CryptoPHP infiziert Joomla, WordPress und Co

Von dem hinterlistigen Schadcode sind besonders die Betreiber von Content-Management-Systemen (CMS) wie Joomla, WordPress und Drupal betroffen.

CybercrimeWas an dem Schadcode besonders gefährlich ist und mit welchen Maßnahmen das Problem behoben wird, stellen wir euch in unserem Beitrag vor.

Die Gefahr geht hierbei von installierbaren Addons, Plugins und Themes aus, die aus nicht vertrauenswürdigen Quellen stammen. Hacker haben die in der Regel illegalen Raubkopien mit PHP-Schadcode versehen. Dadurch wollen sie die Server ihrer Opfer zu ihrem Botnetz hinzufügen.

Ein Botnetz besteht aus einem Netzwerk aus Rechnern, deren Ressourcen für eine spezielle Aufgabe gebündelt werden. Dabei werden die einzelnen Bots von einem sogenannten „Command & Control Server“ kontrolliert. Diese Technik wurde ursprünglich für legale Anwendungszwecke entwickelt. Heutzutage wird sie jedoch vermehrt in Hackerkreisen verwendet, ohne dass die Besitzer der gekaperten Rechner davon Kenntnis erlangen.

Die Sicherheitsfirma Fox-IT hat dieses Problem entdeckt und genauer analysiert. Das CryptoPHP Botnetz dient in erster Linie der Manipulation von Suchergebnissen zugunsten unseriöser Webseiten.
Der eigentliche Schadcode ist in einem PNG-Bild für einen Social Media Button versteckt, das oftmals den Namen social.png trägt. Dieses PNG lädt im PHP-Skript der installierten CMS-Erweiterung über eine Include-Anweisung (include(“images/social.png“); ) unauffällig nach.
Das Nachladen eines PNG-Bildes in einem PHP-Skript macht programmiertechnisch keinen Sinn. Daher sollten alle Alarmglocken läuten, wenn sich ein derartiger Code in einer der Dateien befindet.
Fox-IT stellt zur Überprüfung der Server ein Skript zur Verfügung.

Was jetzt zu tun ist

Sollte das System mit CryptoPHP infiziert sein, empfiehlt sich eine vollständige Neuinstallation des Servers, da man nie weiß, welche weiteren Veränderungen am System durch die Schadsoftware noch durchgeführt wurden. Wer zu diesem Schritt greift, sollte vorher alle notwendigen Dateien sichern. Besonderes Augenmerk verdienen dabei die (MySQL-)Datenbanken mit den gesamten Inhalten der CMS-Seiten. Sie werden häufig bei der Datensicherung vergessen. Sollten bei der Bereinigung des Systems Probleme auftauchen, empfiehlt es sich professionelle Unterstützung von einem erfahrenen Systemadministrator oder einen anderen Techniker einzukaufen.

Vor CryptoPHP kann man sich nur schützen, indem keine Addons, Plugins oder Themes aus Quellen bezogen werden, die unseriös wirken oder gar teure Erweiterungen renommierter Anbieter verdächtig günstig oder gar kostenlos anbieten. Dies gilt auch für hier nicht explizit genannte Systeme, da theoretisch CryptoPHP an jedes auf PHP basierende System angepasst werden kann.


Weitere Artikel zum Thema lesen

Schutz vor Trojanern

IT Security

Ransomware – Wie kann man sich schützen?

So funktioniert das lukrative Geschäft mit der Erpressung in der digitalen Welt.

weiter lesen

Weniger Bugs – Tipps zum Fehlermanagement im Softwarebereich

IT Security

Weniger Bugs – Tipps zum Fehlermanagement im Softwarebereich

Thomas Wittbecker darüber, wieso es keine absolute Sicherheit vor Software-Bugs geben kann.

weiter lesen

Schutz vertraulicher Daten durch Verschlüsselung von Festplatten

Biz & Trends, IT Security

Schutz vertraulicher Daten durch Verschlüsselung von Festplatten

Diesmal beschäftigen wir uns mit der Verschlüsselung von Festplatten, wenn es darum geht, sensible Daten zu schützen.

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.