Hơn 23.000 máy chủ Web nhiễm CryptoPHP backdoor

Hơn 23.000 máy chủ Web bị nhiễm một backdoor gọi CryptoPHP, kèm theo các themes (chủ đề), plugin độc hại và vi phạm bản quyền cho các hệ thống quản lý nội dung phổ biến.

CryptoPHP là một đoạn mã độc hại, cung cấp cho những kẻ tấn công từ xa khả năng thực thi mã nguy hiểm trên máy chủ Web và lây nhiễm nội dung độc hại vào các trang web được lưu trữ trên đó.

Tuần trước, theo báo cáo về các mối đe dọa của công ty an ninh Hà Lan Fox-IT, backdoor này được sử dụng chủ yếu để hacker mũ đen tối ưu hóa công cụ tìm kiếm (BHSEO). Đây là một hoạt động có liên quan đến lây nhiễm từ khóa lừa đảo và các trang website độc hại để chiếm quyền điều khiển công cụ tìm kiếm thứ hạng và đẩy nội dung độc hại lên cao hơn trong kết quả tìm kiếm.

Không giống như hầu hết các trang web backdoors, CryptoPHP không được cài đặt bằng cách khai thác lỗ hổng. Thay vào đó, kẻ tấn công phân phối các phiên bản lậu thương mại plugins và theme cho Joomla, WordPress và Drupal thông qua một số trang web và chờ đợi webmaster tải về và cài đặt chúng trên các trang web của mình. Những bản plug-in và chủ đề vi phạm này ợc nhúng backdoor CryptoPHP

Máy chủ Web nhiễm CryptoPHP hoạt động như một botnet. Những kẻ tấn công sử dụng một kênh thông tin liên lạc được mã hóa và thực hiện lệnh để kết nối máy chủ nhiễm CryptoPHP với các máy chủ C&C.

Với sự giúp đỡ của Trung tâm An ninh mạng quốc gia Hà Lan và các Abuse.ch, các tổ chức đấu tranh tội phạm mạng Shadowserver Foundation và Spamhaus, Fox-IT nắm quyền kiểm soát các tên miền C&C CryptoPHP và chuyển hướng chúng đến các máy chủ để thu thập dữ liệu – một hoạt động được gọi là sinkholing.

Thứ Tư (26/11), trong một bài đăng blog, nhnghiên cứu Fox-IT cho biết: “Có tổng số 23.693 địa chỉ IP riêng biệt kết nối với các sinkhole. Tuy nhiên, số lượng các trang web bị ảnh hưởng có thể sẽ cao hơn, bởi vì một số những địa chỉ IP tương ứng với máy chủ Web hosting chia sẻcó nhiều hơn một trang web bị lây nhiễm.”

Năm quốc gia hàng đầu bị lây nhiễm CryptoPHP là Mỹ (8.657 địa chỉ IP), Đức (2877 địa chỉ IP), Pháp (1.231 địa chỉ IP), Hà Lan (1.008 địa chỉ IP) và Thổ Nhĩ Kỳ (749 địa chỉ IP).

Kể từ Fox-IT công bố báo cáo về CryptoPHP vào tuần trước, những kẻ tấn công đã gỡ bỏ các trang web lưu trữ các plug-ins và chủ đề giả mạo và thiết lập một trang mới. Họ cũng phát triển một phiên bản mới của backdoor, có thể để tránh bị phát hiện.

Các nhà nghiên cứu Fox-IT phát hành hai kịch bản Python trên GitHub mà các nhà quản trị web có thể sử dụng để quét các máy chủ và các trang web bị lây nhiễm CryptoPHP. Họ cũng công bố hướng dẫn gỡ bỏ CryptoPHP trong bài blog của mình, nhưng lưu ý rằng tốt hơn hết nên cài đặt lại một hệ thống quản lý nội dung bị ảnh hưởng.

Pcworld