CryptPHP PHP Malware Attack

Apabila tiba-tiba IP masuk dalam database spamhaus, maka patut ditindaklanjuti karena kini sedang marak serangan malware dari CryptPHP PHP. Bagaimana menindaklanjuti CryptPHP PHP ini? berikut langkahnya:

Cek IP di http://www.spamhaus.org/

Apabila ip kita masuk dalam list, silakan untuk klik link informasi yang diberikan spamhaus

Script findbot

findbot.pl merupakan script perl yang dibuat untuk mencari file yang telah terinfeksi dari malware CryptPHP PHP, selain itu juga bisa mencari file-file seperti r57shell, cryptphp dst.

Pastikan perl telah terinstal dengan baik

Download findbot.pl :

wget http://cbl.abuseat.org/findbot.pl

Jalankan perintah:

perl findbot.pl -c

Find Command

find /home/ -name "social*.png" -exec grep -q -E -o 'php.{0,80}' {} \; -exec chmod 000 {} \; -print

Setelah dipastikan dari 3 cara diatas telah ditempuh dengan maksimal, maka wajib untuk lakukan delist IP dari spamhaus supaya IP server kita tidak berada terus dalam list spamhaus.

Sumber: cpanelku.net