Malware richt zich op Apache, lighttpd en nginx

Onderzoekers van het beveiligingsbedrijf Sucuri en de antivirusspecialist ESET ontdekten een backdoor in enkele honderden Apacheinstallaties. Opvallend was dat het enkel ging om binary’s die met de cPanel-beheertool waren geïnstalleerd. Omdat cPanel dat niet met een package manager doet, kun je ook niet de mogelijkheden van die laatste gebruiken om met checksums te controleren of de binary niet is veranderd. De makers van de malware, die Linux/Cdorked.A werd gedoopt, veranderden bovendien niet de timestamp van de binary httpd en schakelden het immutable bit in, zodat het geïnfecteerde bestand niet eenvoudig kon worden overschreven. De malware luistert naar speciale HTTP-requests, die overigens niet in de logbestanden van de webserver verschijnen. Via die requests kunnen aanvallers een backdoor openen om willekeurige shell-opdrachten uit te voeren. Ze konden ook willekeurige content injecteren in webpagina’s die de server aanbiedt. Ze gebruikten dat mechanisme om gebruikers naar webpagina’s met exploits door te sturen. Bezoekers met een iOS-apparaat werden overigens doorgestuurd naar pornosites; blijkbaar hadden de makers voor het mobiele platform van Apple geen exploit paraat, maar wilden ze die gebruikers toch nog geld aftroggelen. Nadien bleek dat de makers van Linux/Cdorked.A zich ook op installaties van lighttpd en nginx richtten. Hoe de Malware in de eerste plaats op de geïnfecteerde servers is terechtgekomen, is echter nog altijd een raadsel.

http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanelbased- servers.html