Legalább 23 ezer webszervert fertőzött meg eddig a CryptoPHP, ráadásul úgy, hogy nem használ semmiféle szoftveres sérülékenységet. A felhasználók terjesztik önként, figyelmetlenségből. A károkozó weblapok tömeges kompromittálását segíti elő – írta a Biztonságportál.

Nem szoftverhibára, hanem a felhasználóra épít

A Fox-IT kutatói szerint A CryptoPHP tulajdonképpen egy olyan script, amely a webszerverek megfertőzését követően számos művelet végrehajtására utasítható – írják a Fox-IT kutatói. (A teljes elemzés letölthető egy kattintásnyira pdf formátumban.) A legsúlyosabb, hogy a fertőzött webszerverről az általa kiszolgált összes weboldalt nagyon gyorsan lehet manipulálni: el lehet helyezni rajtuk nemkívánatos kódokat, vagy akár a tartalmi elemeiket is lehet módosítani.

Ezt látja a felhasználó (bal) és egy robot a fertőzőtt weboldalból: jól láthatók az utólag beillesztett linkek

Az előbbi esetben az oldalak vírusterjesztésre használhatók, míg a tartalmi módisításokat az ún. BHSEO (Black Hat Search Engine Optimization) módszerekhez lehet használni. A BHSEO elsősorban azt a célt szolgálja, hogy a csalók az ártalmas weboldalaikat minél előkelőbb helyre tudják pozicionálni a keresőkben. Ehhez az oldalakba különféle linkeket illesztenek. A CryptoPHP feladata a folyamatban az, hogy amikor felhasználók megnéznek egy ilyen weblapot, akkor ne történjen semmi szokatlan. Ám ha egy webes keresőhöz tartozó robot tölti le az oldalt, akkor a linkek beszúrására azonnal megtörténjen.

A CryptoPHP jelenlegi variánsa – eltérően a hasonló károkozóktól – nem használ ki semmiféle szoftveres sebezhetőséget. Ehelyett népszerű tartalomkezelőkhöz tartozó bővítmények, kiegészítők kalózmásolataként terjed. Amikor egy weboldal fejlesztője vagy tulajdonosa letölt és telepít egy ilyen bővítményt, akkor tulajdonképpen saját kezűleg fertőzi meg a webhelyét. A CryptoPHP elsősorban a Joomla-, a WordPress- és a Drupal-alapú weboldalakon érzi elemében magát.

A háttérben ott egy alattomos botnet

A CryptoPHP a fertőzött webszervereket egy botnet hálózatba köti. A Fox-IT szakembereinek eddig egy ilyen hálózatot sikerült felderíteniük a holland hatóságok, a Shadowserver Foundation és a Spamhaus közreműködésével. Csak ehhez a botnethez több mint 23 ezer kompromittált kiszolgáló tartozott, köztük tárhelyszolgáltatók szerverei is, így az érintett weboldalak száma értelemszerűen ennél jóval nagyobb lehet.

Kiterjedt fertőzést találtak a Fox-IT szakemberei

A CryptoPHP a legtöbb sikeres támadást az Egyesült Államokban könyvelhette el, de Németországban, Franciaországban, Hollandiában és Törökországban is szép számmal akadnak fertőzött kiszolgálók. A biztonsági cég a védekezéshez kiadott két Python scriptet adott ki, amelyek segítségével detektálható a CryptoPHP. A Fox-IT azt javasolja, hogy az ártalmas fájlokat mielőbb célszerű törölni vagy megtisztítani, de egy kompromittált webszerver esetében a legbiztosabb megoldás a teljes újratelepítés vagy egy tiszta rendszerállapotra történő visszaállás.