Bartosz Z 236 Zgłoś post Napisano Listopad 23, 2014 Hej,Zauważyliście u siebie problem z syfem CryptoPHP, który wykorzystuje dziury w popularnych CMS'ach?Polecam zapoznać się z analizą problemu: http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/Powstały regułki do Snorta, które mają eliminować problem: http://rules.emergingthreats.net/open/snort-edge/rules/emerging-web_server.rulesSyf siedzi w pliku social.png, który jest includowany do skryptów PHP, tak więc można go znaleźć: find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {} \; -exec chmod 000 {} \; -print Można również skorzystać z narzędzia napisanego w Perlu: http://cbl.abuseat.org/findbot.pl Udostępnij ten post Link to postu Udostępnij na innych stronach
NetDC.pl 27 Zgłoś post Napisano Listopad 23, 2014 Problem nie dot. wyłącznie pliku "social.png"- zagrożenie wykryliśmy także m.in w "social.php", czy "social.jpg". Złośliwy kod zawierany jest najczęściej w pluginach/templatkach wordpress pochodzących z niepewnych źródeł z czego bardzo duży odsetek infekcji zawierany jest w tzw. "nulled" pluginach. Udostępnij ten post Link to postu Udostępnij na innych stronach
globalnetwork.pl 11 Zgłoś post Napisano Listopad 27, 2014 (edytowany) Na githubie znajduje się projekt który na bieżąco aktualizuje adresacje serwerów c2 oraz skrypty do potencjalnego wyszukiwania zarażonych kont. https://github.com/fox-it/cryptophp Edytowano Listopad 27, 2014 przez globalnetwork.pl (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
