Bersihkan Server dari Malware CryptoPHP
Last updated onCategory : Mail server , Server dan security
Apa itu Malware CryptoPHP ?
CryptoPHP merupakan malware yang dapat memaksa sebuah server melakukan tindakan spamming dan tindakan ilegal lain dengan bantuan dari script-script populer seperti WordPress, Joomla, Drupal dan lain-lain. Metode yang digunakan oleh CryptoPHP untuk dapat masuk ke dalam sebuah server adalah dengan cara menyisipi script bajakan dan gratis pada theme.plugin dan lain-lain. Pembuat malware CryptoPHP memasukkan script mereka ke dalam script bajakan atau gratis tersebut ketika mereka menguploadnya di internet sehingga ketika para user menggunakan script tersebut dan mengupload ke website mereka, maka script tersebut akan menginfeksi website dan memaksa server untuk melakukan komunikasi dengan cara melakukan mass email.
Jika pemilik server atau vps membiarkan hal tersebut maka dapat dipastikan IP yang Anda gunakan untuk pengiriman email (mail server) akan diblokir oleh banyak antispam dan tentu Anda tidak dapat mengirimkan email kemanapun jika telah diblokir. Selain itu, jika Anda adalah pengguna VPS, maka hal tersebut jika dibiarkan akan berdampak pada suspend dan pembatalan vps dari layanan penyedia vps Anda karena akan dianggap sebagai mass email.
Cara membersihkan Malware CrytoPHP dari server Anda:
Malware CryptoPHP dapat di identifikasi dengan nama social.png. Pembuat malware tersebut memberi nama social.png untuk menjalankan script mereka guna mengelabui firewall dan juga system administrator untuk mendeteksi malware tersebut.
Bingo!!! social.png bukanlah nama file gambar, melainkan script php dari Malware CryptoPHP. Hal ini karen penamaan nama file di sistem unix tidaklah berarti yang artinya meski memiliki nama .png, maka file tersebut berisi perintah php dan dapat dieksekusi.
Untuk membersihkannya, silahkan jalankan perintah berikut untuk menemukan semua file social.png
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
#find /home/ -name "social*.png" -exec grep -E -o 'php.{0,80}' {} \; -print[/pastacode]
Setelah Anda menemukannya, maka pastikan Anda menghapus semua file tersebut agar server Anda terbebas dari CryptoPHP.
Cara lain juga dapat digunakan dengan memanfaat script scanning dari Fox-IT yang mampu mendeteksi malware CryptoPHP meski memiliki nama yang berbeda (bukan social.png). Silahkan download script tersebut dengan perintah:
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
#wget https://github.com/fox-it/cryptophp/blob/master/scripts/check_filesystem.py[/pastacode]
Setelah itu, buatlah script tersebut executable dengan perintah:
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
#chmod +x check_filesystem.py[/pastacode]
Setelah selesai, jalankan perintah berikut untuk melakukan scanning di semua direktori home anda:
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
#./check_filesystem.py /home[/pastacode]
Setelah selesai, cek dan hapuslah semua file yang dideteksi sebagai CryptoPHP di server atau VPS Anda.
Ingin tahu lebih banyak tentang CryptoPHP atau permasalahan lain pada server, jangan ragu untuk mengontak kami melalui form berikut:
