O que é CryptoPHP?

CryptoPHP é uma ameaça que usa temas e plug-ins Joomla, WordPress e Drupal para comprometer servidores web em larga escala. Ao publicar temas piratas e plug-ins livre para qualquer um usar, em vez de ter que pagar por eles.

Este malware pode ser controlado por meio de um servidor remoto ou e-mail. Segue abaixo o que este backdoor pode conter/fazer:

1) Auto integrar a maior parte do CMS como Joomla, WordPress, Drupal, etc.
2) É a comunicação de chave encriptada baseada entre o servidor afetado e servidor de controle
3) Manual de gestão remota, atualização automática, etc,.
4) Milhares de servidores e sites afetados por este malware. Nossos servidores clientes com gerenciamento pró-ativo já estão digitalizados e protegidos contra essa ameaça. Parece que o limite de inspeção está aumentando.

Se você tem alguma experiência sobre shell, por favor, use os seguintes métodos para identificar o malware:

1) verificação rápida para arquivos .png * sociais,

find /home/ -type f -iname “social*.png” -exec grep -E -o ‘php.{0,80}’ {} \; -print

Se você ver os arquivos a partir do resultado acima, então você deve excluir esses arquivos imediatamente,

2) Verifique todos os arquivos PNG:

find /home -type f -iname ‘*.png’ -print0 | xargs -0 file | grep “PHP script” > /root/cryptoinfected.txt

Agora, verifique todos os arquivos listados no /root/cryptoinfected.txt e remova-os

3) Verifique todos os outros arquivos
Você deve precisar verificar todos os outros arquivos também, porque não é só infectado por arquivos PNG e JPEG

4) Use clamav ou maldetect
Você pode atualizar seu banco de dados do clamav e do maldetect. Depois execute uma varredura para detectar o malware

freshclam
maldetect -U