Ein Backdoor-Mechanismus für die Verteilung von Tausenden von Piraten Themen und Plugins für Joomla, Wordpress, und Drupal CMS wurde vor kurzem in freier Wildbahn gesichtet. Die Entwickler haben festgestellt, dass CryptoPHP Hackerbetreiber haben es benutzt, um in C brechen&C (Zugsteuerung, Zugsicherung) Server und infizieren mehr als 23,000 von IP-Adressen mit der Bedrohung.
Backdoor Scope
Informationen über den Umfang der Bedrohung wird von der FOX IT-Sicherheitsunternehmen in Zusammenarbeit mit der Schweizer Sicherheits Blog Abuse.ch gesammelt, Shadow / https://www.shadowserver.org/wiki/, Spamhaus und Organisation. Nach der Analyse der aktivsten Server, Forscher festgestellt, dass die IP-Adressen, die in Kontakt sind, sie zu verringern, die Anzahl erreicht 16,786 November, 24th.
Man sollte im Hinterkopf haben, dass die Informationen möglicherweise nicht ganz richtig sein, aber. Die betroffenen Web-Server können verschiedene Websites hosten, sowie Malware, und kann mehrere Internet-Seiten einer Website, die tatsächlich ihre Zahl größer machen zu infizieren.
Die Analyse zeigt, dass die meisten der infizierten Adressen sind in den Vereinigten Staaten, Wissenswertes zu 8,657 infizierte IPs bisher. Der nächste Ort, mit deutlich geringerem Infektionen obwohl, ist Deutschland mit 2877 IPs.
Backdoor Varianten und Techniken
Über 16 verschiedene Versionen von CryptoPHP, Verbreitung Piraten Themen und Plug-ins für Content Management Systeme sind von Fox gesichtet IT so weit. Die erste bis September stammt, 2013 und die neueste ist CryptoPHP 1.0, am 12. November fand in diesem Jahr. Eine sehr interessante Sache passierte am letzten Sonntag (23rd November) - Viele der Bosheit Streuung Websites verschwunden, nur am Montag wieder erscheinen (24November), enthält die neue Version der Malware. Sie sind auch heute noch aktiv.
In einem Bericht zum Thema Fox IT Zustand, dass CryptoPHP verwendet eine Technik,, ähnlich dem eines Suchmaschinen verwenden, um Index Inhalt. Die Malware erkennt, wenn der Besucher der Seite ist ein Web-Crawler und injiziert einen Link oder einen Text in die betroffenen Seiten, Verwendung der Blackhat SEO Malware.
Die Blackhat SEO (Suchmaschinenoptimierung) ist eine Technik, wird in der Regel verwendet wird, um eine Website Rang zu erhöhen,, Umgehen der legitimen Suchmaschinen-Regeln. Als Verstoß gegen die besten Suchmaschinen-Praktiken zu verbieten der Website führen, Verwendung der Blackhat SEO.
Wer ist es?
Die Forscher glauben, dass die Person,, hinter diesem Angriff sitzt in Chisinau, Hauptstadt der Republik Moldau. Dies steht auf der Tatsache, dass ein Benutzername ” chishijen12″ wurde festgestellt,, wobei seine IP in der Republik Moldau und dass seit Dezember aktiv basiert, 2013. Der Benutzer kann sich hinter VPN oder einen Proxy versteckt werden, Natürlich.
Es ist auch bekannt, dass die Malware benutzt einen öffentlichen RSA-Sicherheitsschlüssel für die Verschlüsselung der Kommunikation zwischen dem Opfer und dem Steuer & Befehlsserver. Wenn der Server heruntergenommen, die Kommunikation per E-Mail weiter. Wenn das nach unten als auch geschlossen, Backdoor kann manuell ohne C gesteuert werden&C-Server.
Fox IT haben zwei Python-Skripte erstellt für die Nutzer, um festzustellen, ob sie Backdoor. Beide sind auf der File-Sharing-Plattform GitHub hochgeladen. Einer von ihnen ist für die Bestimmung, ob die Bedrohung haben, die andere, alle Ihre Dateien zu scannen. Dazu gehören das Entfernen zusätzlicher Verwaltungskonten und Entfernen veralteter Zertifikate.
Obwohl diese Verfahren sollten reichen, Forscher empfehlen, mit einem sauberen CMS Kopie, nur sicherstellen, dass Sie nicht über ein Backdoor.