Menü
Ein Beitrag von Adacor

CryptoPHP infiziert Joomla, WordPress und Co

Von dem hinterlistigen Schadcode sind besonders die Betreiber von Content-Management-Systemen (CMS) wie Joomla, WordPress und Drupal betroffen.

CybercrimeWas an dem Schadcode besonders gefährlich ist und mit welchen Maßnahmen das Problem behoben wird, stellen wir euch in unserem Beitrag vor.

Die Gefahr geht hierbei von installierbaren Addons, Plugins und Themes aus, die aus nicht vertrauenswürdigen Quellen stammen. Hacker haben die in der Regel illegalen Raubkopien mit PHP-Schadcode versehen. Dadurch wollen sie die Server ihrer Opfer zu ihrem Botnetz hinzufügen.

Ein Botnetz besteht aus einem Netzwerk aus Rechnern, deren Ressourcen für eine spezielle Aufgabe gebündelt werden. Dabei werden die einzelnen Bots von einem sogenannten „Command & Control Server“ kontrolliert. Diese Technik wurde ursprünglich für legale Anwendungszwecke entwickelt. Heutzutage wird sie jedoch vermehrt in Hackerkreisen verwendet, ohne dass die Besitzer der gekaperten Rechner davon Kenntnis erlangen.

Die Sicherheitsfirma Fox-IT hat dieses Problem entdeckt und genauer analysiert. Das CryptoPHP Botnetz dient in erster Linie der Manipulation von Suchergebnissen zugunsten unseriöser Webseiten.
Der eigentliche Schadcode ist in einem PNG-Bild für einen Social Media Button versteckt, das oftmals den Namen social.png trägt. Dieses PNG lädt im PHP-Skript der installierten CMS-Erweiterung über eine Include-Anweisung (include(“images/social.png“); ) unauffällig nach.
Das Nachladen eines PNG-Bildes in einem PHP-Skript macht programmiertechnisch keinen Sinn. Daher sollten alle Alarmglocken läuten, wenn sich ein derartiger Code in einer der Dateien befindet.
Fox-IT stellt zur Überprüfung der Server ein Skript zur Verfügung.

Was jetzt zu tun ist

Sollte das System mit CryptoPHP infiziert sein, empfiehlt sich eine vollständige Neuinstallation des Servers, da man nie weiß, welche weiteren Veränderungen am System durch die Schadsoftware noch durchgeführt wurden. Wer zu diesem Schritt greift, sollte vorher alle notwendigen Dateien sichern. Besonderes Augenmerk verdienen dabei die (MySQL-)Datenbanken mit den gesamten Inhalten der CMS-Seiten. Sie werden häufig bei der Datensicherung vergessen. Sollten bei der Bereinigung des Systems Probleme auftauchen, empfiehlt es sich professionelle Unterstützung von einem erfahrenen Systemadministrator oder einen anderen Techniker einzukaufen.

Vor CryptoPHP kann man sich nur schützen, indem keine Addons, Plugins oder Themes aus Quellen bezogen werden, die unseriös wirken oder gar teure Erweiterungen renommierter Anbieter verdächtig günstig oder gar kostenlos anbieten. Dies gilt auch für hier nicht explizit genannte Systeme, da theoretisch CryptoPHP an jedes auf PHP basierende System angepasst werden kann.

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Beim Monitoring der Infrastruktur setzt ADACOR auf Nagios und Bacula

Hosting, IT Security

Beim Monitoring der Infrastruktur setzt ADACOR auf Nagios und Bacula

24/7 Monitoring der Infrastruktur und sicheres Backup sorgen für eine hohe Verfügbarkeit der Server-Infrastruktur.

weiter lesen

Nur ein Viertel verwenden Passwort-Manager

Biz & Trends, IT Security

Nur ein Viertel verwenden Passwort-Manager

Passwort-Safes sind eine bequeme und sichere Lösung für die verschlüsselte Verwaltung von Kennwörtern für Webanwendungen.

weiter lesen


Neueste Nachrichten von Adacor

IT Security

Risikomanagement als Mehrwert für Unternehmen sehen

Wie Sie das Zusammenspiel von ISMS und IKS für sich nutzen können.

weiter lesen

Cloud

AWS, Azure und Co.: Brauchen Sie wirklich eine große Public-Cloud?

Das Angebot großer Public Clouds klingt für viele Unternehmen verlockend. Eine Private Cloud kann jedoch die ökonomisch sinnvollere Lösung sein.

weiter lesen

Biz & Trends

Was ist eigentlich Digitalisierung?

Der Begriff „ Digitalisierung“ weist viele Facetten auf. Die Aufteilung in Bereiche bringt jedoch Klarheit.

weiter lesen