Waak voor trojans in plugins en thema's (CryptoPHP)
Graag maken we u attent op het feit dat er op het internet plugins en thema's voor populaire CMS-systemen (Joomla, Wordpress en Drupal) worden aangeboden die zijn geïnfecteerd met een trojan, genaamd CryptoPHP. We vragen u te waken voor de installatie van onbetrouwbare plugins en thema's voor uw CMS-systeem.

Let bijvoorbeeld op dat de websites waar u deze download betrouwbare websites zijn die al jaren bestaan, of dat de plugins en thema's die u kiest een goede beoordeling hebben en breed draagvlak hebben in de online community. CryptoPHP brengt zeer vervelende gevolgen met zich mee, die in sommige gevallen onomkeerbare schade aan uw website toebrengen.

Wij dragen op dit moment zorg voor actieve monitoring van besmetting, maar maken u attent op het feit dat wij weinig preventief kunnen doen. De mogelijkheid om dit te voorkomen ligt bij u (en uw webbouwer).

Wat is CrytoPHP?
CryptoPHP is een trojan (software) dat werkt als "backdoor" (achterdeur) in populaire CMS-systemen zoals Joomla, Wordpress en Drupal. Kwaadwillenden hebben deze trojan geschreven om websites te kunnen binnendringen en deze te gebruiken voor kwaadwillende doeleinden.

Hoe kan CryptoPHP mijn website binnendringen?
CryptoPHP bevindt zich in thema's en plugins voor de genoemde CMS-systemen. Als u een thema of een plugin download en installeert voor uw CMS-systeem en dit doet vanaf een niet-betrouwbare website of u installeert een plugin of thema die reeds besmet is, dan zal de trojan zich bij installatie van het thema of de plugin installeren en verspreiden.

Wat doet CryptoPHP?
CryptoPHP gebruikt uw website onder meer voor illegale zoekmachine optimalisatie, ook bekend als Blackhat SEO. Daarnaast is het in staat om met andere servers te communiceren, heeft het een zeer uitgebreide infrastructuur, een back-up mechanisme en heeft het de mogelijkheid om zichzelf bij te werken. Daarnaast verspreid het zich bij installatie, het maakt extra admin accounts voor zichzelf aan en zorgt dat het regelmatig aan wordt geroepen.

Hoe kom ik van CryptoPHP af?
Als uw website reeds besmet is geraakt is het enige advies waarbij u zeker bent van complete verwijdering om uw website geheel opnieuw te installeren, daar CryptoPHP overal in uw website sporen kan achter laten en manieren kan blijven vinden om opnieuw binnen te dringen. Dit is echter niet altijd nodig, de minimale stappen die u dient te volgen zijn:

  • Verwijder de "include" van de trojan, zorg er bijvoorbeeld voor dat u het script vindt dat include("images/social.png") bevat. Dit pad kan verschillend zijn per installatie.
  • Verwijder de trojan (social*.png als bestand) door het bestand te verwijderen.
  • Controleer uw database of er geen extra administrator accounts zijn aangemaakt, en wijzig het wachtwoord van alle andere administrator accounts.


Waarom kan e-Dot niets preventief doen?
Daar CryptoPHP vrij nieuw is en er geen enkele database is van plugins en thema's die besmet zijn, en u zelf de verantwoordelijkheid heeft over welke thema's en plugins u installeert, kunnen wij preventief weinig doen. Wel zullen wij proberen door middel van communicatie de aandacht van CryptoPHP te verspreiden. Wij kunnen helaas alleen achteraf zien als een website besmet is geraakt doordat er zich verdacht verkeer bevindt in ons netwerk, iets waar wij actief op monitoren.

Meer informatie over CryptoPHP vindt u op de website van de veiligheidsexperts van Fox IT:
http://blog.fox-it.com/2014/11/18/cryptophp-analysis-of-a-hidden-threat-inside-popular-content-management-systems/

 

Waak voor trojans in plugins en thema's (CryptoPHP)

home   |   sitemap   |   contact
  • Inloggen in uw My e-Dot:
Gebruikersnaam:

Wachtwoord:
Veilig online betalen via iDEAL of een creditcard.