Su servidor se infectó con un troyano de puerta trasera PHP con estos nombres:
a-squared: Backdoor.PHP.Shell!IK
AVAST!: VBS:Malware-gen
AVG: PHP/BackDoor
BitDefender: Trojan.Php.Backdoor.APF
ClamAV: PHP.Shell-38
Dr.Web: PHP.Shell.26
F-Secure: Trojan.Php.Backdoor.APF [Aquarius]
GData: Trojan.Php.Backdoor.APF [Engine:A]
Ikarus: Backdoor.PHP.Shell
Kaspersky: Backdoor.PHP.PhpShell.dd
Microsoft: Backdoor:PHP/Shell.G
NOD32: PHP/WebShell.NAH trojan
nProtect: Trojan.Php.Backdoor.APF
Actualmente, lo detecta aproximadamente el 38% de los escáneres AV que VirSCAN.org rastrea . La forma de probar su AV para este exploit es simplemente abriendo this pastebin e intentando descargarlo como un archivo. Su AV debe detectarlo, notificarle el malware bajo uno de esos nombres arriba y denegar la descarga. Si no se detecta, simplemente elimine el archivo descargado. Su sistema no se infectará, a menos que lo ejecute a través de un intérprete de PHP en su servidor web.
He estado leyendo el código del exploit y, francamente, es algo bastante aterrador y uno de los shells más completos que he visto en mi vida. Aquí hay algunas cosas que puede hacer:
-
Read
, Edit
, Overwrite
en cualquier archivo al que tenga acceso el proceso de aplicación web en el que se ejecuta.
-
Extract from
, Compress to
Archivos ZIP y TAR (se pueden inyectar en archivos existentes)
-
Acceso
Brute-force FTP, MySQL, PostgreSQL
mediante la propia CPU del servidor web
-
Scripted interface
para un fácil control remoto de C & C shell
-
POST requests for everything
para ocultarse de WAF más simple y evitar la detección por las reglas del servidor web
-
Complete Database Control
, incluidos los métodos abreviados de SQL para las inyecciones más comunes
-
Automated password and shadow file extraction
para extracción / descifrado de contraseñas sin conexión
-
File System Access Control
incluyendo la reescritura de permisos de acceso en archivos, directorios
-
Enable / Disable reporting services
para evitar la detección a través de archivos de registro
-
Self-Destruction Mechanism
para realizar la limpieza después de instalar otras puertas traseras
-
Password and cookie token protected
para evitar una inspección sencilla de sus funciones en el espacio aislado (aunque el esquema de protección es bastante débil, vea mi comentario a la pregunta)
-
e.t.c.
Presume todos tus datos, sistema de archivos, sistema operativo, todo lo infectado y otras puertas traseras instaladas en ellos. Presume todas las contraseñas robadas, las contraseñas y los archivos ocultos empaquetados y descargados. ¡Esto no es una broma!
A veces, todo lo que puedes hacer es ...
Es la única forma de estar seguro.
Entonces, ¿qué puedes hacer? Como sugiere la imagen, quítala desde la órbita. Comience desde una pizarra limpia y restaure desde una buena copia de seguridad fuera de línea, antes de que se produzca esta vulnerabilidad:
- Formatee la unidad y reinstale el sistema operativo, cualquier otro software que necesite, manténgalos actualizados
- Suponga que todos sus archivos de instalación están infectados / desactualizados y descargue las últimas versiones
- Reconsidere los paquetes de software que realmente necesita y cómo podría reforzar el acceso remoto
- Si aún no lo tiene, instale un certificado SSL en su servidor web, use protocolos de acceso cifrado en todo
- Vuelva a evaluar las reglas del firewall, rechace el tráfico en todos los puertos que no va a usar, entrante y saliente
- Instale un buen software antivirus y actualice sus definiciones de virus con regularidad tanto en su servidor como en todos los clientes desde los que tendrá acceso a su servidor, habilite el análisis heurístico, realice un análisis completo del sistema con regularidad
- Nunca acceda a su servidor web de forma remota desde una ubicación no confiable y / o una conexión no segura como puntos de acceso público para fines de administración
- Acceso seguro a sus carpetas de software / panel de CMS / software, archivos, URL, proteja todo con contraseña
- Asume todas las contraseñas robadas, incluidas las contraseñas de cualquier usuario de tus servicios en línea
- Restaure desde una copia de seguridad sin conexión desde antes de la fecha de la infección
- Inspeccione todos los archivos de copia de seguridad y de la base de datos restaurados para detectar inyecciones, troyanos, puertas traseras, ...
- Escriba el código de soporte en sus servicios en línea para exigir un cambio de contraseña para todos sus usuarios y denegar el acceso antes de que lo hagan
- Notifique a todos sus usuarios que sus contraseñas podrían haber sido comprometidas y que deberían cambiar sus contraseñas para cualquier otro servicio de terceros para el que puedan usarlas también.
- Ejecute cada dominio en su servidor desde una máquina virtual separada y asigne como privilegios limitantes a sus procesos, ya que puede vivir, bloquear archivos y permisos de acceso a bases de datos
- Contrate a un consultor de seguridad de TI para evaluar la vulnerabilidad de su servidor y los servicios que está ejecutando, actúe de acuerdo con las recomendaciones del consultor
- Supongamos que he olvidado incluir algo en esta lista, y encuentre más información y recomendaciones para un escenario similar en este y otros sitios web en los que confía
¡La mejor de las suertes!