image

Meer dan 23.000 websites slachtoffer van backdoor

woensdag 26 november 2014, 16:13 door Redactie, 8 reacties

Meer dan 23.000 websites zijn slachtoffer van de CryptoPHP-backdoor geworden die zich via illegale plug-ins voor contentmanagementsystemen (cms) zoals WordPress, Joomla en Drupal verspreidt. Het gaat hierbij om betaalde plug-ins die zo zijn aangepast dat ze geen licentiesleutel meer vereisen en daardoor gratis kunnen worden gebruikt. Deze zogeheten "nulled scripts" zijn vergelijkbaar met illegale software.

In het geval van CryptoPHP ging het om duizenden plug-ins en thema's die van een backdoor waren voorzien waardoor een aanvaller toegang tot de webserver kan krijgen. Vorige week kwam het Delftse beveiligingsbedrijf Fox-IT met een rapport (PDF) over CryptoPHP. In eerste instantie kon nog niet worden gezegd hoeveel websites er met de backdoor besmet waren. Onderzoekers slaagden erin om de Command & Control-domeinen van CryptoPHP in handen te krijgen en konden zo zien hoeveel websites er verbinding probeerden te maken. In totaal werden 23.693 IP-adressen waargenomen.

Beveiligingsonderzoeker Yonathan Klijnsma van Fox-IT merkt op dat deze aantallen geen duidelijk beeld geven, omdat de webservers die met de domeinen verbinding maakten vaak "shared hosting" omgevingen waren, waarbij tenminste één of meerdere websites van een backdoor waren voorzien. "Dit houdt in dat het aantal getroffen websites hoger zal zijn." Voor beheerders zijn er nu twee Python-scripts gemaakt waarmee het mogelijk is om de aanwezigheid van CryptoPHP te detecteren. In het geval de backdoor wordt aangetroffen krijgen beheerders het advies om het cms opnieuw te installeren.

Reacties (8)
26-11-2014, 16:55 door sassonie
Ik ben blij met de scripts. Helaas krijg ik een foutmelding.

./check_filesystem.py: 6: ./check_filesystem.py: Syntax error: newline unexpected

Zijn er meer mensen met dit probleem?

Groet en bedankt
26-11-2014, 17:16 door Anoniem
Door sassonie: Ik ben blij met de scripts. Helaas krijg ik een foutmelding.

./check_filesystem.py: 6: ./check_filesystem.py: Syntax error: newline unexpected

Zijn er meer mensen met dit probleem?

Groet en bedankt

doe eens: cat check_filesystem.py? misschien is hij niet goed gedownload.

Ander proberen direct te draaien met Python: python check_filesystem.py
26-11-2014, 18:49 door [Account Verwijderd] - Bijgewerkt: 26-11-2014, 18:50
[Verwijderd]
27-11-2014, 08:04 door B3am
WordPress gebruikers kunnen ook met de nieuwste (gratis) versie van de security plugin Wordfence hun site scannen:

"However with the detection we just added, Wordfence will detect the ‘include’ directive above in your PHP source, so even if you haven’t enable image-file scanning, you will still catch all known variants of this infection provided you are running the newest version of Wordfence."
27-11-2014, 08:15 door Anoniem
Door Krakatau:
Door sassonie: Ik ben blij met de scripts. Helaas krijg ik een foutmelding.

./check_filesystem.py: 6: ./check_filesystem.py: Syntax error: newline unexpected

Zijn er meer mensen met dit probleem?

Groet en bedankt

MSDOS carriage return, linefeed, in plaats van UNIX linefeed only? (In het script bestand bedoel ik, wat je misschien onder Windows hebt opgeslagen met CRLF en daarna naar Linux overgezet.)

Ik heb de link direct opgeslagen naar mijn linux machine. Er is geen windows aan te pas gekomen.
Daarna chmod +x gedaan en script gedraaid. Ook geprobeerd met python ./check_filesystem.py maar helaas.
Ik ga wel even aan de slag met Wordfence en hoop dat ik het scriptje aan de praat krijg.

Thx
27-11-2014, 08:34 door sassonie
Ik heb de link direct opgeslagen naar mijn linux machine. Daarna een chmod +x gedaan.
Zowel met python ervoor als zonder en als user en root geprobeerd. Helaas.

Ga in ieder geval even aan de slag met Wordfence. Thx voor de tip.
27-11-2014, 08:44 door Anoniem
Door sassonie: Ik heb de link direct opgeslagen naar mijn linux machine. Daarna een chmod +x gedaan.
Zowel met python ervoor als zonder en als user en root geprobeerd. Helaas.

Ga in ieder geval even aan de slag met Wordfence. Thx voor de tip.

Je moet oppassen als je iets download van Github dat je wel de Raw versie download, anders download je de HTML versie en die kan je natuurlijk niet uitvoeren.
27-11-2014, 10:38 door sassonie
Door Anoniem:

Je moet oppassen als je iets download van Github dat je wel de Raw versie download, anders download je de HTML versie en die kan je natuurlijk niet uitvoeren.

Thanks Anoniem, dat deed het hem. Gewoon de zip downloaden. Stom.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.