Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

Duizenden gratis versies van betaalde thema's en plug-ins voor Joomla, Drupal en WordPress zouden van backdoors zijn voorzien. Malware-ontwikkelaars zouden de CryptoPHP-malware gebruiken voor illegale zoekmachine-optimalisatie.

Het Nederlandse beveiligingsbedrijf Fox-IT ontdekte dat er duizenden plug-ins en thema's voor de populaire contentmanagementsystemen in omloop zijn die voorzien zijn van CryptoPHP. Van die malware zouden inmiddels zestien verschillende versies zijn. Het bedrijf schat dat er minstens een paar duizend sites besmet zijn. De ontwikkelaars van CryptoPHP zouden sitebeheerders verleiden met illegale versies van add-ons, waar ze normaal gesproken voor zouden moeten betalen. Zo kwamen de scripts van onder andere de Nulledstyles.com- en Dailynulled-sites met zogenoemde 'nulled scripts'.

Overigens bevat veel piraterij-software malware, maar volgens Fox-IT heeft CryptoPHP enkele opvallende eigenschappen. De backdoor maakt gebruik van het framework en de database van het aangevallen cms. De beheerders van CryptoPHP hanteren verder RSA-encryptie met publieke sleutels voor de versleutelde communicatie met de command&control-servers. Van die servers zouden er 45 online zijn, waarvan 18 in Nederland, en de makers zouden ondersteuning voor handmatig beheer naast geautomatiseerde communicatie ingebouwd hebben. Verder ondersteunt CryptoPHP automatische updates en het uitvoeren van code op afstand, en de malware kan code in webpagina's injecteren.

De malware wordt gebruikt voor zogenoemde blackhat seo. De backdoor injecteert links en teksten die alleen webcrawlers van zoekmachines detecteren, om zo een hogere plek in zoekresultaten voor bijvoorbeeld gok-site te verkrijgen. Een reguliere bezoeker van de websites ziet de links niet.

Nulled Stylez

Moderatie-faq Wijzig weergave

Reacties (71)

Je zou heel makkelijk kunnen zeggen: "eigen schuld dikke bult", maar ik wil er toch aan toevoegen dat het internet tegenwoordig steeds meer gedaan wordt aan rebanding. Oftewel kopieer software, andere naam (of variant erop) en zorg er vervolgens voor dat je hoog in de zoekranking komt.
Zie alleen al de programma's die tegenwoordig via zogenaamde mirror sites worden aangeboden, met hun eigen "snelle en veilige" downloader/installer.

Als beheerder zijnde altijd checken of je de plugin, skin, etc. van de correcte bron haalt. Zelfs al staan ze in de Wordpress gallery, dan kijk ik eerst of ik deze niet direct kan downloaden vanaf bijvoorbeeld de (git-)repo van de ontwikkelaar.

Tegenwoordig is het betalen voor software ook nog eens zoveel gemakkelijker dan vroeger (alleen creditcard), dat er bijna geen excuus meer kan zijn voor het niet downloaden van de legale variant.

Betreft de beveiliging van CMS'en: doen deze niet tegenwoordig checken of checksums kloppen? Als ik bijvoorbeeld via WP een plugin installeerde, dan wordt deze toch ook gecheckt neem ik aan? Zowieso of de source wel volledig is binnengehaald. Het lijkt me dan ook wat eenvoudiger om een database op te zetten wat het moeilijker maakt om 'crap' te installeren?
Als beheerder zijnde altijd checken of je de plugin, skin, etc. van de correcte bron haalt. Zelfs al staan ze in de Wordpress gallery, dan kijk ik eerst of ik deze niet direct kan downloaden vanaf bijvoorbeeld de (git-)repo van de ontwikkelaar.
Maar daar zit in een aantal gevallen ook een onmogelijkheid in. Er zijn voldoende forks/copies te vinden van allerlei themes, aangemoedigd door de originele developer, zonder dat daar een controle op plaats vindt. Als voorbeeld bij Lynda.com zijn er commerciele videos te vinden die behandelen hoe je een theme van hun trainer zelf kan aanpassen/modificeren met allerlei simpele en moeilijke handelingen.

