Eingeschleust über illegal verwendete Themes und Plugins wurden offenbar massenhaft Installationen der beliebten CM-Systeme Drupal, Wordpress und Joomla kompromittiert.
Mit dem "CryptoPHP" getauften Schädling infizierte Server werden unbemerkt zum Teil eines Botnetzes, welches genutzt wird, um Suchergebnisse für dubiose Webseiten auf Kosten der infizierten Seiten zu verbessern, so die Sicherheitsfirma Fox-IT.
Den Experten besagter Firma ist es inzwischen gelungen, viele der Command and Control Server des Botnetzes auszuschalten. Aktuell wird von ca. 23.000 befallenen Webseiten ausgegangen, die meisten davon aus Deutschland und den Niederlanden.
Je nach betroffenem CMS äußert sich der Befall leicht anders. Gemein ist allerdings allen Fällen, dass der Schadcode über ein include()-Statement eine angebliche PNG-Datei einbindet. Bei genauerer Betrachtung wird klar, dass es sich dabei eigentlich um getarnten PHP-Code handelt. Fox-IT hat ein PDF veröffentlicht, indem genau erklärt wird, wie man infizierte Themes und Plugins entdecken kann.
Wer möchte kann alternativ auch ein bereitgestelltes Script verwenden, mit dem man den eigenen Server auf Infektionen mit CryptoPHP prüfen kann.
Besondere Vorsicht ist bei Wordpress geboten: CryptoPHP legt sich einen eigenen Admin-Account an und ermöglicht den Hintermännern so auch dann weiterhin Zugang zu der Webseite, wenn der eigentliche Schadcode bereits entfernt wurde.
Quelle: Heise.de
Mit dem "CryptoPHP" getauften Schädling infizierte Server werden unbemerkt zum Teil eines Botnetzes, welches genutzt wird, um Suchergebnisse für dubiose Webseiten auf Kosten der infizierten Seiten zu verbessern, so die Sicherheitsfirma Fox-IT.
Den Experten besagter Firma ist es inzwischen gelungen, viele der Command and Control Server des Botnetzes auszuschalten. Aktuell wird von ca. 23.000 befallenen Webseiten ausgegangen, die meisten davon aus Deutschland und den Niederlanden.
Je nach betroffenem CMS äußert sich der Befall leicht anders. Gemein ist allerdings allen Fällen, dass der Schadcode über ein include()-Statement eine angebliche PNG-Datei einbindet. Bei genauerer Betrachtung wird klar, dass es sich dabei eigentlich um getarnten PHP-Code handelt. Fox-IT hat ein PDF veröffentlicht, indem genau erklärt wird, wie man infizierte Themes und Plugins entdecken kann.
Wer möchte kann alternativ auch ein bereitgestelltes Script verwenden, mit dem man den eigenen Server auf Infektionen mit CryptoPHP prüfen kann.
Besondere Vorsicht ist bei Wordpress geboten: CryptoPHP legt sich einen eigenen Admin-Account an und ermöglicht den Hintermännern so auch dann weiterhin Zugang zu der Webseite, wenn der eigentliche Schadcode bereits entfernt wurde.
Quelle: Heise.de