Malware richt zich op Apache, lighttpd en nginx

 

Onderzoekers van het beveiligingsbedrijf Sucuri en de antivirusspecialist ESET ontdekten een backdoor in enkele honderden Apacheinstallaties. Opvallend was dat het enkel ging om binary’s die met de cPanel-beheertool waren geïnstalleerd. Omdat cPanel dat niet met een package manager doet, kun je ook niet de mogelijkheden van die laatste gebruiken om met checksums te controleren of de binary niet is veranderd. De makers van de malware, die Linux/Cdorked.A werd gedoopt, veranderden bovendien niet de timestamp van de binary httpd en schakelden het immutable bit in, zodat het geïnfecteerde bestand niet eenvoudig kon worden overschreven. De malware luistert naar speciale HTTP-requests, die overigens niet in de logbestanden van de webserver verschijnen. Via die requests kunnen aanvallers een backdoor openen om willekeurige shell-opdrachten uit te voeren. Ze konden ook willekeurige content injecteren in webpagina’s die de server aanbiedt. Ze gebruikten dat mechanisme om gebruikers naar webpagina’s met exploits door te sturen. Bezoekers met een iOS-apparaat werden overigens doorgestuurd naar pornosites; blijkbaar hadden de makers voor het mobiele platform van Apple geen exploit paraat, maar wilden ze die gebruikers toch nog geld aftroggelen. Nadien bleek dat de makers van Linux/Cdorked.A zich ook op installaties van lighttpd en nginx richtten. Hoe de Malware in de eerste plaats op de geïnfecteerde servers is terechtgekomen, is echter nog altijd een raadsel.

http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanelbased- servers.html 

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Wil je meer uit je computer, smartphone, software, Raspberry Pi of thuisnetwerk halen, maar weet je niet waar en ho… https://t.co/wauqDUzUty
linuxmagNL 28 feiten over Linux... Wist je bijvoorbeeld dat Tux een tijdje geen officiële mascotte was? Hij werd vervangen doo… https://t.co/GEc4YKKHsx
linuxmagNL De bedenker van Linux was een tijdje van de radar, maar hij is weer terug... Wat was er aan de hand?… https://t.co/6deZZY1Koz