Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

CryptoPHP: Hinterlistiger Schadcode hat zehntausende Server infiziert

Link Entwicklung PHP

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

02.12.2014, aktualisiert 20:25 Uhr, 1598 Aufrufe, 9 Kommentare, 2 Danke

Ein neuer PHP-Schadcode wurde entdeckt. Über 23.000 Webserver sind bereits infiziert. Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt. Laut der Sicherheitsfirma Fox-IT werden Webserver, die mit CryptoPHP infiziert sind, Teil eines Botnetz, das Such-Ergebnisse für unseriöse Webseiten verbessert. Auf den infizierten Server wird über ein "include()"-Statement eine angebliche PNG-Datei eingebunden. Das PNG-Bild ist allerdings versteckter PHP-Code.

Die Sicherheitsfirma Fox-IT hat ein ein Python Skript bereitgestellt, mit dem man den eigenen Server auf Infektionen mit CryptoPHP prüfen kann:
https://github.com/fox-it/cryptophp/tree/master/scripts

Gruß
Frank


Mitglied: SlainteMhath
03.12.2014 um 09:36 Uhr
1128b6e98567ebfe3af41cebc0f774a7 - Klicke auf das Bild, um es zu vergrößern
Mehr gibt's dazu nicht zu sagen
Bitte warten ..
Mitglied: Frank
03.12.2014, aktualisiert um 10:03 Uhr
?

Sollte ich das verstehen?
Haha über die Schadsoftware oder haha über die, die es erwischt hat?

Gruß
Frank
Bitte warten ..
Mitglied: Doskias
03.12.2014 um 10:38 Uhr
Naja... da steht:

Zitat von Frank:

Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt.

Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient. Ich hätte vielleicht nicht "Haha" gesagt, aber Mitleid habe ich da auch nicht.
Bitte warten ..
Mitglied: Frank
03.12.2014 um 10:54 Uhr
Hi,

naja, so würde ich das nicht lesen. Der Absatz mit dem "raubkopierten" Themen hat mich bei Heise aber auch sehr irritiert. Hier mal der Originaltext von Fox-IT:

By publishing pirated themes and plug-ins free for anyone to use instead of having to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included backdoor on their server.

Das könnte auch heißen, das jemand die kostenpflichtige "Themes" einfach nur frei veröffentlicht hat. Diejenigen, die sie dann heruntergeladen haben, wussten evtl. gar nicht, das es mal kostenpflichtige "Themes" waren. Ich könnte das z.B. nicht unterscheiden.

Gruß
Frank
Bitte warten ..
Mitglied: SlainteMhath
03.12.2014 um 11:16 Uhr
Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient
Genau das sollte das Bild ausdrücken
Bitte warten ..
Mitglied: Frank
03.12.2014 um 11:20 Uhr
Hi,

wie schon erwähnt, glaube ich nicht, das die User wirklich wussten, dass es raubkopierte "Themes" oder "Plugins" waren.

Gruß
Frank
Bitte warten ..
Mitglied: Doskias
03.12.2014 um 11:23 Uhr
Stimmt.

Die Originalnachricht kann auch bedeuten, dass derjenige, der das raubkopierte Theme nutzt garnicht wusste, dass es raubkopiert war.
Bitte warten ..
Mitglied: eagle2
05.12.2014 um 16:16 Uhr
Naja, bei Uberspace im Blog (https://blog.uberspace.de/immer-arger-mit-gestohlenen-themes/) wird beschrieben, dass die Quelle meist Websites a la "nullified", "wp-nulled" etc ist. Wer über solche Seiten Themes herunterlädt, sollte mMn schon wissen, worauf er sich einlässt...

Viele Grüße
Eagle2
Bitte warten ..
Mitglied: Doskias
05.12.2014 um 16:40 Uhr
Wenn er es nicht weiß, hat er es jetzt zumindest gelernt
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
gelöst Ransomware ( jetzt werden Server direkt infiziert!) (6)

Frage von 1Werner1 zum Thema Windows 10 ...

Windows Server
gelöst Server 2012R2 Frage zum DHCP Failover (6)

Frage von Coreknabe zum Thema Windows Server ...

DNS
gelöst DNS Server löst Domänenname nicht auf! (6)

Frage von Mar-west zum Thema DNS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...