Sterker nog; op het moment dat jij een CMS out of the box installeert, heb je vaak een standaard webpagina/theme. Dan voeg je zelf plaatjes, kleurtjes, layout etc toe door het aanpassen/forken van een theme. Wie vertelt mij dan dat jij niet ergens een hidden div in een 2e footer hebt gestopt die afluistert welk OS ik gebruik om jouw site te bezoeken? En als je dan jouw aanpassingen ook publiceert ter gratis download, heb je dus kans dat honderden/duizenden ontwetende CMS-beheerders ook die 2e footer aktief hebben en er dus duizenden sites zijn die allemaal weten wat mijn OS-versie is.

Puntje bij paaltje ben jij degene die "afluister-code" hebt toegevoegd maar waar het theme voor 99.9% eruit ziet en qua downloadgrootte op 9 bytes hetzelfde is als de originele source. Weinig mensen die dat controleren.
Bij Wordpress plugins kijk ik vooral naar het aantal downloads en de reviews. Ik ga geen code controleren. Ik koop soms templates voor enkele tientjes, en vertrouw er dan maar op dat het geen malware is. Afgelopen week heb ik nog zo'n template gekocht, zonder iets te checken besef ik nu. Het was wel een populair template, maar wat zegt dat?
> Betreft de beveiliging van CMS'en: doen deze niet tegenwoordig checken of checksums
kloppen?

Hoe stel je voor dat dit gaat werken? Wie levert die "known-good" checksum aan?

Developer certificates dan maar, zoals MS al tijden promoot?

[Reactie gewijzigd door Ergomane op 20 november 2014 15:03]

Handig om een lijst te hebben waar de plugins vandaan komen. Is natuurlijk geen 100% oplossing, maar ik zou ze sowieso blokkeren en navragen of eventuele vrienden/kennissen/klanten van deze sites gebruik maken.
"We found the following list of 20 websites being used to distribute the CryptoPHP backdoor:
anythingforwp.com
awesome4wp.com
bestnulledscripts.com
dailynulled.com
freeforwp.com
freemiumscripts.com
getnulledscripts.com
izplace.com
mightywordpress.com
nulledirectory.com
nulledlistings.com
nullednet.com
nulledstylez.com
nulledwp.com
nullit.net
topnulledownload.com
websitesdesignaffordable.com
wp-nulled.com
yoctotemplates.com

The following websites host the actual plug-in and theme files used for direct download:
bulkyfiles.com
linkzquickz.com"
Dit concept wordt al tijden toegepast, wellicht dat cryptoPHP nieuw is, het concept zeker niet.
Conclusie is, download geen betaalde software die zogenaamd gratis is.
Kijk goed van welke sites je software download. Heb je template nodig kijk dan bij een grotere aanbieder en betaal er een paart euro voor.
Ik vraag me zelf af, zijn er ook virusscanners voor php scripts / sites? Programma's die gewoon om de zoveel tijd je webdirectory scannen op bekende patronen van exploits. Dat zou voor PHP zelfs makkelijker moeten zijn dan voor normale applicaties.
Wat hiervoor het meest gebruikt wordt is ClamAV op een Linux host, die hebben ook signatures voor dit soort malware opgenomen. Nadeel hiervan is echter wel dat dit iets is wat je hosting provider moet doen, of dat je zelf shell toegang nodig hebt om het aan de gang te krijgen.

In theorie zou je het hele gebeuren in een PHP script kunnen bouwen die alle files gaan scannen en vergelijkt met signatures en bepaalde patronen. Nadeel hiervan is echter dat PHP vrijwel altijd is gelimiteerd door een max_execution_time en memory_limit - dat zal er concreet voor zorgen dat dit soort virus scanners hun werk niet (goed) kunnen doen in veel omgevingen.

