frank
02.12.2014, aktualisiert um 20:25:01 Uhr
view1991
view9
0
Goto Top

CryptoPHP: Hinterlistiger Schadcode hat zehntausende Server infiziert

AllgemeinPHPEntwicklung
Ein neuer PHP-Schadcode wurde entdeckt. Über 23.000 Webserver sind bereits infiziert. Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt. Laut der Sicherheitsfirma Fox-IT werden Webserver, die mit CryptoPHP infiziert sind, Teil eines Botnetz, das Such-Ergebnisse für unseriöse Webseiten verbessert. Auf den infizierten Server wird über ein "include()"-Statement eine angebliche PNG-Datei eingebunden. Das PNG-Bild ist allerdings versteckter PHP-Code.

Die Sicherheitsfirma Fox-IT hat ein ein Python Skript bereitgestellt, mit dem man den eigenen Server auf Infektionen mit CryptoPHP prüfen kann:
https://github.com/fox-it/cryptophp/tree/master/scripts

Gruß
Frank

http://www.heise.de/open/meldung/CryptoPHP-Hinterlistiger-Schadcode-hat ...
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 256476

Url: https://administrator.de/forum/cryptophp-hinterlistiger-schadcode-hat-zehntausende-server-infiziert-256476.html

Ausgedruckt am: 07.04.2025 um 01:04 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
SlainteMhath
SlainteMhath 03.12.2014 um 09:36:48 Uhr
Goto Top
1128b6e98567ebfe3af41cebc0f774a7
Mehr gibt's dazu nicht zu sagen face-smile
heart1
Frank
Frank 03.12.2014 aktualisiert um 10:03:22 Uhr
Goto Top
?

Sollte ich das verstehen?
Haha über die Schadsoftware oder haha über die, die es erwischt hat?

Gruß
Frank
Doskias
Doskias 03.12.2014 um 10:38:05 Uhr
Goto Top
Naja... da steht:

Zitat von @Frank:

Der PHP-Schadcode wird über raubkopierte Themes und Plug-ins für bekannte Content-Management-Systeme (CMS) wie Drupal, WordPress oder Joomla verteilt.

Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient. Ich hätte vielleicht nicht "Haha" gesagt, aber Mitleid habe ich da auch nicht.
Frank
Frank 03.12.2014 um 10:54:23 Uhr
Goto Top
Hi,

naja, so würde ich das nicht lesen. Der Absatz mit dem "raubkopierten" Themen hat mich bei Heise aber auch sehr irritiert. Hier mal der Originaltext von Fox-IT:

By publishing pirated themes and plug-ins free for anyone to use instead of having to pay for them, the CryptoPHP actor is social engineering site administrators into installing the included backdoor on their server.

Das könnte auch heißen, das jemand die kostenpflichtige "Themes" einfach nur frei veröffentlicht hat. Diejenigen, die sie dann heruntergeladen haben, wussten evtl. gar nicht, das es mal kostenpflichtige "Themes" waren. Ich könnte das z.B. nicht unterscheiden.

Gruß
Frank
SlainteMhath
SlainteMhath 03.12.2014 um 11:16:47 Uhr
Goto Top
Wer raubkopierte Themes und Plug-ins nutzt, hat es meiner Meinung nicht besser verdient
Genau das sollte das Bild ausdrücken face-smile
Frank
Frank 03.12.2014 um 11:20:43 Uhr
Goto Top
Hi,

wie schon erwähnt, glaube ich nicht, das die User wirklich wussten, dass es raubkopierte "Themes" oder "Plugins" waren.

Gruß
Frank
Doskias
Doskias 03.12.2014 um 11:23:45 Uhr
Goto Top
Stimmt.

Die Originalnachricht kann auch bedeuten, dass derjenige, der das raubkopierte Theme nutzt garnicht wusste, dass es raubkopiert war.
heart1
eagle2
eagle2 05.12.2014 um 16:16:46 Uhr
Goto Top
Naja, bei Uberspace im Blog (https://blog.uberspace.de/immer-arger-mit-gestohlenen-themes/) wird beschrieben, dass die Quelle meist Websites a la "nullified", "wp-nulled" etc ist. Wer über solche Seiten Themes herunterlädt, sollte mMn schon wissen, worauf er sich einlässt...

Viele Grüße
Eagle2
Doskias
Doskias 05.12.2014 um 16:40:15 Uhr
Goto Top
Wenn er es nicht weiß, hat er es jetzt zumindest gelernt face-smile
AllgemeinPHPEntwicklung
Mehr von FrankFrankWebseiten im Existenzkampf: Googles KI-Suche lässt Besucherzahlen einbrechenFrank - 8 KommentareFrankDeutsche PC Tastatur in macOS einrichten (mit PC-Layout)Frank - 4 KommentareFrankZur Sicherheit der Signal-App im Kontext des aktuellen US-LeaksFrank - 15 KommentareFrankVerzeichnissynchronisierung mit lsyncd unter UbuntuFrank - 5 Kommentare
Heiß diskutiert
kreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 42 KommentareU08154711Firewall Regeln für TravelrouterU08154711 - 34 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 23 KommentareDerWoWussteImport eines p12-Zertifikates auf einen YubikeyDerWoWusste - 20 KommentarekpunktMicrosoft entfernt BypassNRO.cmdkpunkt - 19 Kommentareem-pieVMware: Mindestens 72 Cores für Lizenzierung erforderlichem-pie - 18 KommentareanteNopeVeeam Agent on-VM-Backup?anteNope - 16 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentareMegaadwwhOPNSense, Proxmox, eine weitere Firewall, Ubiquiti, Cisco und NetgearMegaadwwh - 15 KommentarekreuzbergerTrueNAS-13.3-U1.1, Plugin Installation schlägt fehlkreuzberger - 15 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 15 Kommentare