CryptoPHP-malware trof minstens 23.000 sites

De CryptoPHP-malware had op het moment van ontdekken vorige week meer dan 23.000 sites besmet. Dat maakt het Nederlandse beveiligingsbedrijf FoxIT bekend. In Nederland zou het om iets meer dan 1000 besmette sites gaan.

FoxIT kon achterhalen met welke ip-adressen CryptoPHP contact maakte via sinkholing, waarbij malware geen verbinding meer maakt met een command & control-server van de criminelen, maar met een zelf opgezette server. In totaal hebben 23.693 ip-adressen verbinding gemaakt met de sinkholes, maar dat aantal nam in de afgelopen dagen af tot 16.786 op maandag. Overigens ligt het werkelijke aantal besmette sites hoger, aangezien shared hostingservers met minimaal één besmette site met de sinkholes verbinding maakten. Het bedrijf werkte bij de analyse van de besmettingscijfers samen met Abuse.ch, Shadowserver en Spamhaus.

De meeste ip-adressen bevinden zich in de VS: 8675. Ook in Duitsland lijkt CryptoPHP redelijk verspreid te zijn, met 2877 besmettingen. In Nederland gaat het om 1008 ip-adressen die naar de sinkhole werden geleid. CryptoPHP verspreidde zich naar een cms door bestaande thema's en plug-ins voor Joomla, Drupal en WordPress van backdoors te voorzien en ze gratis aan te bieden via sites. Malwareontwikkelaars gebruikten de CryptoPHP-malware voor illegale zoekmachine-optimalisatie.

Het beveiligingsbedrijf heeft twee Python-scripts gepubliceerd waarmee site-beheerders de malware kunnen detecteren en ook is er een stappenplan om van CryptoPHP af te komen.

Door Olaf van Miltenburg

Nieuwscoördinator

26-11-2014 • 16:32

30 Linkedin

Reacties (30)

30
30
20
4
2
5
Wijzig sortering
Link naar github van Fox IT waar de Python bestanden te downloaden zijn: https://github.com/fox-it/cryptophp/tree/master/scripts. Wel zo handig :D

Hulde aan Fox IT om dit aan te bieden!
Bizar dat deze link niet in het artikel staat, enkel de uitleg dat het script bestaat. :?
find /home \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \; | grep "PHP script"

Bovenstaande is ook een doeltreffende manier om Crypto PHP malware te traceren.

[Reactie gewijzigd door BliXem op 26 november 2014 16:48]

Gebruik je beter -iname ipv -name
(iname is case insensitive)
En dus ook grep -i
En de besmette sites zijn niet ergens opgelijst zodat je tenminste weet of je risico gelopen hebt?
Zoiets lijst je juist niet op. Of je controleert het zelf op je website, of je doet een Google search die de geïnfecteerde websites mee pakt en kijkt of die van jouw er tussen staat. Ik heb de malware nog niet bekeken, ik kan nu dus nog geen specifieke search maken die geïnfecteerde sites mee pakt, maar dat kun je zelf ook natuurlijk.
Ik heb recentelijk wel wat plugins waar je eigen voor moest betalen gedownload van een website met de gratis versies omdat ik eerst wilde weten of ze het geld waard waren.. Wat ik zag was dat ze in de index.php een .png bestand probeerden aan te roepen waar code in verborgen zat.

Toevallig gevonden omdat ik bij 1 plugin in wordpress een error kreeg bij het uitvoeren van de plugin en ik met een programma ging zoeken in de plugin bestanden op de naamgeving IN de bestanden zelf. Zo kwam ik bij dat .png bestand uit.

Bij nader onderzoek bleek dus iedere plugin of template van die website bewerkt te zijn met dezelfde code.

Deze methode bleek bij 9 diverse nulled wordpress/joomla/wordpress websites zo te werken. Sindsdien doe ik dat niet meer.
Tja, en er zijn een legio aan lui die klakkeloos scripts die nulled zijn gebruiken, met alle gevolgen Vandien. :)
Patchman, een tool die door veel hosting providers gebruikt wordt, detecteert CryptoPHP ook en zet het automatisch in quarantaine. Als je dus bij een hosting provider zit die dat gebruikt, ben je al veilig :)

full disclosure: ik werk bij Patchman

[Reactie gewijzigd door Tuvow op 26 november 2014 17:21]

Ik weet dat je bij de "A-team" werkt, maar: https://www.rfxn.com/projects/linux-malware-detect/ doet net zo goed zijn werk.
Dat is inderdaad een goede malware detection tool. De detectiegraad van Patchman is echter wel hoger. Daarnaast is malware detection maar een klein onderdeel van Patchman. Maargoed, dat is niet relevant in de context van CryptoPHP. Maar wilde toch even op je reactie reageren.
Leuk dat je reclame maakt voor je eigen bedrijf, maar niet netjes op die link niet te vermelden.
Wij van wc-eend, adviseren wc-eend.... :)
Op centos runnen de scripts niet :/

Traceback (most recent call last):
File "check_filesystem.py", line 77, in <module>
print('Recursively scanning directory: {}'.format(directory))
ValueError: zero length field name in format
Dit zegt meer over python en de modules die je hebt dan over CentOs. Vraag het je sysadmin als je uitsluitsel wilt.
Bij Python 2.6 was het nog nodig om indices neer te zetten bij .format().
De scripts zijn een uur geleden geüpdatet, dus het zou nu moeten werken.
Is er ook een site of een php script om dit te detecteren? Ik ken genoeg mensen die een 'gratis' wordpress omgeving hebben maar geen toegang hebben tot de shell of toegang tot specifieke wordpress instellingen (van die pre installed pakketen met ristricties)
één van de scripts scant van een afstand en kan je dus gewoon gebruiken door python op windows te installeren :)
Het de labels/getallen vh grafiekje lijken wel niet te kloppen.
En zo zie je maar weer, de beste virusscanner die er bestaat ben je zelf.
Krijg zojuist een mailtje van SurfRight voor de gratis tool ...

Hier

We zijn nu toch aan het reclame maken, maar het lijkt me dat met dit soort vervelende besmettingen elke variant van elke leverancier gepost zou mogen worden. (neem ik aan)

Edit:verduidelijking

[Reactie gewijzigd door Klaus F. op 26 november 2014 18:28]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee