image

Backdoor in duizenden illegale CMS-plug-ins en thema's ontdekt

donderdag 20 november 2014, 11:02 door Redactie, 4 reacties

In duizenden illegale plug-ins en thema's voor de contentmanagementsystemen (CMS) WordPress, Joomla en Drupal is een backdoor ontdekt, waardoor aanvallers toegang tot de webserver krijgen. Dat meldt het Delftse beveiligingsbedrijf Fox-IT vandaag. Hoeveel websites er door de backdoor zijn getroffen kan het bedrijf niet zeggen, maar er wordt geschat dat het om een paar duizend gaat, maar mogelijk meer.

CryptoPHP (PDF), zoals de backdoor wordt genoemd, werd in illegale versies van commerciële CMS-plug-ins en thema's aangetroffen. Het gaat hier om zogeheten 'nulled' scripts, vergelijkbaar met illegale software waar de licentiecontrole is verwijderd. "Kort samengevat, dit is piraterij", aldus de onderzoekers. In totaal werden erop verschillende websites die de illegale CMS-uitbreidingen aanboden zestien varianten van de backdoor ontdekt, waarvan de eerste op 25 september 2013 verscheen.

Eigenschappen

De malware kan zichzelf updaten en beschikt over een back-upmechanisme in het geval de controleserver van de aanvallers niet meer bereikbaar is. In dit geval krijgen de besmette webservers via e-mail instructies. Ook voegt de malware een extra beheerdersaccount aan het CMS toe. Als de backdoor wordt ontdekt en verwijderd blijven de aanvallers toch toegang houden.

CryptoPHP wordt op gecompromitteerde websites en webservers gebruikt voor illegale zoekmachineoptimalisatie, ook bekend als 'Blackhat SEO'. Doordat de gecompromitteerde websites naar de websites van de aanvallers linken, verschijnen deze websites weer hoger in de resultaten van zoekmachines.

In het geval webservers en websites met CryptoPHP zijn geïnfecteerd kunnen webmasters en beheerders als beste een schone installatie uitvoeren, zegt Joost Bijl van Fox-IT tegenover Security.NL. Als 'quick fix' kunnen beheerders verschillende stappen nemen, zoals het verwijderen van de link naar het bestand social.png, onbekende accounts verwijderen en het bestand social.png, aangezien dit de backdoor is.

Reacties (4)
20-11-2014, 11:13 door Anoniem
... "illegale CMS-plug-ins" ...

Kan iemand me uitleggen wat een illegale plugin is in dit geval?
20-11-2014, 12:21 door Anoniem
Het zou handig zijn als er verduidelijkt wordt wat er onder "illegale cms plugins" verstaan wordt. In het geval van drupal bijvoorbeeld, houdt dat in dat het om projecten gaat die buiten drupal.org om gehost worden, of wordt hier wat anders mee bedoeld?
20-11-2014, 12:28 door meinonA
4.1.3 Drupal
We have only found Drupal themes containing the CryptoPHP backdoor. The backdoor can be found in the
‘template.php’ file, at the very bottom of the file a PHP snippet can be found similar to this:
<?php include('images/social.png'); ?>

Drupal komt er dus best goed vanaf: als je maar alles download van Drupal.org is er niets aan de hand. Wel jammer dat je met php niet kunt vastleggen welke extensies je wil includen als code.

Overigens zal in iedere fatsoenlijk file manager die social.png als code weergeven, maar je moet er maar net naar op zoek zijn ...
20-11-2014, 13:11 door 0101
@Anoniem 11:13
Wat hier met "illegale CMS plug-ins" wordt bedoeld zijn illegale kopieën van betaalde plugins waar de licentiecontrole bij is verwijderd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.