woensdag 26 november 2014

Backdoor in duizenden illegale CMS-plug-ins en thema"s ontdekt





Uit onderzoek is gebleken dat in duizenden illegale plug-ins en thema’s voor content management systemen WordPress, Joomla en Drupal is er een backdoor ontdekt, waardoor aanvallers toegang tot de webserver krijgen. Dit meldt het Delftse beveiligingsbedrijf Fox-IT vandaag. Hoeveel websites er door de backdoor getroffen zijn kan het bedrijf niet zeggen, maar er wordt geschat dat het om een paar duizend gaat, maar mogelijk veel meer.


CryptoPHP (PDF), zoals de backdoor wordt genoemd, werd in illegale versies van commerciële CMS-plug-ins en thema’s aangetroffen. Het gaat hier om zogeheten ‘nulled’ scripts, vergelijkbaar met illegale software waar de licentiecontrole is verwijderd. “Kort samengevat, dit is piraterij”, aldus de onderzoekers. In totaal werden erop verschillende websites die de illegale CMS-uitbreidingen aanboden zestien varianten van de backdoor ontdekt, waarvan de eerste op 25 september 2013 verscheen.


Eigenschappen


Zo kan de malware zichzelf updaten en beschikt het dan ook over een back-up mechanisme in het geval de controleserver van de aanvallers niet meer bereikbaar is. Hierdoor krijgen de besmette webservers via e-mail instructies. Daarnaast voegt de malware ook een extra beheersaccount aan het CMS toe. Wanneer de backdoor ontdekt en verwijderd wordt zullen aanvallers toch toegang houden.


CryptoPHP wordt op gecompromitteerde websites en webservers gebruikt voor illegale zoekmachineoptimalisatie, ook bekend als ‘Blackhat SEO’. Doordat de gecompromitteerde websites naar de websites van de aanvallers linken, verschijnen deze websites weer hoger in de resultaten van zoekmachines.


In het geval webservers en websites met CryptoPHP zijn geïnfecteerd kunnen webmasters en beheerders als beste een schone installatie uitvoeren, zegt Joost Bijl van Fox-IT tegenover Security.NL. Als ‘quick fix’ kunnen beheerders verschillende stappen nemen, zoals het verwijderen van de link naar het bestand social.png, onbekende accounts verwijderen en het bestand social.png, aangezien dit de backdoor is.




Backdoor in duizenden illegale CMS-plug-ins en thema"s ontdekt

Geen opmerkingen:

Een reactie posten