Eventueel zijn dit soort dingen ook op te vangen met bijvoorbeeld mod_security binnen Apache, hoewel de cryptografische versleuteling van cryptoPHP dat wel lastiger maakt. Ook dit moet overigens door de beheerder van de server gedaan worden, en vergt de nodige kennis van eigen signatures bouwen.
Op het moment dat zo'n stuk PHP code obfuscated is kan je AV hier niets tegen doen. Dit is nu de pest met gratis nulled rotzooi.
Opzich wanneer je de boel kunt uitpakken, en dat kan natuurlijk ;) Zou je een prima scannertje kunnen maken. Maarja die bereiken dan niet echt de end-users die hier gepakt worden, of alle hosters moeten dit gaan gebruiken. Wat waarschijnlijk niet in de lijn kwa resources zit met de low-end*100 users die ze wegzetten :P
Een nette host in mijn ogen doet dat. Wij hebben op alle FTP uploads een scanner, gecombineerd met periodieke scans van de dirs van de gebruiker. Ook scannen we alle uploads via apache. Betekend wel dat je zwaardere servers moet hebben, dan als je het niet doet, want de gebruikers rekenen vertragingen natuurlijk af als slechtere kwaliteit.
Gratis heeft een hoge prijs :X
Inderdaad, als je ergens een gratis versie van ziet ga je je toch normaal gesproken eerst achter je oren krabben voordat je het installeert?
Vreemd dat veel mensen dat toch niet doen.
Wordpress heeft anders toch een enorm groot en degelijk gratis Plugin klimaat. Bij Joomla is dit al heel anders gesteld, daar betaal je al snel wil je iets fatsoenlijks...

Dit gaat echter over betaalde plugins die illegaal gratis te downloaden zijn. Tja... Gevalletje eigen schuld dikke bult :)
Wordpress, joomla, drupal enz. zijn een leuke systemen voor als je zelf echt niets kan. Maar mocht je zelf handig zijn, Schijf lekker zelf het cms. Die precies aansluit op de wensen van de klant en dat de klant (zonder kennis en uitleg) het platform kan betreden en zijn aanpassingen doen. (ja er zijn genoeg plugins (weer tussenkomst van derde) die het iets wat versimpelen)

Omdat je het zelf schrijft heb je alles zelf in de hand. heb je meer vrijheid en komen er geen overbodige functies in waar jij en de klant amper op zit te wachten. Daarnaast kun jij je eigen draai geven waardoor bijv. gebruiksgemak veel beter worden benut. terwijl een simpele boodschappentas volstaat (om het denkbeeldig uit te drukken)

Daarnaast omdat deze opensource projecten gigantisch veel mogelijkheden moeten hebben voelt het voor mij af en toe aan om met een Airbus 380 boodschappen te gaan doen bij de Spar.

[Reactie gewijzigd door downcom op 20 november 2014 14:29]

Je vergeet voor het gemak dat dat ten eerste een stuk duurder is om te ontwikkelen (dus minder aantrekkelijk voor een klant, als je hem/haar de keuze geeft) en ten tweede zeer waarschijnlijk een stuk onveiliger. Open source/populaire CMS worden continue "getest" en geŘpdatet, in tegenstelling tot jouw custom CMS.

Waarschijnlijk een betere optie is om een custom module/plug-in te schrijven voor een bestaand CMS, als je daadwerkelijk iets speciaals nodig hebt voor een klant (wat al redelijk uitzonderlijk is, op een custom template voor een site na dan).

Ontopic: gratis plug-ins zou ik nog vertrouwen, gratis versies van betaalde plug-ins... dan zou er toch een belletje moeten gaan rinkelen :)
Als het om een paar websites gaat die je onderhoud volstaat een module ook. Maar wanneer je tien tot honderd tal websites hebt lopen dan loopt het onderhoud met opensource projecten hoog op. Waardoor het verstandiger is iets zelf te maken. Uiteindelijk zal er een omslag punt zijn welke keus het meest interessantst is.

