Avem o cifra oficiala: peste 23.000 de servere web au fost infectate cu backdoor-ul CryptoPHP, care se foloseste de teme si plugin-uri piratate pentru a compromite website-uri construite pe sisteme populare de management al continutului, cum ar fi WordPress, Joomla sau Drupal.
Despre CryptoPHP am scris intr-un articol anterior de pe blog, unde am detaliat modul de functionare al acestuia si masurile de precautie care pot fi luate.
Potrivit firmei de securitate olandeza Fox-IT, care a publicat saptamana trecuta un raport despre aceasta amenintare, backdoor-ul este folosit in principal pentru black hat SEO, o operatiune care presupune injectarea de cuvinte cheie in continutul paginilor web ale site-urilor infectate, pentru a le compromite rank-ul din topul motoarelor de cautare si pentru a promova continut malware in topul rezultatelor de cautare.
Serverele web infectate cu CryptoPHP actioneaza ca un botnet sau mai degraba ca o drona a unui botnet, conectandu-se la servere de comanda si control operate de atacatori si folosind un canal de comunicare criptat pentru a primi comenzi.
Cu ajutorul guvernului olandez, si al catorva organizatii care lupta impotriva criminalitatii cibernetice (Abuse.ch, Fundatia Shadowserver si Spamhaus), Fox-IT a preluat controlul domeniilor de comanda si control al CryptoPHP si le-a directionat catre servere aflate sub controlul sau, pentru a aduna date statistice; operatiune cunoscuta sub numele de “sinkholing.”
Circa 24.000 de adrese IP unice s-au conectat la acel sinkhole creat de Fox-IT conform declatiilor companiei de pe blogul acesteia. Cu toate acestea, cel mai probabil este ca numarul de site-uri afectate este mult mai mare, deoarece unele dintre aceste adrese IP corespund unor servere de web hosting shared, care pot gazdui mai multe site-uri infectate.
De obicei un server folosit pentru hosting shared (hosting standard) gazduieste cateva sute de siteuri, uneori chiar mii. Daca inmultim acest numar de adrese IP 23.693 cu cel putin 100 de siteuri pe un server, vom vedea ca numarul siteurilor infectate este de ordinul milioanelor
Primele patru tari cu cele mai multe infectii CryptoPHP sunt SUA cu peste 8000 de IP-uri, Germania cu circa 3.000, Franta cu circa 1200 si Olanda cu 1000.
Ca urmare a publicarii raportului Fox-IT despre CryptoPHP de saptamana trecuta, atacatorii au oprit site-urile care gazduiau plugin-uri si teme piratate si au creat altele noi. De asemenea, au creat si o noua versiune a backdoor-ului, in incercarea de a evita detectarea.
Cercetatorii Fox-IT au publicat doua scripturi Python pe GitHub, pe care webmasterii le pot utiliza pentru a-si scana serverele si site-urile in incercarea de a depista backdoo-ul CryptoPHP. De asemenea, acestia au oferit instructiuni pe blog-ul lor despre cum se poate elimina backdoor-ul, dar au mentionat ca in cele din urma cel mai indicat este sa se reinstaleze de la zero sistemul de management de continut, din moment ce integritatea sa a fost compromisa.
Din nefericire, si la megahost au fost cateva astfel de cazuri de infectie cu backdoor-ul CryptoPHP. Aici gasiti o lista cu site-urile oprite din aceasta cauza. Din motive de securitate, lista a fost parolata. Daca sunteti client megahost, solicitati unui operator tehnic parola de acces.