Rimuovere CryptPHP PHP malware – BlackList

Se il nostro server è stato inserito in blacklist per la presenza del “CryptPHP PHP malware”

è necessario eseguire alcune operazioni prima di “tentare” una rimozione del server dalla blacklist.
Innanzi tutto è necessario sapere che il CryptPHP PHP malware è solitamente nascosto in un file di nome “social.png”. Il nome del file è variabile (es. social01.png)  pertanto non può essere “cercato” per nome.
Il contenuto del files è sempre “criptato”.
esempio :

$this->SntMBKFkfTlUzXyNVQed = ‘—–BEGIN PUBLIC KEY—–
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB

I sistemi più attaccati sono quelli Linux, solitamente dove sono presenti installazioni di Joomla e WordPress.
Questo file “social*.png” è quasi sempre “posizionato” nelle cartelle dei temi grafici e/o di alcuni plugin.

La rimozione deve essere fatta sul server.
Su Linux è possibile analizzare il sistema con queste stringhe di ricerca più o meno simili (la seconda è più precisa):

find /home/ -name social.png -size 32k -exec rm -rf {} ;
find /home/ -type f -iname “social*.png” -exec grep -E -o ‘php.{0,80}’ {} ; -print

una volta identificati i files dovranno essere rimossi manualmente dalle posizioni indicate.

Per semplificare la rimozione è possibile installare un software Antivirus sul server.
Su server Windows, il files è riconosciuto (ad esempio) da Symantec Endpoint (vedi)

CryptoPHP Removal, Rimuovere CryptoPHP, Trovare file CryptoPHP, Come identificare CryptoPHP, Come rimuovere social.png CryptoPHP, CryptoPHP search windows folder