Offtopic: wij zijn als bedrijf al 2 jaar aan het ontwikkelen en het begint nu pas ergens op te lijken.
Hmm, een site ontwikkelen in Drupal en zelf het thema bouwen en customizen met addons waar nodig kost ~4000 euro, een custom CMS bouwen naar de wens van de klant (let op: klanten weten vaak niet wat ze willen, en den krijg je keuzeverlamming) en dan nog een site ermee opzetten kost al snel een slordige ~20.000 euro. Dat is 5x zoveel...
Dat hele customizen is dan totaal niet nodig. en een template maak je makkelijker voor je eigen cms dan iets waar je met 1001 en dingen rekening moet houden.

Natuurlijk is een eigen cms niet bedoeld voor 1 enkele website (daar zijn opensource pakketen perfect voor) Maar wanneer je meerdere websites technisch moet onderhouden dan lopen deze kosten gigantisch uit.

Iets waar mening webbouwer denkt, is opgeleverd tot de volgende keer. ˛f het word een uurtje factuurtje kwestie, iets met name kleinere klanten / organisaties niet snel accepteren.
Customizen is altijd nodig. Geen enkele klant gaat akkord met een standaard template. Er moeten altijd logo's aangepast worden, kleuren moeten anders, andere fonts e.d

En als je een CMS ontwikkelt voor een specifieke klantgroep ok, maar dan moet het IMO wel een niche-markt zijn. Voor een normale informatieve website met 20 paginas en een contact formulier met een Google Maps kaart van hun kantoor ga je, in your right mind, geen custom CMS bouwen, want ook een custom CMS heeft onderhoud nodig. Denk bijvoorbeeld aan je database laag: als je zelfbouw CMS wat ouder is en nog gebruik maakt van non-PDO mysql/mysqli dan ben je, als je een nieuwe klant op een nieuwe server hebt, de lul omdat pdo/mysqli nu de standaard is.

Het is alleen voor hele grote organisaties en hele grote IT/web bedrijven te doen om een custom CMS te ontwikkelen, en ik kan het weten. Ik heb nl. zelf ons reiskostensysteem (intern) ontwikkeld in PHP en dat was al een budgetaire ramp...
Customizen is altijd nodig. Geen enkele klant gaat akkord met een standaard template. Er moeten altijd logo's aangepast worden, kleuren moeten anders, andere fonts e.d
Daar zit al een probleem. werk vanaf nul niet met een bestaande template. Een klant zit niet te wachten op een herbrouwsel van een bestaande template. Je hebt dus geen aanpassingen nodig. Je overlegt de pagina's in jpeg met de klant en dat word 1 op 1 uitgewerkt in html en daarna verbonden met een cms.

templates aanpassen is niet echt meer van deze tijd. (dat vind Google ook niet zo prettig indexeren.)

Uiteraard heb ik het niet over een standalone cms. maar meer een platform waar je containers aanmaakt voor klanten die daarna kunnen inloggen.

Dus het onderhoud valt relatief mee als je dat vergelijkt met 100 losse cms systemen die allemaal los van elkaar werken en dus ook los onderhoud nodig hebben.
Het is alleen voor hele grote organisaties en hele grote IT/web bedrijven te doen om een custom CMS te ontwikkelen, en ik kan het weten. Ik heb nl. zelf ons reiskostensysteem (intern) ontwikkeld in PHP en dat was al een budgetaire ramp...
Klinkt bij mij heel bekend in de oren ;)

[Reactie gewijzigd door downcom op 20 november 2014 15:41]

Mua, dat klinkt alsof je het wiel opnieuw uitvind. Daar hebben ze Docker icm appliances voor uitgevonden. Je deployed een nieuwe container met daarin je cms van keuze en klaar.

In ieder geval: het probleem van software ontwikkelaars is dat ze constant het wiel opnieuw uit willen vinden. Hoeveel CMS'en zijn er al niet? Bovendien heb je altijd klanten die een specifiek CMS willen omdat hun plugin die ze willen daarin draait.

