Mittlerweile sollen über 23000 Server mit CryptoPHP verseucht sein, wie die Sicherheitsfirma Fox-IT berichtet. Ein nicht unerheblicher Teil der Server soll in Deutschland stehen. Über einen Schadcode sollen Plugins, Templates und Themes missbraucht worden sein, um Seiten zu infizieren. Es gibt jedoch Hilfe. Hierfür bietet Fox-IT zwei Scripts an, welche CryptoPHP offensichtlich aufspüren können.
CryptoPHP verseucht Server!
Am 20. November hat die Security-Firma Fox-IT ihren Report zu CryptoPHP veröffentlicht. Zusammen mit anderen Partnern wie Abuse.ch, Shadowserver und Spamhaus, hat man die Infrastruktur von CryptoPHP aufgedeckt, was den weltweiten Umfang der Verbreitung des Schadcodes ganz gut dokumentiert.
Leider ist Fox-IT nicht in der Lage Statistiken aufzuzeigen, über welche CMS wie Wordpress, Joomla oder Drupal, die Server kompromittiert wurden. Die Verbreitung des Schadcodes wäre natürlich auch über Erweiterungen von anderen Contentmanagement-Systemen denkbar. Betroffen sind Server in aller Welt.
Unter den einzelnen Ländern hat CryptoPHP mit über 8000 infizierten Servern in den USA wohl am schlimmsten gewütet. Leider folgt darauf schon Deutschland mit über 2800, dann Frankreich mit über 1200 und die Niederlande mit knapp 1000. Auch 749 türkische Server sind anscheinend betroffen. Die restlichen über 9000 sind auf andere Länder verteilt.
Weitere Infos dazu und eine grafische Übersicht, gibt es im Fox-IT-Blog.
Das Backdoor-Script CryptoPHP ist leider schon seit September 2013 in sechzehn Versionen im Umlauf und es werden immer wieder aktualisierte Varianten über Themes und Plugins verbreitet.
Das Backdoor-Programm startet zum Beispiel unerlaubte Anfragen an einen fremden Server nachdem es sich einen Administrator-Account zb. auf einer Joomlaseite verschafft hat.
Dies kann dann passieren, wenn der echte Administrator eine verseuchte Erweiterung installiert hat. Solche Extensions kommen von oft zweifelhaften Seiten wie die von Fox-IT genannte Seite nulledstylez.com und dailynulled.com. Leider gibt es noch diverse weitere solcher Seiten, welche infizierte Erweiterungen verbreiten.
Eine Übersicht dieser kriminellen Webseiten und viele weitere wichtige Informationen zu CryptoPHP bietet das cryptophp-whitepaper-foxsrt-v4-PDF. Alle Betreiber eines CMS sollten dieses PDF unbedingt lesen.
Verdächtige Dateien einer Erweiterung fallen eventuell durch einen stark abweichenden Zeitstempel aus. Neben PHP-Dateien sind auch PNG-Bilder betroffen, in denen viele Anwender eher keinen Schadcode vermuten. Natürlich lässt sich aber in digitalen Bildern alles mögliche verstecken, eben auch PHP-Code.
Fox-IT hat die zwei Python-Scripts check_filesystem.py und check_url.py mit einer Beschreibung zur Verwendung veröffentlicht, welche CryptoPHP aufspüren können.
Für alle Betreiber der CMS Wordpress, Joomla und Drupal, ist jetzt sorgfältiges Lesen der hier genannten Informationen angesagt. Und auch eine Prüfung mit den hier genannten Check-Files ist dringend anzuraten. Ansonsten sollte man stets wachsam sein und sich auf seriösen Seiten bewegen, beim Downloaden von Erweiterungen.
