frank
Dec 02, 2014, updated at 19:25:01 (UTC)
view2004
view9
0
Article Menu
  • Print
  • Copy internal post link
  • Copy external post link

CryptoPHP: Hinterlistiger Schadcode hat zehntausende Server infiziert

GermanGeneralPHPEntwicklung
Ein neuer PHP-Schadcode wurde entdeckt. Über 23.000 Webserver sind bereits infiziert. Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt. Laut der Sicherheitsfirma Fox-IT werden Webserver, die mit CryptoPHP infiziert sind, Teil eines Botnetz, das Such-Ergebnisse für unseriöse Webseiten verbessert. Auf den infizierten Server wird über ein "include()"-Statement eine angebliche PNG-Datei eingebunden. Das PNG-Bild ist allerdings versteckter PHP-Code.

Die Sicherheitsfirma Fox-IT hat ein ein Python Skript bereitgestellt, mit dem man den eigenen Server auf Infektionen mit CryptoPHP prüfen kann:
https://github.com/fox-it/cryptophp/tree/master/scripts

Gruß
Frank

http://www.heise.de/open/meldung/CryptoPHP-Hinterlistiger-Schadcode-hat ...
Share articleShare
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on Linkedin

Content-ID: 256476

Url: https://administrator.de/forum/cryptophp-hinterlistiger-schadcode-hat-zehntausende-server-infiziert-256476.html

Printed on: May 13, 2025 at 14:05 o'clock

9 Comments
Latest comment
Goto Top
SlainteMhath
SlainteMhath Dec 03, 2014 at 08:36:48 (UTC)
Goto Top
1128b6e98567ebfe3af41cebc0f774a7
Mehr gibt's dazu nicht zu sagen face-smile
heart1
Frank
Frank Dec 03, 2014 updated at 09:03:22 (UTC)
Goto Top
?

Sollte ich das verstehen?
Haha über die Schadsoftware oder haha über die, die es erwischt hat?

Gruß
Frank
Doskias
Doskias Dec 03, 2014 at 09:38:05 (UTC)
Goto Top
Naja... da steht:

Zitat von @Frank:

Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt.

Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient. Ich hätte vielleicht nicht "Haha" gesagt, aber Mitleid habe ich da auch nicht.
Frank
Frank Dec 03, 2014 at 09:54:23 (UTC)
Goto Top
Hi,

naja, so würde ich das nicht lesen. Der Absatz mit dem "raubkopierten" Themen hat mich bei Heise aber auch sehr irritiert. Hier mal der Originaltext von Fox-IT:

By publishing pirated themes and plug-ins free for anyone to use instead of having to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included backdoor on their server.

Das könnte auch heißen, das jemand die kostenpflichtige "Themes" einfach nur frei veröffentlicht hat. Diejenigen, die sie dann heruntergeladen haben, wussten evtl. gar nicht, das es mal kostenpflichtige "Themes" waren. Ich könnte das z.B. nicht unterscheiden.

Gruß
Frank
SlainteMhath
SlainteMhath Dec 03, 2014 at 10:16:47 (UTC)
Goto Top
Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient
Genau das sollte das Bild ausdrücken face-smile
Frank
Frank Dec 03, 2014 at 10:20:43 (UTC)
Goto Top
Hi,

wie schon erwähnt, glaube ich nicht, das die User wirklich wussten, dass es raubkopierte "Themes" oder "Plugins" waren.

Gruß
Frank
Doskias
Doskias Dec 03, 2014 at 10:23:45 (UTC)
Goto Top
Stimmt.

Die Originalnachricht kann auch bedeuten, dass derjenige, der das raubkopierte Theme nutzt garnicht wusste, dass es raubkopiert war.
heart1
eagle2
eagle2 Dec 05, 2014 at 15:16:46 (UTC)
Goto Top
Naja, bei Uberspace im Blog (https://blog.uberspace.de/immer-arger-mit-gestohlenen-themes/) wird beschrieben, dass die Quelle meist Websites a la "nullified", "wp-nulled" etc ist. Wer über solche Seiten Themes herunterlädt, sollte mMn schon wissen, worauf er sich einlässt...

Viele Grüße
Eagle2
Doskias
Doskias Dec 05, 2014 at 15:40:15 (UTC)
Goto Top
Wenn er es nicht weiß, hat er es jetzt zumindest gelernt face-smile
GermanGeneralPHPEntwicklung