuración por defecto de Wordfence no analiza archivos de foto para las infecciones. Hace un tiempo, se ha agregado una alternativa para escanear archivos de foto como si fueran codigo PHP, sin embargo con esta alternativa Wordfence detectará la directiva “incluir” mencionada en la fuente PHP, por lo que inclusive si no tiene activado el escaneo de imágenes, aun así deberías poder descubrir todas las variantes conocidas de esta infección, siempre que se este ejecutando la nueva version de Wordfence.

Cómo te habrás dado cuenta, esta es una muestra de la importancia de usar plantillas y plugins auténticos y pagados.

En INC, te mantendremos al tanto de cualquier información relativa a la reparación y solucion de esta infestación a quienes trabajan con Drupal y Joomla, la que hasta el instante no se ha publicado.

Si deseas tener mayor información sobre este tema podrias ingresar a:

http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/

http://www.wordfence.com/blog/2014/11/wordpress-security-nulled-scripts-cryptophp-infection/

The post(noticia) Malware CryptoPHP: Plugins Piratas Comprometen Servidores a Gran Escala appeared first on INC Internet Limitada.

INC Internet Limitada » Blog



Recuerden que todo el contenido de este articulo tanto texto y multimedia pertenece originalmente a la fuente (enlace) que aparece arriba y no a PreciosHosting.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *