Minstens 23.000 sites getroffen door CryptoPHP-malware

markscholten
Eind vorige week dook plots een nieuwe malware op. CryptoPHP wist in korte tijd meer dan 23.000 sites te besmetten. Beveiligingsbedrijf FoxIT heeft twee python-scripts uitgebracht waarmee site-beheerders de aanwezigheid van de malware op hun site kunnen detecteren.

Het beveiligingsbedrijf laat vandaag weten dat er in ons land meer dan duizend websites zijn getroffen door de malware. CryptoPHP richtte zich vooral op populaire betaalde thema’s voor blogs die draaien op Joomla, Drupal en WordPress. Volgens FoxIT zijn duizenden plug-ins en thema’s voor de populaire cms’en in omloop. Sitebeheerders werden verleid met gratis illegale versies van de add-ons. Het doel van de malware was om de zoekresultaten van websites te beïnvloeden, een techniek die blackhat seo wordt genoemd.

Sinkhole

FoxIT ging op zoek naar de ip-adressen waarmee CryptoPHP contact legde en wist die te achterhalen. Via sinkholing, waarbij ze de malware omleiden naar een door FoxIT opgezette server, kon het bedrijf de activiteit van de malware nauwgezet volgen. In totaal maakten 23.693 ip-adressen contact met de sinkholes. Het aantal daadwerkelijk besmette sites ligt nog hoger, shared hosting-sites waarvan minstens één site was besmet ook verbinding maakten.

Oplossing

De meeste besmettingen hebben plaatsgevonden in de VS, maar ook Duitsland kent veel getroffen sites. In Nederland zijn volgens FoxIT 1008 ip-adressen die contact maakten met de sinkhole. FoxIT heeft twee Python-scripts uitgebracht waarmee de malware te detecteren is en heeft daarnaast een stappenplan opgezet dat je kunt volgen om van CryptoPHP af te komen.