frank
Goto Top

CryptoPHP: Hinterlistiger Schadcode hat zehntausende Server infiziert

Ein neuer PHP-Schadcode wurde entdeckt. Über 23.000 Webserver sind bereits infiziert. Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt. Laut der Sicherheitsfirma Fox-IT werden Webserver, die mit CryptoPHP infiziert sind, Teil eines Botnetz, das Such-Ergebnisse für unseriöse Webseiten verbessert. Auf den infizierten Server wird über ein "include()"-Statement eine angebliche PNG-Datei eingebunden. Das PNG-Bild ist allerdings versteckter PHP-Code.

Die Sicherheitsfirma Fox-IT hat ein ein Python Skript bereitgestellt, mit dem man den eigenen Server auf Infektionen mit CryptoPHP prüfen kann:
https://github.com/fox-it/cryptophp/tree/master/scripts

Gruß
Frank

http://www.heise.de/open/meldung/CryptoPHP-Hinterlistiger-Schadcode-hat ...

Content-Key: 256476

Url: https://administrator.de/contentid/256476

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 03.12.2014 um 09:36:48 Uhr
Goto Top
1128b6e98567ebfe3af41cebc0f774a7
Mehr gibt's dazu nicht zu sagen face-smile
Mitglied: Frank
Frank 03.12.2014 aktualisiert um 10:03:22 Uhr
Goto Top
?

Sollte ich das verstehen?
Haha über die Schadsoftware oder haha über die, die es erwischt hat?

Gruß
Frank
Mitglied: Doskias
Doskias 03.12.2014 um 10:38:05 Uhr
Goto Top
Naja... da steht:

Zitat von @Frank:

Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt.

Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient. Ich hätte vielleicht nicht "Haha" gesagt, aber Mitleid habe ich da auch nicht.
Mitglied: Frank
Frank 03.12.2014 um 10:54:23 Uhr
Goto Top
Hi,

naja, so würde ich das nicht lesen. Der Absatz mit dem "raubkopierten" Themen hat mich bei Heise aber auch sehr irritiert. Hier mal der Originaltext von Fox-IT:

By publishing pirated themes and plug-ins free for anyone to use instead of having to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included backdoor on their server.

Das könnte auch heißen, das jemand die kostenpflichtige "Themes" einfach nur frei veröffentlicht hat. Diejenigen, die sie dann heruntergeladen haben, wussten evtl. gar nicht, das es mal kostenpflichtige "Themes" waren. Ich könnte das z.B. nicht unterscheiden.

Gruß
Frank
Mitglied: SlainteMhath
SlainteMhath 03.12.2014 um 11:16:47 Uhr
Goto Top
Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient
Genau das sollte das Bild ausdrücken face-smile
Mitglied: Frank
Frank 03.12.2014 um 11:20:43 Uhr
Goto Top
Hi,

wie schon erwähnt, glaube ich nicht, das die User wirklich wussten, dass es raubkopierte "Themes" oder "Plugins" waren.

Gruß
Frank
Mitglied: Doskias
Doskias 03.12.2014 um 11:23:45 Uhr
Goto Top
Stimmt.

Die Originalnachricht kann auch bedeuten, dass derjenige, der das raubkopierte Theme nutzt garnicht wusste, dass es raubkopiert war.
Mitglied: eagle2
eagle2 05.12.2014 um 16:16:46 Uhr
Goto Top
Naja, bei Uberspace im Blog (https://blog.uberspace.de/immer-arger-mit-gestohlenen-themes/) wird beschrieben, dass die Quelle meist Websites a la "nullified", "wp-nulled" etc ist. Wer über solche Seiten Themes herunterlädt, sollte mMn schon wissen, worauf er sich einlässt...

Viele Grüße
Eagle2
Mitglied: Doskias
Doskias 05.12.2014 um 16:40:15 Uhr
Goto Top
Wenn er es nicht weiß, hat er es jetzt zumindest gelernt face-smile