CryptoPHP es un malware detectado principalmente en sitios web basados en Wordpress, Joomla y Drupal, que instala un backdoor en el servidor donde se aloja de modo que el hacker se hace con el control del sitio web o incluso del servidor completo.
La intrusión se realiza principalmente por dos vías:
- CMS desactualizado: El hacker ha aprovechado una vulnerabilidad en tu CMS para subir el fichero malicioso, esto es gracias a que tu CMS no está actualizado con los últimos parches de seguridad y has dejado la puerta abierta.
- Instalación de módulos nulled: Si has instalado algún theme o módulo que es de pago, pero lo has descargado de un sitio ilegal para poder usar sin pagar, es decir, has obtenido una versión nulled, has recibido este premio extra de serie.
Para buscar los ficheros maliciosos, ejecuta por SSH:
find -L / -type f -name 'social.png' | xargs file
Los resultado que devuelvan el valor: PHP script, ASCII text, son los ficheros maliciosos. Te recomendamos eliminarlos y tomar medidas para que no vuelva a ocurrir:
- Elimina los ficheros maliciosos
- Cambia las contraseñas (cPanel, FTP y MySQL) por unas con mayor nivel de seguridad
- Actualiza el CMS aplicando TODOS los parches y actualizaciones disponibles.
- Elimina los módulos y themes “nulled” de su sitio web. Instala solo software con licenciamiento legal.
Te recomendamos leer nuestro artículo sobre como proteger tu servidor.