Dit doet me een beetje eraan denken: http://xkcd.com/927/

[Reactie gewijzigd door sfranken op 20 november 2014 15:21]

Wij ontwikkelen geen standaard. Wij proberen het voor de klant makkelijker te maken. Of wil je zeggen dat de WYSIWYG editors van superieure kwaliteit zijn?

Maar de grootste voordelen dat wij er uit halen is wel dat we het in eigen beheer hebben en daardoor kosten kunnen besparen (die wel eerst een flinke investering nodig hebben gehad) Maar uit eindelijk zijn wij en de klant blij.
Het mooie van iets als Drupal is dat je keuzes hebt van wat je wilt gebruiken. Als ik TinyMCE wil gebruiken dan heb ik die keuze, maar als ik Aloha wil gebruiken dan is dat prima, daar kan ik voor kiezen.

Dat zal met maatwerk ook kunnen maar nogmaals: waarom het wiel opnieuw uitvinden? Je argument dat je het voor de klant makkelijker wil maken is prima, daar streven we allemaal naar, maar een goede Drupal developer kan het voor zijn klant erg makkelijk maken.
Je mening is net zo gekleurd als je usericon en pas in je laatste comment laat je blijken waarom: je levert zelf diensten op basis van een zelfgemaakt cms.
Fout! maar lees m'n comments terug en met een beetje geluk kom je er achter waar wij op doelen.
20.000 euro dat is nog weinig. Wij zijn al 5 jaar bezig met de ontwikkeling van een 'enterprise level' CMS. Daar zitten nu inmiddels miljoenen in (een bestaande CMS gebruiken is in ons geval geen optie, het is ons product). Voor 20.000 euro heb je net 2 goede ontwikkelaars 2-3 maanden werken.
Ik had het ook niet over een enterprise level CMS. Een "normaal" CMS kost, met een goed framework ala Laravel, een man of 3 een maandje of 2 werk.

En de kosten (20.000 euro) waren zonder man uren, sorry, had ik moeten vermelden. Met manuren is het lastig rekenen.
Illegaal gratis? Volgens de licensie van wordpress, GPL 2 (welke ook van invloed is op alle thema's en plugins!) mag ik gewoon een plugin kopen en dan de broncode delen met andere mensen.

Sterker nog, als ik een plugin koop en de code is "beveiligd" is met ioncube of iets dergelijks, dan moeten ze mij ook een versie aan bieden waarbij de broncode gewoon vrij voor mij toegangkelijk is.

Er kunnen natuurlijk nog wel trademark of patent beperkingen zijn.
Volgens de licensie van wordpress, GPL 2 (welke ook van invloed is op alle thema's en plugins!) mag ik gewoon een plugin kopen en dan de broncode delen met andere mensen.
Ik zou de GPLv2 nog maar eens goed doorlezen want wat jij zegt klopt zeker niet. Alleen 'derived works' vallen onder de Quid Pro Quo clausule en niet alles wat bovenop het platform wordt gebouwd. Als jouw redenatie zou kloppen dan zou het onmogelijk zijn om Linux software te maken die niet open source is...
https://www.gnu.org/licenses/gpl-faq.html#MereAggregation
An “aggregate” consists of a number of separate programs, distributed together on the same CD-ROM or other media. The GPL permits you to create and distribute an aggregate, even when the licenses of the other software are non-free or GPL-incompatible. The only condition is that you cannot release the aggregate under a license that prohibits users from exercising rights that each program's individual license would grant them.

Where's the line between two separate programs, and one program with two parts? This is a legal question, which ultimately judges will decide. We believe that a proper criterion depends both on the mechanism of communication (exec, pipes, rpc, function calls within a shared address space, etc.) and the semantics of the communication (what kinds of information are interchanged).

If the modules are included in the same executable file, they are definitely combined in one program. If modules are designed to run linked together in a shared address space, that almost surely means combining them into one program.

