In duizenden illegale plug-ins en thema's voor de contentmanagementsystemen (CMS) WordPress, Joomla en Drupal is een backdoor ontdekt, waardoor aanvallers toegang tot de webserver krijgen. Dat meldt het Delftse beveiligingsbedrijf Fox-IT vandaag. Hoeveel websites er door de backdoor zijn getroffen kan het bedrijf niet zeggen, maar er wordt geschat dat het om een paar duizend gaat, maar mogelijk meer.
CryptoPHP (PDF), zoals de backdoor wordt genoemd, werd in illegale versies van commerciële CMS-plug-ins en thema's aangetroffen. Het gaat hier om zogeheten 'nulled' scripts, vergelijkbaar met illegale software waar de licentiecontrole is verwijderd. "Kort samengevat, dit is piraterij", aldus de onderzoekers. In totaal werden erop verschillende websites die de illegale CMS-uitbreidingen aanboden zestien varianten van de backdoor ontdekt, waarvan de eerste op 25 september 2013 verscheen.
De malware kan zichzelf updaten en beschikt over een back-upmechanisme in het geval de controleserver van de aanvallers niet meer bereikbaar is. In dit geval krijgen de besmette webservers via e-mail instructies. Ook voegt de malware een extra beheerdersaccount aan het CMS toe. Als de backdoor wordt ontdekt en verwijderd blijven de aanvallers toch toegang houden.
CryptoPHP wordt op gecompromitteerde websites en webservers gebruikt voor illegale zoekmachineoptimalisatie, ook bekend als 'Blackhat SEO'. Doordat de gecompromitteerde websites naar de websites van de aanvallers linken, verschijnen deze websites weer hoger in de resultaten van zoekmachines.
In het geval webservers en websites met CryptoPHP zijn geïnfecteerd kunnen webmasters en beheerders als beste een schone installatie uitvoeren, zegt Joost Bijl van Fox-IT tegenover Security.NL. Als 'quick fix' kunnen beheerders verschillende stappen nemen, zoals het verwijderen van de link naar het bestand social.png, onbekende accounts verwijderen en het bestand social.png, aangezien dit de backdoor is.
Deze posting is gelocked. Reageren is niet meer mogelijk.