CryptPHP, malware que afecta a WordPress

Autor: | 2017-01-10T14:09:49+00:00 Fecha: 26/11/2014|Categorías: WordPress|Comentarios: 13 comentarios

Como ya he dicho en un artículo escrito por mi en 3cero.com, actualmente WordPress esta siendo un blanco fácil para muchos atacantes que son capaces de introducir código malicioso en WordPress.
En la mayoría de los casos el código malicioso es implementado a través de themes y plugins nulled descargados desde sitios web poco fiables, en otras ocasiones el problema  (agujero de seguridad) se encuentra en plugins y themes sin actualizar desde hace meses o incluso años.

En cualquiera de los dos casos anteriormente citados, el resultado es el mismo, un WordPress infectado que puede desencadenar diferentes tipos de situaciones:

  • Envío de SPAM a otros destinatarios de forma masiva y sin control.
  • Acceso a otros sitios web y datos relevantes dentro del servidor.
  • Problemas de rendimiento y estabilidad en el sitio web.
  • El malware en algunos casos extremos puede infectar a los visitantes.
  • El malware puede hacerte entrar en listas negras de SPAM y malware.

Últimamente muchos sitios web WordPress, Joomla y Drupal (entre otros) se han visto afectados por un tipo de malware llamado CryptPHP, se trata de una puerta trasera que permite al atacante subir malware al servidor para utilizarlo en una botnet.

Nosotros comenzamos a tener problemas con CryptPHP sin darnos cuenta de que era un problema relacionado con el malware, pensamos que era un problema de SPAM normal y corriente causado por alguno de nuestros clientes.
Finalmente comenzamos a darnos cuenta de que los servidores no habían enviado SPAM y que el problema era otro, fue ahí donde nos dimos cuenta de que algunos sitios web de nuestros clientes estaban infectados.

 

 

¿Cómo detectar CryptPHP?

Podemos detectar CryptPHP de dos formas posibles, la primera es utilizando algún antivirus del servidor y la segunda es dándose cuenta del pésimo rendimiento que puede llegar a tener un sitio web cuando nuestro sitio web esté infectado.
Además, como las “desgracias” normalmente no vienen de una en una, además de tener el servidor infectado posiblemente la dirección IP de tu servidor será añadida a una lista de abusos, malware y spam, las más conocidas son las listas de SpamHaus.

A nivel servidor, podemos utilizar un antivirus o antimalware en nuestro servidor VPS o servidor dedicado para detectar el problema, cuando realizamos un análisis con Maldet para Linux sobre un servidor CentOS podemos ver los siguientes datos:

cryptphp

Si podemos ver lo que sale en la imagen anterior es que Maldet ha detectado CryptPHP en nuestro servidor.

También existe un método manual para encontrar el backdoor, ya que es característico por estar dentro de un archivo llamado “social.png” que realmente es un “social.php” oculto como imagen pero con código malicioso dentro.

Para encontrar el archivo “social.png” infectado en tu servidor puedes utilizar el siguiente comando sobre Linux:

find / -type f -name ‘social.png’ | xargs file

Si te da un error es posible que tengas que instalar el paquete “file” usando APT o YUM dependiendo del sistema operativo Linux que estés utilizando.

La salida que nos daría el comando anterior en caso de tener el archivo “social.png” infectado en nuestro servidor sería la siguiente:

cryptphp3maldet

Lo malo es que limpiar correctamente CryptPHP puede ser un proceso bastante difícil, ya que si borramos directamente el archivo “social.png” infectado, nos aparecerá algun error en nuestro WordPress indicándonos que faltan archivos de la instalación, aunque realmente no es así.

 

Cómo evitar CryptPHP

Existe un método muy efectivo para no resultar infectados por el backdoor CryptPHP, el método se basa en seguir estas dos reglas básicas:

  • No usar ni themes ni plugins nulled.
  • Actualizar los themes y plugins a la última versión.

Aunque parezca demasiado simple, con estos dos consejos se evitará el 80% de las infecciones de CryptPHP, ya que este backdoor utiliza el software nulled para propagarse y se mantiene oculto e inactivo hasta que se activa e incorpora el servidor a una botnet si no se detecta y bloquea a tiempo.

Los chicos de FoxitSecurity han publicado una lista de sitios web donde encontraras themes y plugins nulled para WordPress que contienen malware como CryptPHP, de hecho ellos lo definen como la mayor fuente de malware donde puedes acabar infectado con CryptPHP:

cryptwebs

Evidentemente, es muy posible que existan muchos mas sitios web que esten distribuyendo este malware.

 

Como limpiar un theme WordPress con CryptPHP

Lo primero que debemos hacer para limpiar nuestro theme es encontrar y borrar el archivo “social.png”, posteriormente lo que debemos hacer es encontrar la siguiente línea que puede estar una o varias veces en el theme:

cryptphp wordpress

La ruta mencionada en el código PHP que puedes ver arriba puede variar dependiendo del tipo de plantilla afectada y de la forma de infección.

Debemos tener en cuenta que si el backdoor o puerta trasera aun sigue abierta, es posible que nuestro sitio web se vuelva a infectar con malware, incluso es posible que vuelva a aparecer CryptPHP.

 

Eliminar CryptPHP

Si tu sitio web ha sido infectado por CryptPHP pero no sabes cómo eliminar este malware de tu web, puedes contactar con nosotros sin compromiso y te informaremos sobre nuestras tarifas.
Tranquilo, estamos acostumbrados a desinfectar sitios web WordPress y tu sitio web estara en buenas manos.

[Total: 5 Promedio: 4.6]
Mi nombre es Alvaro Fontela, soy consultor Wordpress y blogger activo desde hace años. Co-Fundador de Raiola Networks, escribiendo sobre Wordpress en este blog día tras día.

Utilizamos cookies propias y de terceros para obtener información estadística, mostrar publicidad personalizada a través del análisis de tu navegación, así como para interactuar en redes sociales. Si continúas navegando, consideramos que aceptas nuestra Política de cookies. ACEPTAR

Aviso de cookies