La gran mayoria de webs, hoy en día, están creadas con conocidos CMS: WordPress, Joomla, Drupal, etcétera.
Recientemente han sido descubiertos miles de plugins y themes maliciosos para diversos CMS, que pueden ser utilizados por atacantes para comprometer servidores web.
La compañia de seguridad Fox-IT ha realizado una publicación con un nuevo Backdoor llamado CryptoPHP que al menos puede llegar a afectar a WordPress, Joomla y Drupal.
Los complementos afectados han sido mayoritariamente componentes para maximizar los resultados de los motores de búsqueda (SEO). Los propietarios de los sitios webs han podido ser víctimas de versiones gratuitas de plugins y themes que eran maliciosos y una vez instalado este componente incluye una puerta trasera con la que los atacantes pueden realizar diferentes acciones ilegítimas.
Hasta el momento la herramienta que hemos visto más efectiva para detectar las posibles infecciones ha sido el siguiente script.
Lo descargamos en nuestro servidor con el comando:
wget https://raw.githubusercontent.com/fox-it/cryptophp/master/scripts/check_…
Le asignamos permisos:
chmod 700 check_filesystem.py
Lo ejecutamos:
-Para Plesk:
./check_filesystem.py /var/www/vhosts
-Para cPanel
./check_filesystem.py /home
El chequeo generará líneas del tipo:
/var/www/vhosts/NOMBREDELDOMINIO.com/httpdocs/wp-content/plugins/example/images/social.png: CRYPTOPHP DETECTED!
En estos casos y tal como se indica en http://blog.fox-it.com/2014/11/26/cryptophp-a-week-later-more-than-23-00… debemos reinstalar el sitio web pues aunque estos plugin/themes sean eliminados y las claves de acceso al CMS modificadas, no es posible garantizar la integridad del sitio web pues no podemos conocer hasta que punto ha sido comprometido por el atacante.