fbpx
13.6 C
София

Бекдор компрометира десетки Apache сървъри

Най-четени

Методи Дамянов
Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.

Компанията за антивирусна и интернет защита ESET съобщава, че е забелязала най-сложната бекдор програма засичана досега. Специалистите от компанията са я открили на стотици уебсървъри Apache. Бекдорът използва модерни техники за засичането, като вероятно е причина за компрометирането на системите на хиляди потребители.
Това, което е основна цел на Linux/Cdorked.A (по дефиниция от антивирусните бази на ESET), разказва Пиер-Марк Буро от ESET е промяна на уебсайтовете, така че потребителите, които ги посещават да бъдат пренасочени към страница, на които е разположен комплектът за експлоатиране на уязвимости Blackhole.

Това, което впечатлява специалистите от компанията е множеството техники, посредством които програмата успява да избегне засичане. Един от основните методи, чрез които Linux/Cdorked.A успява да прикрие дейността си, разказват разработчиците от ESET и колегите им от Succuri е подмяната на httpd файла – daemon-а или услугата ползвана от Apache – с такъв, който съдържа зловреден код. Това е и единствената следа, която оставя заплахата на твърдия диск на компрометирания хост. Linux/Cdorked не записва никакви файлове на диска. Вместо това, той отделя шест мегабайта споделена памет за себе си и информацията свързана с конфигурирането му. Конфигурацията на бекдора бива изпратена от атакуващата страна посредством HTTP-заявки, които са не само замаскирани, но също така и не биват регистрирани от Apache, което прави изключително трудно засичането им посредством традиционните методи и инструменти за това.
Ригард Цвийненберг (Righard Zwienenberg), старши разработчик към ESET разказва, че това, което усложнява анализа на атаката е именно способността на конфигурацията на програмата да бъде запазена в паметта, като прикрива, каквато и да е информация за контролирането й.
В резултат от компрометирането на сайта и съответното пренасочване на жертвата към зловредната страница в браузъра се появява бисквитка, която проверява дали URL адреса или сървърното име съдържат информация, която да показва, че потребителят е администратор. Това, според ESET се прави с цел атакуващата страна да получи уверение, че администратора няма да засече атаката. От компанията допълват, че според тях атаката е насочена само към Apache сървъри, които използват хостинг контролния панел cPanel.
Подробна информация може да откриете тук и тук.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини