Meer dan 23.000 websites zijn slachtoffer van de CryptoPHP-backdoor geworden die zich via illegale plug-ins voor contentmanagementsystemen (cms) zoals WordPress, Joomla en Drupal verspreidt. Het gaat hierbij om betaalde plug-ins die zo zijn aangepast dat ze geen licentiesleutel meer vereisen en daardoor gratis kunnen worden gebruikt. Deze zogeheten "nulled scripts" zijn vergelijkbaar met illegale software.

In het geval van CryptoPHP ging het om duizenden plug-ins en thema's die van een backdoor waren voorzien waardoor een aanvaller toegang tot de webserver kan krijgen. Vorige week kwam het Delftse beveiligingsbedrijf Fox-IT met een rapport (PDF) over CryptoPHP. In eerste instantie kon nog niet worden gezegd hoeveel websites er met de backdoor besmet waren. Onderzoekers slaagden erin om de Command & Control-domeinen van CryptoPHP in handen te krijgen en konden zo zien hoeveel websites er verbinding probeerden te maken. In totaal werden 23.693 IP-adressen waargenomen.

Beveiligingsonderzoeker Yonathan Klijnsma van Fox-IT merkt op dat deze aantallen geen duidelijk beeld geven, omdat de webservers die met de domeinen verbinding maakten vaak "shared hosting" omgevingen waren, waarbij tenminste één of meerdere websites van een backdoor waren voorzien. "Dit houdt in dat het aantal getroffen websites hoger zal zijn." Voor beheerders zijn er nu twee Python-scripts gemaakt waarmee het mogelijk is om de aanwezigheid van CryptoPHP te detecteren. In het geval de backdoor wordt aangetroffen krijgen beheerders het advies om het cms opnieuw te installeren.