Verificar se um site faz parte da botnet Stealrat

image_pdfimage_print

Segundo pesquisadores da Trend Micro há cerca de 195 mil domínios e ips comprometidos pelo spambot chamado Stealrat, que usa principalmente sites e sistemas comprometidos em suas operações.

Verifica-se que os alvos mais comuns são software vulneráveis de CMS como WordPress, Joomla e Drupal, que após o ataque ficam comprometidos.

Para os administradores verificarem se o seu site está comprometido, e consequentemente, se faz parte da botnet Stealrat, o primeiro é verificar os scripts de spam que são comumente encontrados nesse cenário, comumente nomeados de sm13e.php ou sm14e.php . Repare que esses scripts podem mudar em termos de nome do arquivo, por isso seria melhor verificar qualquer arquivo PHP desconhecido.

Outra maneira de verificar a presença do arquivo malicioso PHP, é fazendo a busca de qualquer dos seguintes textos nos códigos:

die (PHP_OS.chr (49). chr (48). chr (43). md5 (0987654321)
die (PHP_OS.chr (49). chr (49). chr (43). md5 (0987654321)

Para aqueles que usam o Linux, você pode procurar a string usando o grep

grep "die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321" /diretorio/www/a/ser/verificado
Gostou? Tire um minutinho e dê sua contribuição para Drall Dev Community no Patreon!