Como Verificar se um Site faz Parte da Botnet Stealrat

Por alguns meses, os pesquisadores da Trend Micro tem acompanhado ativamente, a ação de um spambot chamado Stealrat, que usa principalmente sites e sistemas comprometidos em suas operações nefastas. Dessa forma, os pesquisadores passaram a, continuamente, monitorar as suas operações e identificaram cerca de 195.000 mil domínios e IPs que foram comprometidos. O denominador comum entre estes sites comprometidos, é que eles estão executando o software vulnerável de CMS como WordPress, Joomla e Drupal.


Nesta entrada, será discutido como os administradores de sites podem verificar se o seu site está comprometido, e consequentemente, faz parte da botnet Stealrat. O primeiro e mais importante passo, é verificar os scripts de spam que são comumente encontrados nesse cenário, nomeadamente sm13e.php ou sm14e.php . Mas note que esses scripts podem mudar em termos de nome do arquivo, por isso seria melhor verificar qualquer arquivo PHP desconhecido.


Outra maneira de verificar a presença do arquivo malicioso PHP, é fazendo a busca de qualquer dos seguintes textos nos códigos:

• die (PHP_OS.chr (49). chr (48). chr (43). md5 (0987654321)
• die (PHP_OS.chr (49). chr (49). chr (43). md5 (0987654321)

Para aqueles que funcionam no Linux, você pode procurar a string usando o grep command grep "die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321" /path/to/www/folder/, while for Windows it’scontent:"die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321".


Saiba Mais:

[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...ealrat-botnet/