Apa itu CryptoPHP?

Bahaya besar mengancam keamanan website anda bagi yang menggunakan tema atau plugin bajakan, dan ini berlaku untuk WordPress, Drupal, dan Joomla. Sering kita menemui template dan plugin premium (berbayar) dibagikan secara gratis (warez, nulled atau bajakan) di internet dan kita tinggal mendownloadnya saja untuk diinstall dalam CMS kita, dan ternyata inilah letak celahnya sehingga ditambahkan script baru yaitu CryptoPHP.

Dengan memasangkan theme atau plugin yang digratiskan tadi maka dalam website anda dan mungkin server hosting juga akan terdapat backdoor yang bisa digunakan oleh para hacker untuk mengendalikannya. Jadi ada kemungkinan besar website anda dibajak dan dijadikan penyedia virus kepada setiap pengunjungnya.

J_Alves / Virus / Public Domain
J_Alves / Virus / Public Domain

Dari penelitian ahli keamanan ditemukan kalau CryptoPHP ini digunakan oleh operatornya untuk melakukan kegiatan SEO (Search Engine Optimization) secara ilegal. Ini termasuk menyisipkan link dan spam.

CryptoPHP akan berkomunikasi terhadap server C2 (Command & Control) dengan enkripsi, mampu mendeteksi adanya usaha mematikannya, dan bisa mengupdate dirinya sendiri ke versi baru secara otomatis. Sungguh mengerikan kemampuannya.

Bagaimana cara mengatasinya? Solusinya cuma satu: Hapuslah seluruh theme dan plugin yang anda dapatkan secara ilegal. Biasakanlah mendapatkan script premium dengan membelinya, dan kalau tidak bisa maka carilah alternatif gratis tapi legal.

Untuk para system administrator ketikkan perintah berikut untuk mencari file berbahaya ini:
find -L / -type f -name ?social.png? -exec file {} +
Kalau memang server tersebut sudah terinfeksi maka akan muncul hasilnya seperti berikut:
/tmp/social.png: PHP script text
Pastikan kalau itu memang file gambar, di Linux tidak ada konsep ekstensi seperti di Windows. Jika memang positif ditemukan maka segera hapus file tersebut.

Tulis komentar...