Nizozemská společnost Fox-IT, která se zabývá internetovou bezpečností, publikovala rozsáhlou zprávu v níž zmiňuje backdoor s názvem CryptoPHP. Ten ohrožuje několik tisíc instalací redakčních systémů WordPress, Drupal a Joomla!, jejichž administrátoři se rozhodli, že si stáhnout z warez webů plnou verzi komerčních pluginů šablon. Právě v nich byl obsažen backdoor CryptoPHP.

V současné době, k datu 12. listopadu 2014, je evidováno celkem 16 druhů backdoor CryptoPHP. První varianta se objevila 25. září 2013. Společnost Fox-IT odhaduje, že jsou zasaženy tisíce redakčních systémů po celém světě. Vzhledem k tomu, že veřejné varování vydalo hned několik domácích hostingových společností, mezi nimiž je i největší poskytovatel webhostingů v Česku WEDOS, je tedy možné, že postižených bude daleko více.

Během několika posledních dnů spustili hostingové společnosti vlastní scanovací roboty, které hledají backdoor CryptoPHP v službách jejich zákazníků a následně jim posílají informační emaily. Podle internetových diskuzí se nejčastěji zmiňuje z redakčních systémů WordPress, což se vzhledem k tomu, že jasně převažuje nad ostatními ale dalo čekat.

V současné době se CryptoPHP zaměřuje na získávání zpětných odkazů, které umísťuje na napadený web, pokud je navštíví robot vyhledávače. Ty směřují na stránky, které jsou momentálně na několika blacklistech, což může poškodit web ve vyhledávači Google. Pokud se na vašich stránkách bude nacházet odkaz vedoucí na zavirované anebo jinak nevhodné stránky (takové které se nachází právě na blacklistech), Google vaše stránky bude považovat za nevhodné pro své uživatele a dočasně je odstraní z výsledků. Vzhledem k tomu, že právě teď vrcholí vánoční sezóna může se tak současná kauza CryptoPHP dotknout zisku mnoha webů, které nemusí přímo prodávat zboží, ale například prodávají reklamu přes PPC systémy.

Jsou však zaznamenány i případy, kdy došlo k přesměrování návštěvníků na YouTube videa.

Samotný backdoor CryptoPHP v souboru social.png. Ačkoliv se jedná o obrázek nachází se v něm PHP kód. Poskytovatelé hostingů hledají na účtech svých klientů právě tento soubor, pokud je větší než 30 KB. Momentálně jsou nejvíce ohroženy redakční systémy WordPress a Joomla!. Drupal se zdá být o trochu „odolnější“ a backdoor v něm naplno nefunguje jak by měl. Nicméně má schopnost se sám aktualizovat, takže i Drupal je jen otázkou času. Po úspěšném proniknutí do systému se vytvoří uživatel system s administrátorskými právy.

Dále je do instalace umístěna podmínka, že pokud bude návštěvníkův USER-AGENT chishijen12, tak uvidí všechny chyby a varování. Díky tomuto zjištění se v prosinci 2013 podařilo společnosti Fox-IT zjistit přístup z Moldavské IP adresy právě s tímto user agentem. Konkrétně se jednalo o město Kišiněv. V současné době se na ovládání napadených instalací podílí 45 unikátních IP adres a 191 domén.

Tento článek byl byl přečten 1704 krát