By contrast, pipes, sockets and command-line arguments are communication mechanisms normally used between two separate programs. So when they are used for communication, the modules normally are separate programs. But if the semantics of the communication are intimate enough, exchanging complex internal data structures, that too could be a basis to consider the two parts as combined into a larger program.
(emphasis mine)

https://www.gnu.org/licenses/lgpl-java.html
It has always been the FSF's position that dynamically linking applications to libraries creates a single work derived from both the library code and the application code. The GPL requires that all derivative works be licensed as a whole under the terms of the GPL, an effect which can be described as “hereditary.” So, if an application links to a library licensed under the GPL, the application too must be licensed under the GPL. By contrast, libraries licensed under the GNU Lesser General Public License (LGPL) may be linked to proprietary applications.
Illegaal gratis? Volgens de licensie van wordpress, GPL 2 (welke ook van invloed is op alle thema's en plugins!) mag ik gewoon een plugin kopen en dan de broncode delen met andere mensen.
Alleen als jij een aantal (grote) aanpassingen doet. Je mag de code niet verbatim overnemen, dat is tegen de licentie in. Lees 'm nog maar eens goed door dan.
Huh?
https://www.gnu.org/licen...quireAvailabilityToPublic
If I distribute GPL'd software for a fee, am I required to also make it available to the public without a charge? (#DoesTheGPLRequireAvailabilityToPublic)

No. However, if someone pays your fee and gets a copy, the GPL gives them the freedom to release it to the public, with or without a fee. For example, someone could pay your fee, and then put her copy on a web site for the general public.
Verbatim overnemen is zelfs een specifieke clausule in de licensie.
https://www.gnu.org/licenses/gpl-2.0.html
1. You may copy and distribute verbatim copies of the Program's source code as you receive it, in any medium, provided that you conspicuously and appropriately publish on each copy an appropriate copyright notice and disclaimer of warranty; keep intact all the notices that refer to this License and to the absence of any warranty; and give any other recipients of the Program a copy of this License along with the Program.

You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.

[Reactie gewijzigd door Jo-W op 20 november 2014 15:03]

Vaak krijg je dus helemaal geen source code en inderdaad een Ioncube beveiligde versie. Dus je hebt geen enkele mogelijkheid om te zien wat er in die sources staat. Bij dit soort software, illegale scripts, is dat natuurlijk zowieso vragen om problemen maar ook bij betaalde software vind ik het niet prettig om de sources niet te kunnen zien in het geval van PHP scripts. Genoeg software die er als je naar de pagina's kijkt hardstikke verzorgd uitziet maar uiteindelijk qua code een grote bende is.

Om die reden gebruik ik altijd een Ioncube decompiler en hetzelfde met Zend encoded software, ik wil de code kunnen reviewen en soms enige aanpassingen doen om software in onze loadbalanced omgeving beter te laten werken. In sommige gevallen is het mogelijk tegen een extra betaling wel sourcecode te verkrijgen en in zo'n geval zijn we ook zeker bereid daarvoor te betalen.

Overigens valt het op dat veel open code er vaak netter uitziet dan Ioncube encoded scripts. Niet altijd uiteraard maar best redelijk wat betaalde software is rommel en ik ken genoeg open source PHP projecten die eigenlijk best prima in orde zijn.

[Reactie gewijzigd door mxcreep op 20 november 2014 15:14]

Dit ligt voor veel mensen toch buiten het bereik.

Ik heb zelf toevallig laatst 'even snel' 2 wordpress sites online gezet voor mijn bedrijf, waarbij kosten opzich geen probleem zouden zijn, maar ik heb hiervoor de gratis mogelijkheden bekeken. (alle legale oplossingen, want voor de meeste functionaliteiten is het voor een developer onzin om te moeten betalen, vanwege de eenvoud ervan)

Alle plugins, thema's en alles controleer ik in de code om te zien, wat er precies gebeurt.
Zo goed als alle gratis, goede, plugins zijn voorzien van een lap code om 1. de makers te promoten (opzich wel zo logisch) 2. de makers op de hoogte te stellen van het gebruik ervan.

