Backdoor CryptoPHP que afecta a webs con WordPress, Drupal y Joomla

Hace unos días os hablábamos de un virus para PC que estaba afectando a varios usuarios, el CryptoLocker. Hoy os hablamos de uno con nombre parecido que afecta a páginas web creadas con WordPress (un montón), Joomla y Drupal: CryptoPHP.

Parece ser que este backdoor se llama así porque encripta los comandos que ejecuta antes de mandarlos al servidor. Y ha estado afectando a servidores durante Noviembre y Diciembre. El mayor problema es que se han detectado plugins infectados, por lo que primer consejo de seguridad descargad sólo de fuentes conocidas.

Si queréis una información exhaustiva acerca de este backdoor podéis leeros el “whitepaper” de Foxit Security aquí. Más exhaustivo que eso imposible.

Vamos directos al grano:

¿Cómo ver si tu servidor o web están infectados? Para detectar la presencia de este backdoor tenéis dos scripts creados por Foxit que podéis encontrar en Github: https://github.com/fox-it/cryptophp/tree/master/scripts
Recomiendo analizar vuestros servidores (nosotros lo estamos haciendo con nuestros clientes). Si estás en un servidor compartido y crees que puedes estar infectado dile a tus administradores que lo analicen.

Los dos scripts sirven para lo siguiente:

  1. check_filesystem.py. Analiza los ficheros de un servidor para detectar si están infectados.
  2. check_url.py . Analiza una url para ver si la web está infectada. Útil si estas en uno compartido y no sabes qué dominio está infectado.

¿Cómo limpiar un sistema infectado?

Foxit recomienda los siguientes pasos:

  1. Remove the “include” of the backdoor. For example, find the script that contains: “<?php include(‘images/social.png’); ?>”. Note that this path can vary.
  2. Remove the backdoor (social*.png) itself by deleting it.
  3. Check your database to see if any extra administrator accounts were added and remove them
  4. Reset the credentials of your own CMS account and other administrators (they were most likely compromised)

También recomienda que reinstales el CMS (WordPress, Joomla o Drupal) y traspases la información al nuevo por si el sistema anterior ha sido afectado por algo más después de la infección.

Esperamos os sirva esta información.