CryptoPHP infiziert Joomla, WordPress und Co

Von dem hinterlistigen Schadcode sind besonders die Betreiber von Content-Management-Systemen (CMS) wie Joomla, WordPress und Drupal betroffen.

CybercrimeWas an dem Schadcode besonders gefährlich ist und mit welchen Maßnahmen das Problem behoben wird, stellen wir euch in unserem Beitrag vor.

Die Gefahr geht hierbei von installierbaren Addons, Plugins und Themes aus, die aus nicht vertrauenswürdigen Quellen stammen. Hacker haben die in der Regel illegalen Raubkopien mit PHP-Schadcode versehen. Dadurch wollen sie die Server ihrer Opfer zu ihrem Botnetz hinzufügen.

Ein Botnetz besteht aus einem Netzwerk aus Rechnern, deren Ressourcen für eine spezielle Aufgabe gebündelt werden. Dabei werden die einzelnen Bots von einem sogenannten „Command & Control Server“ kontrolliert. Diese Technik wurde ursprünglich für legale Anwendungszwecke entwickelt. Heutzutage wird sie jedoch vermehrt in Hackerkreisen verwendet, ohne dass die Besitzer der gekaperten Rechner davon Kenntnis erlangen.

Die Sicherheitsfirma Fox-IT hat dieses Problem entdeckt und genauer analysiert. Das CryptoPHP Botnetz dient in erster Linie der Manipulation von Suchergebnissen zugunsten unseriöser Webseiten.
Der eigentliche Schadcode ist in einem PNG-Bild für einen Social Media Button versteckt, das oftmals den Namen social.png trägt. Dieses PNG lädt im PHP-Skript der installierten CMS-Erweiterung über eine Include-Anweisung (include(“images/social.png“); ) unauffällig nach.
Das Nachladen eines PNG-Bildes in einem PHP-Skript macht programmiertechnisch keinen Sinn. Daher sollten alle Alarmglocken läuten, wenn sich ein derartiger Code in einer der Dateien befindet.
Fox-IT stellt zur Überprüfung der Server ein Skript zur Verfügung.

Was jetzt zu tun ist

Sollte das System mit CryptoPHP infiziert sein, empfiehlt sich eine vollständige Neuinstallation des Servers, da man nie weiß, welche weiteren Veränderungen am System durch die Schadsoftware noch durchgeführt wurden. Wer zu diesem Schritt greift, sollte vorher alle notwendigen Dateien sichern. Besonderes Augenmerk verdienen dabei die (MySQL-)Datenbanken mit den gesamten Inhalten der CMS-Seiten. Sie werden häufig bei der Datensicherung vergessen. Sollten bei der Bereinigung des Systems Probleme auftauchen, empfiehlt es sich professionelle Unterstützung von einem erfahrenen Systemadministrator oder einen anderen Techniker einzukaufen.

Vor CryptoPHP kann man sich nur schützen, indem keine Addons, Plugins oder Themes aus Quellen bezogen werden, die unseriös wirken oder gar teure Erweiterungen renommierter Anbieter verdächtig günstig oder gar kostenlos anbieten. Dies gilt auch für hier nicht explizit genannte Systeme, da theoretisch CryptoPHP an jedes auf PHP basierende System angepasst werden kann.


Weitere Artikel zum Thema lesen

Einsatzszenarien von Flow Sampling

Cloud, Hosting, IT Security, IT-News

Einsatzszenarien von Flow Sampling

Flow Sampling ist essentiell beispielsweise zur Anaylse von Störungen oder Abrechnen von volumenbasierten Datenverkehr. In diesem Beitrag definieren wir Flow Sampling und welche Vorteile,...

weiter lesen

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Geschichte der ISO 27001

IT Security

Geschichte der ISO 27001

Die ISO 27001 ist der weltweit verwendete Standard zur Zertifizierung eines Informationssicherheitsmanagement- systems, kurz ISMS.

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.