Een spambot die gehackte websites en geïnfecteerde computers gebruikt voor het versturen van spam heeft inmiddels 195.000 domeinen en IP-adressen gecompromitteerd. Het gaat met name om websites die kwetsbare versies van de WordPress, Joomla en Drupal contentmanagementsystemen (CMS) gebruiken.
De spamoperatie begint met een besmette Windowsgebruiker, die vanaf een spamserver allerlei spamgegevens downloadt, zoals template en e-mailadressen. De computer stuurt de data vervolgens door naar de gehackte websites, die de spam uiteindelijk versturen.
Webmasters die willen controleren of de spamscripts op hun domein of website actief zijn, moeten volgens het Japanse anti-virusbedrijf Trend Micro zoeken naar de bestanden sm13e.php of sm14e.php, hoewel de naam kan veranderen.
Een andere mogelijkheid is om te zoeken naar de strings 'die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)' en ´die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)'. Zodra de spamscripts worden ontdekt krijgen webmasters het advies die te verwijderen en hun CMS te updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.