Nesta entrada, será discutido como os administradores de sites podem verificar se o seu site está comprometido, e consequentemente, faz parte da botnet Stealrat. O primeiro e mais importante passo, é verificar os scripts de spam que são comumente encontrados nesse cenário, nomeadamente sm13e.php ou sm14e.php . Mas note que esses scripts podem mudar em termos de nome do arquivo, por isso seria melhor verificar qualquer arquivo PHP desconhecido.
Outra maneira de verificar a presença do arquivo malicioso PHP, é fazendo a busca de qualquer dos seguintes textos nos códigos:
- die (PHP_OS.chr (49). chr (48). chr (43). md5 (0987654321)
- die (PHP_OS.chr (49). chr (49). chr (43). md5 (0987654321)
Para aqueles que funcionam no Linux, você pode procurar a string usando o grep command grep "die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321" /path/to/www/folder/, while for Windows it’scontent:"die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321".
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...ealrat-botnet/