Pratite nas preko RSS-aViše od 23000 web sajtova zaraženo backdoorom CryptoPHP
Vesti, 30.11.2014, 22:56 PM
Više od 23000 web servera je inficirano backdoorom nazvanim CryptoPHP koji se širi preko piratskih tema i pluginova za WordPress, Joomla i Drupal.
CryptoPHP je maliciozna skripta koja obezbeđuje napadačima da sa daljine izvršavaju kod na web serverima i ubacuju maliciozni sadržaj u web sajtove koji su hostovani na njima.
Backdoor koji su otkrili istraživači holandske firme Fox-IT se prvenstveno koristi za black hat SEO (search engine optimization), koji podrazumeva ubacivanje ključnih reči i stranica na kompromitovane sajtove sa ciljem preotimanja njihove pozicije u pretrazi i “guranja” malicioznog sadržaja na više pozicije u rezultatima pretrage.
Za razliku od većine backdoorova na web sajtovima, CryptoPHP ne koristi ranjivosti u sajtovima. Oni koji ga distribuiraju koriste piratske verzije komercijalnih pluginova i tema za WordPress, Joomla i Drupal koji se nude na nekoliko sajtova. Ono što napadači čekaju su vlasnici sajtova koji će preuzeti ove maliciozne pluginove i teme sa CryptoPHP backdoorom koji je ubačen u njih.
Web serveri inficirani malverom CryptoPHP deluju kao bot mreža. Oni se povezuju sa serverima za komandu i kontrolu (C&C) napadača koristeći šifrovani komunikacijski kanal i čekaju komande.
Fox-IT je uz pomoć Nacionalnog centra za sajber bezbednost holandske vlade i nekoliko organizacija za borbu protiv sajber kirminala preuzeo kontrolu nad domenima za komandu i kontrolu CryptoPHP i preusmerio ih na servere koji su pod kontrolom istraživača da bi se prikupljali podaci (postupak je poznat pod nazivom sinkholing). Ukupno 23693 jedinstvenih IP adresa povezalo se sa ovim C&C domenima. Međutim, broj zaraženih web sajtova je verovatno i veći jer neke od ovih IP adresa odgovaraju deljenim web hosting serverima koji imaju više od jednog inficiranog sajta.
Najveći broj infekcija je u SAD (8657 IP adresa), Nemačkoj (2877 IP adresa), Francuskoj (1231 IP adresa), Holandiji (1008 IP adresa) i Turskoj (749 IP adresa).
Posle objavljivanja otkrića holandskih istraživača, web sajtove na kojima su se nudili piratski pluginovi i teme su na kratko bili offline, ali su sada ponovo aktivni. Osim toga, napadači su objavili novu verziju backdoora, verovatno da bi izbegli otkrivanje.
Više detalja o backdoor CryptoPHP možete naći na našem sajtu, u tekstu koji smo objavili početkom prošle nedelje. Ako sumnjate da vam je sajt zaražen možete iskoristiti skener koji je napravio Predrag Damnjanović, vlasnik firme MyCity, koji ga je postavio na Pastebinu.
Izdvojeno
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
.jpg)
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Pratite nas
Nagrade
Prijatelji