Gezien de licenties het goedkeuren, haal ik die #2 geheel uit de code.
Wil immers niet, dat andere mensen constant gegevens van 'mijn' bedrijf gebruiken.

Zo'n code revisie kan doorgaands niet ieder mens en al deze plugins zijn meestal voorzien van leuke marketing kreten, waardoor een leek geheel geen inzicht heeft op de inhoud.
Maar je bent als leek ook dom, dat je een gratis variant gebruikt van iets, waarvan je weet, dat het eigenlijk niet gratis is.
Daar dacht ik gisteren nog aan toen ik een gratis programma downloadde wat volgepakt zat met PUP browser hijacking meuk. Een project wat bij Sourceforge staat nog wel. Wat een troep en wat een werk om alles weer op te schonen.
Sinds ik Unchecky gebruik, is dat al wel een stuk minder ...

Niet tegen alle malware een 100% oplossing, maar het houdt iig de weet je het zeker en zullen we X ook erbij zetten wel tegen.
Ja, Source Forge is niet meer wat het geweest is sinds het is overgenomen helaas.
Alleen in dit geval lijken de mensen met de ge´nfecteerde sites er zelf geen of nauwelijks last van te hebben. Er worden links naar goksites ingevoegd, maar op zo'n manier dat bezoekers van je website ze niet zien en er dus ook geen last van hebben. Alleen Google heeft er last van, en concurrenten van die goksites. En de gokmarkt als geheel. En wat FrankHe hieronder zegt: als dat slechte goksites zijn waarnaar gelinkt wordt, kan de ranking bij Google van jouw website daardoor omlaag gaan. Niet leuk, maar minder erg dan veel andere malware... dus in zeker zin hebben die mensen nog geluk gehad.

[Reactie gewijzigd door Cerberus_tm op 20 november 2014 13:55]

Totdat Google erachter komt en jouw site een penalty geeft omdat je linkt naar dubieuze sites... Dan heb je er ineens wel last van ;) :+
Dat is wel waar...maar in elk geval beter dan een cryptolocker!
Maar je "achterdeur" blijft openstaan dus je site blijft kwetsbaar voor een heleboel andere misbruiken en omdat men er geen direct nadeel van ondervindt duurt het heel lang voor men er achter komt dat zijn/haar site ge´nfecteerd is.
Dat is waar, als ze er laters nog iets veel ergers door duwen...
Zo zie je maar dat je beter de originele software koopt.
Het nadeel is dat je vaak de software niet eerst eens kunt testen voor je deze koopt.
Je hebt wel vaak een online demo van de maker zelf maar dan weet je nog niet of dit wel op jouw specifieke site werkt.
Zo zie je maar dat je beter de originele software koopt.
Dat is ontzettend lastig bij Joomla, Drupal en WordPress en/of de plugins. Bijna alles daar is gratis/GPL en alleen voor eventuele extra/aanvullende functionaliteiten zijn er betaalde/donatie-uitvoeringen te krijgen.

Gezien de grootte van de repo's van deze CMS'en en het constant "rondzingen" van plugins, themes, patches, etc, is het schier onmogelijk om alles te kopen, dan te testen en dan nog steeds te zien dat er iets aan de hand is.

Het is voor de gemiddelde gebruiker ook soms erg moeilijk om in te schatten of je een plug-in moet kopen of mag kopen, niet in de laatste plaats omdat veel developers hier slechte/geen documentatie of support op geven.
Dat klopt,

Elke software aankopen en testen is inderdaad niet te doen.

