Waspada infeksi CryptoPHP

Baru – baru ini saya membaca tentang adanya script backdoor bernama CryptoPHP yang bisa digunakan membajak dan mengendalikan website juga server hostingnya. Asal script ini dari theme dan plugin premium yang dibagikan secara “gratis”, jadi singkatnya kalau anda mendapatkannya secara ilegal (warez, nulled, bajakan) maka ada kemungkinan sudah terinfeksi oleh CryptoPHP. Ini berlaku untuk CMS populer seperti WordPress, Drupal dan Joomla. Waspadalah!

Tujuan CryptoPHP dari pengamatan para ahli keamanan sementara baru difungsikan untuk melakukan kegiatan SEO (Search Engine Optimization) ilegal. Kurang lebih untuk menyisipkan link dan menyebarkan spam.

Solusinya bagi pemilik website adalah menghapus seluruh template dan plugin bajakan yang digunakan, atau sekalian saja dibersihkan seluruhnya dan install ulang kembali CMSnya.

Bagaimana cara mengetahuinya kalau server kita telah terinfeksi? Maka silahkan ketikkan perintah berikut didalam Shell anda untuk mencari filenya:

find -L / -type f -name ‘social.png’ -exec file {} +

Dan kalau muncul hasilnya semacam ini:

/tmp/social.png: PHP script text

Maka server anda berhasil diinfeksi oleh CryptoPHP, dan sangat disarankan untuk segera dihapus.

Kalau anda penasaran kenapa kita mencari file gambar png, ini dikarenakan CryptoPHP menyamarkan diri menjadi file PNG tapi aslinya adalah script PHP. Di Linux jenis file tidak dikenali dari apa ekstensinya, jadi memang berbeda dari yang sudah biasa menggunakan Windows.

Untuk mencegah hal serupa terjadi di masa depan maka biasakanlah menggunakan software secara legal dan tidak tergoda untuk membajaknya. Minimal janganlah digunakan secara nyata di internet. 😉

Semoga anda belum menjadi korban.

2 pemikiran pada “Waspada infeksi CryptoPHP

  1. find: File system loop detected; `/proc/19919/task/20032/root' is part of the same file system loop as `/'.

    kalau munculnya seperti di atas gimana tuh bro? trus2 msg nya..
    info pls

Tinggalkan komentar