پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
کسانی که از Snort استفاده می کنند. می توانند برای جلوگیری از این مشکل و حل کامل موضوع و جلوگیری از خروج نرافیک از سرور می توانید ازرول های زیر استفاده نمایید.
کد:
#
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET WEB_SERVER FOX-SRT - Backdoor - CryptoPHP Shell C2 POST"; flow:established,to_server; content:"POST"; http_method; content:"Content-Disposition|3a| form-data|3b| name=|22|serverKey|22|"; http_client_body; fast_pattern:28,20; content:"Content-Disposition|3a| form-data|3b| name=|22|data|22|"; http_client_body; content:"Content-Disposition|3a| form-data|3b| name=|22|key|22|"; http_client_body; content:!"Referer|3a| "; http_header; content:!"User-Agent"; http_header; content:!"Cookie|3a|"; threshold: type limit, track by_src, count 1, seconds 600; reference:url,blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/; classtype:trojan-activity; sid:2019748; rev:1;)
کد:
#
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"ET WEB_SERVER FOX-SRT - Backdoor - CryptoPHP Shell C2 POST (fsockopen)"; flow:established,to_server; content:"POST"; http_method; content:"Content-Type: application/x-www-form-urlencoded"; http_header; content:"Connection|3a| close"; http_header; content:"serverKey="; fast_pattern; content:"data="; content:"key="; content:!"Referer|3a|"; http_header; content:!"User-Agent"; http_header; content:!"Cookie|3a|"; threshold: type limit, track by_src, count 1, seconds 600; reference:url,blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/; classtype:trojan-activity; sid:2019749; rev:1;)
کد:
#
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER PHP.//Input in HTTP POST"; flow:established,to_server; content:"POST"; http_method; content:"php|3a 2f 2f|input"; http_raw_uri; content:"<?"; http_client_body; depth:2; reference:url,www.deependresearch.org/2014/07/another-linux-ddos-bot-via-cve-2012-1823.html; classtype:trojan-activity; sid:2019804; rev:3;)
باتشکر
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
راه حل های گفته شده رو طی کردیم
اما امروز مجددا برامون همون ابیوز دیروزی از دیتاسنتر ارسال شد
centos 6 - 64 bit
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
با سلام
در صورت نیاز دسترسی ارسال نمایید تا بررسی شود.
باتشکر
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
سلام
نمیشه به نام فایل بسنده کرد خوب میتونه تغییر نام داده بشه به یک چیز دیگه بهتره روش های بهتری پیدا کنیم واسه این مالور ضمنن اگر سورسش رو دارید بذارید تا ببینیم توش چی داره اینطوری با تغییر نام هم راحت میشه پیداش کرد ، کد هایی که اینجا ارائه شه قالبا داره دنبال فایلی با نام social و فرمت png با محتوای php میگرده و در این صورت اگر فال با نام دیگری در سرور وود داشته باشه این کامند ها پیداش نمیکنه
- - - Updated - - -
دوستان این کامند رو استفاده کنید یکم بهتره چون هر فایلی عکسی که شامل کد php باشه پیدا میکنه انتقالش میده به مسیری دیگر و بعد از مشاهده میتونید حذفش کنید
mkdir /virus-files
find -L /home -type f \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \;|grep PHP >~/virus-files
اگر چند تا پارتیشن هم دارید هم
find -L /home* -type f \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \;|grep PHP >~/virus-files
پاسخ : خیلی مهم :cryptoPHP- Malware خطرناک در وردپرس : قابل توجه افرادی که دنبال null هستند.
