Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 30 reacties

De CryptoPHP-malware had op het moment van ontdekken vorige week meer dan 23.000 sites besmet. Dat maakt het Nederlandse beveiligingsbedrijf FoxIT bekend. In Nederland zou het om iets meer dan 1000 besmette sites gaan.

FoxIT kon achterhalen met welke ip-adressen CryptoPHP contact maakte via sinkholing, waarbij malware geen verbinding meer maakt met een command & control-server van de criminelen, maar met een zelf opgezette server. In totaal hebben 23.693 ip-adressen verbinding gemaakt met de sinkholes, maar dat aantal nam in de afgelopen dagen af tot 16.786 op maandag. Overigens ligt het werkelijke aantal besmette sites hoger, aangezien shared hostingservers met minimaal één besmette site met de sinkholes verbinding maakten. Het bedrijf werkte bij de analyse van de besmettingscijfers samen met Abuse.ch, Shadowserver en Spamhaus.

De meeste ip-adressen bevinden zich in de VS: 8675. Ook in Duitsland lijkt CryptoPHP redelijk verspreid te zijn, met 2877 besmettingen. In Nederland gaat het om 1008 ip-adressen die naar de sinkhole werden geleid. CryptoPHP verspreidde zich naar een cms door bestaande thema's en plug-ins voor Joomla, Drupal en WordPress van backdoors te voorzien en ze gratis aan te bieden via sites. Malwareontwikkelaars gebruikten de CryptoPHP-malware voor illegale zoekmachine-optimalisatie.

Het beveiligingsbedrijf heeft twee Python-scripts gepubliceerd waarmee site-beheerders de malware kunnen detecteren en ook is er een stappenplan om van CryptoPHP af te komen.

CryptoPHP

Moderatie-faq Wijzig weergave

Reacties (30)

Link naar github van Fox IT waar de Python bestanden te downloaden zijn: https://github.com/fox-it/cryptophp/tree/master/scripts. Wel zo handig :D

Hulde aan Fox IT om dit aan te bieden!
Bizar dat deze link niet in het artikel staat, enkel de uitleg dat het script bestaat. :?
find /home \( -name \*.jpg -or -name \*.png -or -name \*.jpeg -or -name \*.gif -or -name \*.bmp \) -type f -exec file {} \; | grep "PHP script"

Bovenstaande is ook een doeltreffende manier om Crypto PHP malware te traceren.

[Reactie gewijzigd door BliXem op 26 november 2014 16:48]

Gebruik je beter -iname ipv -name
(iname is case insensitive)
En dus ook grep -i
En de besmette sites zijn niet ergens opgelijst zodat je tenminste weet of je risico gelopen hebt?
Zoiets lijst je juist niet op. Of je controleert het zelf op je website, of je doet een Google search die de geÔnfecteerde websites mee pakt en kijkt of die van jouw er tussen staat. Ik heb de malware nog niet bekeken, ik kan nu dus nog geen specifieke search maken die geÔnfecteerde sites mee pakt, maar dat kun je zelf ook natuurlijk.
Ik heb recentelijk wel wat plugins waar je eigen voor moest betalen gedownload van een website met de gratis versies omdat ik eerst wilde weten of ze het geld waard waren.. Wat ik zag was dat ze in de index.php een .png bestand probeerden aan te roepen waar code in verborgen zat.

Toevallig gevonden omdat ik bij 1 plugin in wordpress een error kreeg bij het uitvoeren van de plugin en ik met een programma ging zoeken in de plugin bestanden op de naamgeving IN de bestanden zelf. Zo kwam ik bij dat .png bestand uit.

Bij nader onderzoek bleek dus iedere plugin of template van die website bewerkt te zijn met dezelfde code.

Deze methode bleek bij 9 diverse nulled wordpress/joomla/wordpress websites zo te werken. Sindsdien doe ik dat niet meer.
Tja, en er zijn een legio aan lui die klakkeloos scripts die nulled zijn gebruiken, met alle gevolgen Vandien. :)
Patchman, een tool die door veel hosting providers gebruikt wordt, detecteert CryptoPHP ook en zet het automatisch in quarantaine. Als je dus bij een hosting provider zit die dat gebruikt, ben je al veilig :)

full disclosure: ik werk bij Patchman

[Reactie gewijzigd door Tuvow op 26 november 2014 17:21]

Ik weet dat je bij de "A-team" werkt, maar: https://www.rfxn.com/projects/linux-malware-detect/ doet net zo goed zijn werk.
Dat is inderdaad een goede malware detection tool. De detectiegraad van Patchman is echter wel hoger. Daarnaast is malware detection maar een klein onderdeel van Patchman. Maargoed, dat is niet relevant in de context van CryptoPHP. Maar wilde toch even op je reactie reageren.
Leuk dat je reclame maakt voor je eigen bedrijf, maar niet netjes op die link niet te vermelden.
Wij van wc-eend, adviseren wc-eend.... :)
Op centos runnen de scripts niet :/

Traceback (most recent call last):
File "check_filesystem.py", line 77, in <module>
print('Recursively scanning directory: {}'.format(directory))
ValueError: zero length field name in format
Dit zegt meer over python en de modules die je hebt dan over CentOs. Vraag het je sysadmin als je uitsluitsel wilt.
Bij Python 2.6 was het nog nodig om indices neer te zetten bij .format().
De scripts zijn een uur geleden geŁpdatet, dus het zou nu moeten werken.
Is er ook een site of een php script om dit te detecteren? Ik ken genoeg mensen die een 'gratis' wordpress omgeving hebben maar geen toegang hebben tot de shell of toegang tot specifieke wordpress instellingen (van die pre installed pakketen met ristricties)
ťťn van de scripts scant van een afstand en kan je dus gewoon gebruiken door python op windows te installeren :)
Het de labels/getallen vh grafiekje lijken wel niet te kloppen.
En zo zie je maar weer, de beste virusscanner die er bestaat ben je zelf.
Krijg zojuist een mailtje van SurfRight voor de gratis tool ...

Hier

We zijn nu toch aan het reclame maken, maar het lijkt me dat met dit soort vervelende besmettingen elke variant van elke leverancier gepost zou mogen worden. (neem ik aan)

Edit:verduidelijking

[Reactie gewijzigd door Klaus F. op 26 november 2014 18:28]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True