Eind vorige week dook er plotseling een nieuwe malware op genaamd CryptoPHP. Zo wist deze malware binnen de kortste keren meer dan 23.000 websites te besmetten. Zo heeft beveiligingsbedrijf FoxIT twee python-scripts uitgebracht waarmee de site-beheerders de aanwezigheid van de malware op hun website kunnen detecteren.
Het beveiligingsbedrijf laat vandaag weten dat er in ons land meer dan duizend websites zijn getroffen door de malware. CryptoPHP richtte zich vooral op populaire betaalde thema’s voor blogs die draaien op Joomla, Drupal en WordPress. Volgens FoxIT zijn duizenden plug-ins en thema’s voor de populaire cms’en in omloop. Sitebeheerders werden verleid met gratis illegale versies van de add-ons. Het doel van de malware was om de zoekresultaten van websites te beïnvloeden, een techniek die blackhat seo wordt genoemd.
Sinkhole
FoxIT is op zoek gegaan naar de ip-adressen waarmee CryptoPHP contact legde en wist deze dan ook te achterhalen. Toen via sinkholing waarbij ze de malware omleiden naar een door FoxIT opgezette server, kon FoxIT het bedrijf de activiteiten van de malware nauwgezet volgen.
Zo maakten in totaal 23.693 ip-adressen contact met de sinkholes. Maar het aantal daadwerkelijk besmette websites ligt nog hoger, shared hosting-sites waarvan minstens één website besmet was ook verbinden maakten.
Oplossing
De meeste besmettingen hebben plaatsgevonden in de VS, maar ook Duitsland kent veel getroffen sites. In Nederland zijn volgens FoxIT 1008 ip-adressen die contact maakten met de sinkhole. FoxIT heeft twee Python-scripts uitgebracht waarmee de malware te detecteren is en heeft daarnaast een stappenplan opgezet dat je kunt volgen om van CryptoPHP af te komen.
Minstens 23.000 sites getroffen door CryptoPHP-malware
Geen opmerkingen:
Een reactie posten