Resolución de problemas e instrucciones para el malware Brobot

Descripción del problema

Brobot o PHP Brobot es un virus troyano que puede infectar servidores web con Windows y Linux que proporcionan secuencias en PHP.  La mayoría de las infecciones son causadas por aplicaciones débiles de CMS (como instalaciones de Joomla o Wordpress desactualizadas o inseguras).  El troyano Brobot le brinda acceso a los atacantes, permitiéndoles incluir a su servidor en ataques de DDoS, así como incluir backdoors en su servidor para ejecutar otros comandos o recuperar información confidencial almacenada en el servidor.  Este troyano generalmente involucra a solo un sitio web afectado que aloja los archivos incluidos en la infección, que no indican un compromiso del sistema completo o un compromiso a nivel administrativo/root.

Plataformas afectadas

  • Servidores web con un intérprete de comandos en PHP

Requisitos para la resolución

  • Debe realizarse una búsqueda total del sistema de archivos infectados, ya que varios sitios podrían estar infectados, pero es posible que todavía no se hayan detectado.
  • Los archivos infectados deben modificarse o restaurarse a partir de una copia de seguridad.  Dado que los sitios infectados probablemente contengan otro contenido malicioso similar inyectado en páginas web legítimas, no solo debe eliminar los archivos infectados, ya que  podrían ser páginas web válidas que han sido modificadas por terceros sin su conocimiento.
  • Se deben tomar medidas adecuadas para evitar una nueva infección.

Recomendación para la resolución

Si no tiene una copia de seguridad de su sitio web, cree una por si algo sale mal mientras está solucionando este problema.

Quitar el material infectado

Puede usar el siguiente comando para ayudarlo a identificar las páginas web infectadas del sitio web en cuestión (si es necesario, cambie /home/*/public_html):

find /home/*/public_html/ -type f -regex ".*php" | xargs egrep -rl '(php.*eval\(gzinflate|base64_decode\(\$_REQUEST\[|eval\(base64_decode *\(|*md5\(md5 *\()'

Busque también el archivo php.class.php en /tmp, /var/tmp y /dev/shm. Esta secuencia de comandos evita una futura infección al cargar archivos en el servidor.

Quitar el vector utilizado para infectar el material

Es importante que no solo elimine el contenido del ataque de malware, sino también que identifique y arregle la vulnerabilidad que permitió que esos contenidos se colocaran en su sitio. Una vez que haya limpiado el contenido ofensivo del sitio, corrija las vulnerabilidades que pudieron haber permitido que esto suceda.

  • Software o sistema de administración de contenidos (CMS) vulnerables

Le pedimos que revise todas las versiones de software y las aplicaciones web que se ejecutan en el servidor para verificar que están al día o se hayan actualizado con los últimos parches de seguridad. Algunas de estas aplicaciones son Apache, paneles de control (Plesk, cPanel) o CMS de sitios web (Joomla!, Wordpress, Drupal) incluidos los complementos, los módulos y/o los temas. https://kb.iweb.com/hc/es/articles/230267528

  • Permisos a archivos/carpetas inseguros

Los archivos y/o carpetas del contenido de su sitio web no deben tener permisos totales de lectura y escritura para todo el mundo. La mayoría de los archivos solo requieren permisos de 644 (-rw-r--r--) y los directorios generalmente solo requieren permisos de 755 (-rwxr-xr-x). Asegúrese de comprobar la propiedad de estos archivos y directorios.

  • Contraseñas débiles o robadas (incluidas las cuentas de FTP y de SSH)

Asegúrese de aplicar una política de contraseñas seguras y cambie todas las contraseñas de la cuenta afectada. No utilice contraseñas predeterminadas. Como mínimo, una contraseña debe contener tanto mayúsculas como minúsculas, así como al menos un número, y no debe basarse en una palabra del diccionario. Le recomendamos que instale un software de detección de intrusos (como ConfigServer Security & firewall o Fail2Ban) para proteger su cuenta contra ataques bruteforce.

  • Archivos .htaccess  modificados u otros archivos maliciosos

A menudo, se cargan archivos en el sitio web como backdoors en php, php mailers o archivos php que tienen un código JavaScript o Iframe malicioso. Estos códigos deben eliminarse.

  • También revise todos los archivos modificados recientemente en el contenido del sitio web y cualquier otro tipo de archivo en las carpetas afectadas u otras carpetas vulnerables.
  • Otra recomendación es instalar Maldet (LMD) y Clamav y analizar regularmente todos los sitios web y sus directorios /var y /dev/shm.
  • A veces, investigar el archivo access_log puede proporcionar información útil sobre el ataque.

También le invitamos a leer el artículo "Mejores prácticas para proteger los servidores y la infraestructura de TI (28 recomendaciones)".

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk