CryptPHP PHP Malware Attack

[galuh82]

kalo delist aja msh mudah bro... kemaren juga nyoba delist , 2 jam clear, hari ini kena lg ...

betul, acuannya tetep ke warning mereka

WARNING: If you continually delist 123.123.123.123 without fixing the problem, the CBL will eventually stop allowing the delisting of 123.123.123.123.

 

[BennyKusman]

Kalau saya scan ini banyak sekali om ben, bukan dari file gambar saja tapi banyak juga file lainnya, kalau di clear pasti bakal banyak web yang error, betul tidak ya?
Bingung saking banyak nya

web ga bakal error mas.. karena itu cuman file social*.png
kalau memang beneran file gambar, script nya ga bakal chmod kan, karena sudah pakai grep untuk cek jika file mengandung php

 

[junior riau]

Scanning ny run manual yaa,, mirip maldet, kebetulan kmi pkai maldet semua server, klo yg us pkai cxs kyknya cukup ampuh

 

[susan]

web ga bakal error mas.. karena itu cuman file social*.png
kalau memang beneran file gambar, script nya ga bakal chmod kan, karena sudah pakai grep untuk cek jika file mengandung php

kalau saya nggak pakai chmod langsung delete saja file social*.png yg mengandung php.

 

[jaapns]

Akhirnya saya pake perpaduan dari cara2 di atas ;

1. maldet ---> ketemu semuanya yg cryptoPHP selain delete penyebabnya asal muasalnya kebanyakan dari wordpress
setelah delete, chmod wp-admin,wp-content,wp-include ke 705, folder wp-contents/uploads di chmod 705
Sekalian optimasi chmod ke klien juga , index.php, blog-header dan wp-config chmod ke 400, htacess ke 404

2. Jalanin command nya benny

3. findbot.pl ini ga selesai sejak td pagi ....... waduh ..

delisted , semoga besok ga kambuh ....

 

[galuh82]

mantap, referensinya nambah

maldet ngandelin cron saja, kalau untuk findbot memang belum kelar ampe sekarang hehehe makanya yang pakai command find belum nyoba nunggu findbot

 

[IIXPLANET]

guys .. apa sudah ada info terbaru terkait malware ini kah
apa sudah keluar rules mod secnya

 

[galuh82]

guys .. apa sudah ada info terbaru terkait malware ini kah
apa sudah keluar rules mod secnya

kalau saya pake yang punyanya comodo, latest rule tapi nggak tau juga handle malware ini atau nggak .. ip server yang sebelumnya masuk list spamhaus, allhammdulillah sampai sekarang aman ..

FYI: tutorial sebelumnya sudah diupdate juga nambahin dari @BennyKusman http://www.cpanelku.net/cryptphp-php-malware-attack.html

 

[handris]

punyaku blm sembuh nih hehe. thanks teman-teman infonya

 

[PusatHosting]

Sementara ini saya belum menemukan malware CryptPHP dengan indikasi yg disebutkan diatas yaitu image social.png itu
yang saya temukan adalah file-file shell yang di encrypt base64 tidak ada file social.png dan stelah saya hapus kemudian melakukan reques whitelist RBL sekarang server kembali terwhitelist.

Jadi keterangan ketika lookup di Spamhaus yang menginformasikan CryptPHP rasanya kok tidak selalu benar.