Ik heb het zelf al eens meegemaakt op een site en dat was echt niet makkelijk te verwijderen.
Als er dan geen backups zijn kun je soms al beter opnieuw beginnen dan elk bestandje te bekijken en aan te passen.
Vaak is ook het probleem om alles up to date te houden niet simpel.
Zeker als je een heel aantal sites moet beheren.
Ik gebruik nu watchful en dat werkt wel goed voor updates.
Voor drupal heb je een geniale tool genaamd Drush. Toegegeven, je moet het wel op een (linux) VPS draaien, of anderszins shell toegang hebben
Begrijp ik het goed dat ze hierdoor backlinks genereren..?
Ja en omdat 'jouw' site naar goksites linkt trekt dit kunstje de notering van je gehele site omlaag.
4.1.3 Drupal
We have only found Drupal themes containing the CryptoPHP backdoor. The backdoor can be found in the ‘template.php’ file, at the very bottom of the file a PHP snippet can be found similar to this:
<?php include('images/social.png'); ?>
Drupal komt er dus best goed vanaf: als je maar alles download van Drupal.org is er niets aan de hand. Wel jammer dat je met php niet kunt vastleggen welke mimetypes je wil kunnen includen als code.

Overigens zal in iedere fatsoenlijk file manager die social.png als code weergeven, maar je moet er maar net naar op zoek zijn ...
> Drupal komt er dus best goed vanaf: als je maar alles download van Drupal.org is er niets aan de hand.

Het is natuurlijk best mogelijk een theme op Drupal.org te zetten met de cryptophp backdoor erin. Een oppervlakkige scan heeft tot dusver niets gezien, maar de full repo checkout moet nog gecontroleerd worden.
In theorie kun je het ook op github zetten. Als je kwaad wilt, kan het altijd.
Wel jammer dat je met php niet kunt vastleggen welke mimetypes je wil kunnen includen als code.
Is wel mogelijk, je moet dan alleen overal niet-standaard includes gaan gebruiken en zelf een functie schrijven die checkt wat de MIME-type van je te includen file is, en of dat overeen komt met een lijst van goedgekeurde files.
Is dit ook te debuggen, of waar z'n script zou kunnen staan?
Zou ClamAV dit al kunnen vinden denk je ?
En waarom zou ClamAV zoiets moeten vinden ? Het is toch geen virus ? Eigenlijk doet het niet meer dan links injecteren. Er wordt, voor zover ik lees, niets beschadigd of verwijderd (behalve je reputatie bij google)
Als ik het goed begrijp gaat het om piraterij-software van Nulledstyles.com- en Dailynulled-sites. Die is dus 'niet' uitgegeven door de oorspronkelijke maker van de plug-in.
Zo las ik het ook, in eerste instantie keek ik dus naar de originele uitgever, als boosdoener.

Maar uiteindelijk blijkt de downloader dus gratis te willen wat eigenlijk niet gratis hoort te zijn.
Dan moet je inderdaad even nadenken over de consequentie, en mag ik wel roepen "eigen schuld, dikke...."

Ik onderhou (inhoudelijk, niet technisch) een wordpress site, en er zijn daar meen ik 2 of 3 plugins gekocht, maar heb dus geen idee nu, of ze werkelijk betaald zijn, of dat de maker dit ook gebruikt heeft.

* FreshMaker maakt maar even een mailtje naar de eigenaar, om de facturen en aankopen te moeten nakijken hierover
Ook gekochte plug-ins van de genoemde sites in de bron zijn geinfecteerd.

Edit voor FrankHe:
https://foxitsecurity.fil...-whitepaper-foxsrt-v4.pdf

"3.1 Spreading
CryptoPHP is spread through multiple websites, for example; Daily Nulled:
and Nulled Stylez:
Paid as well as free plug-ins and themes are published here and made downloadable from their server, in the
past they relied on ‘uploadseeds.com’, a file sharing service. They stopped using this, most likely due to
constant takedowns for offering pirated content. "

[Reactie gewijzigd door Thystan op 20 november 2014 14:50]

Kun je aangeven waar je de informatie vandaan hebt dat ook betaalde plug-ins zijn getroffen?
Heb je het artikel wel gelezen?

Het gaat om cracked versies van betaalde plugins:
De ontwikkelaars van CryptoPHP zouden sitebeheerders verleiden met illegale versies van add-ons, waar ze normaal gesproken voor zouden moeten betalen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True