Nesse último final de semana (dias 13 e 14 de dezembro) passamos escaneando todos os servidores de hospedagem compartilhada a procura do malware CryptoPHP.
Encontrando algumas contas infectadas, seus responsáveis foram notificados e o malware foi removido.
Embora o malware deveria nunca entrar no servidor, muitos processos como por exemplo uma migração de conta, é impossível escanear milhares de arquivos que são colocados no servidor ao mesmo tempo.
Devido a isso, muitos arquivos infectados acabam conseguindo se instalar na conta e no caso do CryptoPHP faz essa conta enviar spam.
CryptoPHP é uma ameaça que usa backdoor do Joomla, WordPress e Drupal temas e plugins para comprometer servidores web em larga escala. Mais informações sobre esta ameaça pode ser encontrada no link relacionado abaixo.
- Fox-IT: CryptoPHP – Analysis of a hidden threat inside popular content management systems
- Attackers Using Compromised Web Plug-Ins in CryptoPHP Blackhat SEO Campaign
Esta infecção quase certamente significa que o usuário do site infectado tem usado plugins piratas dos locais nulledstylez.com, dailynulled.com ou algum outro site que é especializada no fornecimento de software “nulled” (pirata). A pesquisa da Fox-IT mostrou que cada tema pirata ou plug-in nesses dois locais foi infestada com o malware cryptophp.
Fox-IT recomenda que você deve não tentar “reparar” a infecção. A conta infectada deve ser reinstalado a partir do zero.
Vou repetir o parágrafo anterior: remover o arquivo “social.png” não remover a infecção. “Social.png” só é apenas um pequeno pedaço dele. A conta infectada deve ser reinstalado a partir do zero.
Tivemos alguns servidores infectados, porém hoje todos já estão seguros e sendo diariamente monitorados para identificar os usuários que usam scripts piratas infectados.