Menü
Ein Beitrag von Adacor

CryptoPHP infiziert Joomla, WordPress und Co

Von dem hinterlistigen Schadcode sind besonders die Betreiber von Content-Management-Systemen (CMS) wie Joomla, WordPress und Drupal betroffen.

CybercrimeWas an dem Schadcode besonders gefährlich ist und mit welchen Maßnahmen das Problem behoben wird, stellen wir euch in unserem Beitrag vor.

Die Gefahr geht hierbei von installierbaren Addons, Plugins und Themes aus, die aus nicht vertrauenswürdigen Quellen stammen. Hacker haben die in der Regel illegalen Raubkopien mit PHP-Schadcode versehen. Dadurch wollen sie die Server ihrer Opfer zu ihrem Botnetz hinzufügen.

Ein Botnetz besteht aus einem Netzwerk aus Rechnern, deren Ressourcen für eine spezielle Aufgabe gebündelt werden. Dabei werden die einzelnen Bots von einem sogenannten „Command & Control Server“ kontrolliert. Diese Technik wurde ursprünglich für legale Anwendungszwecke entwickelt. Heutzutage wird sie jedoch vermehrt in Hackerkreisen verwendet, ohne dass die Besitzer der gekaperten Rechner davon Kenntnis erlangen.

Die Sicherheitsfirma Fox-IT hat dieses Problem entdeckt und genauer analysiert. Das CryptoPHP Botnetz dient in erster Linie der Manipulation von Suchergebnissen zugunsten unseriöser Webseiten.
Der eigentliche Schadcode ist in einem PNG-Bild für einen Social Media Button versteckt, das oftmals den Namen social.png trägt. Dieses PNG lädt im PHP-Skript der installierten CMS-Erweiterung über eine Include-Anweisung (include(“images/social.png“); ) unauffällig nach.
Das Nachladen eines PNG-Bildes in einem PHP-Skript macht programmiertechnisch keinen Sinn. Daher sollten alle Alarmglocken läuten, wenn sich ein derartiger Code in einer der Dateien befindet.
Fox-IT stellt zur Überprüfung der Server ein Skript zur Verfügung.

Was jetzt zu tun ist

Sollte das System mit CryptoPHP infiziert sein, empfiehlt sich eine vollständige Neuinstallation des Servers, da man nie weiß, welche weiteren Veränderungen am System durch die Schadsoftware noch durchgeführt wurden. Wer zu diesem Schritt greift, sollte vorher alle notwendigen Dateien sichern. Besonderes Augenmerk verdienen dabei die (MySQL-)Datenbanken mit den gesamten Inhalten der CMS-Seiten. Sie werden häufig bei der Datensicherung vergessen. Sollten bei der Bereinigung des Systems Probleme auftauchen, empfiehlt es sich professionelle Unterstützung von einem erfahrenen Systemadministrator oder einen anderen Techniker einzukaufen.

Vor CryptoPHP kann man sich nur schützen, indem keine Addons, Plugins oder Themes aus Quellen bezogen werden, die unseriös wirken oder gar teure Erweiterungen renommierter Anbieter verdächtig günstig oder gar kostenlos anbieten. Dies gilt auch für hier nicht explizit genannte Systeme, da theoretisch CryptoPHP an jedes auf PHP basierende System angepasst werden kann.


Weitere Artikel zum Thema lesen

Biz & Trends, IT Security

Standardisierte Protokollerstellung mit intranetbasierter Softwarelösung

Die Erstellung von Protokollen mittels webbasierten Software erlaubt es Arbeitsabläufe zu vereinfachen.

weiter lesen

Verschlüsselungsverfahren im Überblick

IT Security

Verschlüsselungsverfahren im Überblick

E-Mail-Verschlüsselung lohnt sich, wenn man sensible Daten digital übertragen möchte.

weiter lesen


Neueste Nachrichten von Adacor

OpenStack Cloud Module

Cloud

Von VMware zur Self Managed Cloud – OpenStack auf dem Prüfstand

Was leistet die Open-Source-Software OpenStack? Wo liegen ihre Grenzen?

weiter lesen

IT Security

EU-DSGVO stellt hohe Ansprüche an Datenschutz

Geforderte Maßnahmen der EU-DSGVO beginnen bei der Datenportabilität d.h. Wie Unternehmen informieren müssen und umfassen den Datenschutz durch Technikgestaltung.

weiter lesen

Nach der Cloud Foq-Computing

Biz & Trends

Eine Orientierung zum Fog-Computing

Nach dem Cloud-Computing kommt mit dem Fog-Computing ein neuer Trend in die IT.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.