Spambot gebruikt backdoor in verouderde installaties van Joomla

Spambot gebruikt backdoor in verouderde installaties van Joomla

Tientallen Nederlandse sites zijn slachtoffer van een spambot die berichten vanaf de gehackte webservers verstuurd. De malware gebruikt een backdoor in verouderde, niet up to date installaties van Joomla-sites.

De nieuwe spambot genaamd Rodecap gebruikt duizenden gehackte sites om spamberichten te versturen. Daaronder zijn ook tientallen Nederlandse sites. Rodecap gebruikt een enorme lijst van sites die met een php-backdoor zijn gekaapt, stelt onderzoeker Roman Huessy. Antivirusbedrijven kwamen de malware afgelopen week op het spoor.

 

Verouderd cms

De gehackte sites gebruiken volgens Huessy een onveilige, verouderde versie van hun content management systeem. Via een backdoorscript op de webserver versturen de aanvallers spam. De Rodecap-malware gebruikt www.google.com om vanaf besmette systemen te communiceren met de command & control-server, waarbij de dns-gegevens van een ander domein worden gebruikt.

Huessy verzamelde in een uur tijd een lijst van ruim 3500 sites die door Rodecap worden misbruikt, waaronder 45 domeinen die eindigen op .nl. Het gaat vooral om sites van mkb'ers.

Hebt u een website die verouderd is, malware verstuurd of nodig gemigreerd moet worden? Laat het ons dan weten!