It-säkerhet

It-säkerhet

Crypto PHP Lömsk skadlig kod har infekterat tiotusentals servrar

It SäkerhetsnyheterSkapad av J. Halex fre, november 28, 2014 21:01:21

Den skadegöraren är dolt i pirat teman och plugin-program för content management system Drupal, Wordpress och Joomla. När smittade, är servern del av ett botnät, manipulerade sökning ranking. Till nackdel för din egen webbplats.

Tiotusentals webbservrar är infekterade med skadlig PHP-kod som distribueras över pirat teman och plugins för content management system (CMS) som Drupal, Wordpress eller Joomla. När smittade av CryptoPHP, ansluter sig till webbservern i ett botnät. Dess Lömsk använder den infekterade servern för att förbättra sökresultat för oseriösa webbplatser på bekostnad av de smittade sidor, rapporterar bevakningsföretag Fox-IT. Även om den skadliga koden teoretiskt skulle kunna fungera i alla PHP baserade CMS dock skurkarna fokusera förmodligen på programvaran som nämns på grund av sin popularitet.

Drabbade mer än 23.000 servrar

Den bevakningsföretag Fox-IT, som upptäckte attacken, har kunnat eliminera många av de lednings servrar botnätet. De flesta av servrarna var belägna i Tyskland och Nederländerna (80%), med enstaka servrar i USA och en vardera i Polen. Inom en vecka efter Fox-IT hade publicerat de detaljer som Lömsk har svarat och anpassade till deras skadliga kod. Utifrån sina observationer av IP-adresser i kontrollservern, forskarna uppskattar att mer än 23.000 webbplatser är angripna. De skadedjur kommunicerar krypterad, vilket gör det svårare för forskare att få information om de systemen i erfarenhet att huset fortfarande den skadliga koden.

Beroende på den drabbade CMS ser infekterat tredje parts program subtilt annorlunda. Under hela den skadliga koden binder dock en include () - Uttalande påstådda PNG-fil. Om du tittar noga på detta PNG, upptäcker du att det faktiskt är kamouflerad PHP-kod. Fox-IT beskriver i sin detaljerad studie av exploatera (PDF) hur exakt du kan upptäcka infekterade teman och plug-ins. För detta ändamål har forskarna också ett skript som du kan testa din egen server för infektioner med CryptoPHP.

Särskilt lömsk aspekt av infekterade Wordpress installationer är det faktum att den skadliga koden skapade ett separat konto administratör så skurkarna fortfarande tillgång till servern, även om den faktiska skadlig kod har tagits bort.



  • Kommentarer(0)//itsakerhetsinformation.it-losningar-och-it-sakerhet.se/#post125