Meer dan 23.000 websites zijn slachtoffer van de CryptoPHP-backdoor geworden die zich via illegale plug-ins voor contentmanagementsystemen (cms) zoals WordPress, Joomla en Drupal verspreidt. Dat maakt het Nederlandse beveiligingsbedrijf FoxIT bekend. In Nederland zou het om iets meer dan 1000 besmette sites gaan.

FoxIT kon achterhalen met welke ip-adressen CryptoPHP contact maakte via sinkholing, waarbij malware geen verbinding meer maakt met een command & control-server van de criminelen, maar met een zelf opgezette server. In totaal hebben 23.693 ip-adressen verbinding gemaakt met de sinkholes, maar dat aantal nam in de afgelopen dagen af tot 16.786 op maandag.

De meeste ip-adressen bevinden zich in de VS: 8675. Ook in Duitsland lijkt CryptoPHP redelijk verspreid te zijn, met 2877 besmettingen. In Nederland gaat het om 1008 ip-adressen die naar de sinkhole werden geleid. 

Voor beheerders zijn er nu twee Python-scripts gemaakt waarmee het mogelijk is om de aanwezigheid van CryptoPHP te detecteren. In het geval de backdoor wordt aangetroffen krijgen beheerders het advies om het cms opnieuw te installeren.

Alles bij de bronnen; Tweakers & Security