Casa > Cyber ​​Notizie > Meccanismo backdoor che diffonde temi pirata per sistemi CMS come Joomla, WordPress, e Drupal
CYBER NEWS

Backdoor meccanismo di diffusione pirata Temi per sistemi CMS come Joomla, WordPress, e Drupal

back-door-cryptophpUn meccanismo Backdoor per la distribuzione di migliaia di temi pirata e plug-in per Joomla, WordPress, e Drupal CMS è stata recentemente avvistata in natura. Gli sviluppatori hanno scoperto che gli operatori degli hacker CryptoPHP hanno utilizzato per rompere in C&C (il controllo e il comando) server e infettare più di 23,000 di indirizzi IP con la minaccia.

Scope Backdoor

Informazioni sulla portata della minaccia viene raccolto dalla società di sicurezza informatica FOX, in collaborazione con il blog svizzero sicurezza Abuse.ch, Shadowserver / https://www.shadowserver.org/wiki/, e l'organizzazione Spamhaus. Dopo aver analizzato i server più attivi, i ricercatori hanno notato che gli indirizzi IP che li stanno contattando diminuiscono, il numero di raggiungere 16,786 novembre, 24th.
Si dovrebbe avere presente che l'informazione non può essere del tutto corretto anche se. I server web colpiti possono ospitare vari siti web, così come il malware, e può infettare diverse pagine web di un sito web che in realtà potrebbero rendere il loro numero maggiore.

L'analisi mostra che la maggior parte degli indirizzi infetti sono negli Stati Uniti, sapere su 8,657 IP infetti finora. Il prossimo luogo, con infezioni molto minore però, è la Germania con 2877 IP.

Backdoor Varianti e Tecniche

Su 16 varie versioni di CryptoPHP, diffondere temi pirata e plug-in per i sistemi di gestione dei contenuti sono stati avvistati da Fox IT finora. Il primo risale a settembre, 2013 e l'ultima è CryptoPHP 1.0, trovato il 12 novembre di quest'anno. Una cosa molto interessante è accaduto Domenica scorsa (23rd novembre) - Molti dei siti-malice diffusione scomparsi, solo per apparire di nuovo il Lunedi (24novembre), contenente la nuova versione del malware. Sono ancora in fase attiva oggi.

In un rapporto sul tema dello stato di Fox IT che CryptoPHP utilizza una tecnica, simile a quello di ricerca motori uso al contenuto Indice. Il malware rileva se il visitatore della pagina è un web crawler e inietta un link o un testo nelle pagine colpite, utilizzando il malware Blackhat SEO.
Il Blackhat SEO (Search Engine Optimization) è una tecnica che viene normalmente utilizzato per aumentare un rango sito, scavalcando le legittime regole dei motori di ricerca. Essere in violazione delle migliori pratiche dei motori di ricerca può portare alla messa al bando del sito, utilizzando il Blackhat SEO.

Chi è?

I ricercatori pensano che la persona, in piedi dietro questo attacco si basa in Chisinau, Capitale della Moldova. Questo si trova sul fatto che un nome utente ” chishijen12″ è stato trovato, il suo IP è basata in Moldova e di essere attivi da dicembre, 2013. L'utente può essere nascosto dietro VPN o un proxy, naturalmente.

È anche noto che il malware utilizza una chiave di sicurezza pubblica RSA per cifrare la comunicazione tra la vittima e controllo & server di comando. Se il server è deposto, la comunicazione continua via email. Se questo è spegnere pure, Backdoor può essere controllato manualmente senza bisogno di C&Server di C.

Fox IT hanno creato due script Python per gli utenti di stabilire se hanno Backdoor. Entrambi sono caricati sulla piattaforma di condivisione di file GitHub. Uno di loro è per determinare se avete la minaccia, l'altro per la scansione di tutti i file. Essi comprendono la rimozione di account amministrativi aggiuntivi e la rimozione di certificati obsoleti.
Sebbene questi metodi dovrebbero essere abbastanza, ricercatori raccomandano utilizzando una copia pulita CMS, solo per assicurarsi che non si dispone di una Backdoor.

Berta Bilbao

Berta è un ricercatore di malware dedicato, sognare per un cyber spazio più sicuro. Il suo fascino con la sicurezza IT ha iniziato alcuni anni fa, quando un suo di malware bloccato del proprio computer.

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo