Sok ezer webszerver fertőződött meg

Legalább 23 ezer webszerver fertőződhetett meg egy olyan kártékony kóddal, amely a kiszolgálókon található weboldalak kompromittálására termett.
 

A webszerverek és a webes alkalmazások a kiberbűnözők kiemelt célpontjai közé tartoznak. Számos technika és módszer révén hajtják végre az akcióikat. Ezek között nagyon jól automatizált eljárások is megtalálhatóak, amik a weblapok megfertőzését, kompromittálását tömegesen képesek elősegíteni. Erre szolgáltat példát az a CryptoPHP eszköz is, amely rengeteg szerverre került fel, és jelenleg is szedi az áldozatai.

A CryptoPHP-t többek között a Fox-IT kutatói is alaposan górcső alá vették. Tulajdonképpen egy olyan scriptről van szó, amely a webszerverek megfertőzését követően számos művelet végrehajtására utasítható. Ezek közül a legfontosabb, hogy a felhasználásával a célkeresztbe állított webszerverről kiszolgált összes weboldalt nagyon gyorsan lehet manipulálni. Így például nemkívánatos kódokkal lehet azokat kiegészíteni, vagy a tartalmi elemeiket lehet módosítani. Az előbbi esetben vírusterjesztésre is sor kerülhet, míg az utóbbi kapcsán a BHSEO (black hat search engine optimization) módszerek kerülnek előtérbe.  A BHSEO elsősorban azt a célt szolgálja, hogy a csalók az ártalmas weboldalaikat minél előkelőbb helyre tudják pozícionálni a keresőkben. Mindezt úgy érik el, hogy az oldalakba különféle linkeket szurkálnak be. A CryptoPHP pedig arról is gondoskodik, hogy amikor felhasználók tekintenek meg egy ilyen weblapot, akkor semmi szokatlan ne történjen, viszont, ha egy webes keresőhöz tartozó robot tölti le az oldalt, akkor a linkek beszúrására azonnal sor kerül.
A CryptoPHP jelenlegi variánsa - eltérően a hasonló károkozóktól - nem használ ki semmiféle szoftveres sebezhetőséget. Ehelyett népszerű tartalomkezelőkhöz tartozó bővítmények, kiegészítők kalózmásolataként terjed. Amikor egy weboldal fejlesztője vagy tulajdonosa letölt egy ilyen bővítményt, majd telepíti azt, akkor tulajdonképpen saját kezűleg fertőzi meg a webhelyét. A CryptoPHP elsősorban a Joomla, a WordPress és a Drupal alapú weboldalakon érzi elemében magát.
Nem egy magányos harcos

A CryptoPHP fontos jellemzője, hogy a fertőzött webszervereket egy botnet hálózatba köti. A Fox-IT szakemberei a holland hatóságok, a Shadowserver Foundation és a Spamhaus közreműködésével le is leplezték az egyik botnetet, amelyhez több mint 23 ezer kompromittált kiszolgáló csatlakozott. Az érintett weboldalak száma ennél jóval nagyobb lehet, mivel az áldozatul eső szerverek között tárhelyszolgáltatók rendszerei is megtalálhatóak. 
A CryptoPHP a legtöbb sikeres támadást az Egyesült Államokban könyvelhette el, de Németországban, Franciaországban, Hollandiában és Törökországban is szép számmal akadnak fertőzött kiszolgálók. A biztonsági cég a védekezéshez két Python scriptet adott ki, amelyek segítségével detektálható a CryptoPHP. A szakemberek azt javasolják, hogy az ártalmas fájlokat mielőbb célszerű törölni vagy megtisztítani, de egy kompromittált webszerver esetében a legbiztosabb megoldásnak egy teljes újratelepítés vagy egy tiszta rendszerállapotra történő visszaállás számít.