Segundo pesquisadores da Trend Micro há cerca de 195 mil domínios e ips comprometidos pelo spambot chamado Stealrat, que usa principalmente sites e sistemas comprometidos em suas operações.
Verifica-se que os alvos mais comuns são software vulneráveis de CMS como WordPress, Joomla e Drupal, que após o ataque ficam comprometidos.
Para os administradores verificarem se o seu site está comprometido, e consequentemente, se faz parte da botnet Stealrat, o primeiro é verificar os scripts de spam que são comumente encontrados nesse cenário, comumente nomeados de sm13e.php ou sm14e.php . Repare que esses scripts podem mudar em termos de nome do arquivo, por isso seria melhor verificar qualquer arquivo PHP desconhecido.
Outra maneira de verificar a presença do arquivo malicioso PHP, é fazendo a busca de qualquer dos seguintes textos nos códigos:
die (PHP_OS.chr (49). chr (48). chr (43). md5 (0987654321) die (PHP_OS.chr (49). chr (49). chr (43). md5 (0987654321)
Para aqueles que usam o Linux, você pode procurar a string usando o grep
grep "die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321" /diretorio/www/a/ser/verificado