Linux/Cdorked.A: Apache-Installationen mit Backdoor versehen

Angreifer haben in Apache-Installationen eine ausgefeilte Backdoor installiert, die schwer aufzuspüren ist.

Wie Security-Experten von Sucuri und ESET herausgefunden haben, gibt es einer Reihe von Apache-Installationen eine ausgeklügelte Backdoor. Betroffen sind Apache-Server, die mit der Software Cpanel installiert wurde, die bei manchen Internet-Providern zum Einsatz kommt. Die Backdoor mit dem Namen “Linux/Cdorked.A” hinterlässt keinen eigenen Code auf der Festplatte und ist deshalb relativ schwer aufzuspüren. Lediglich das Apache-Binary selbst wurde bei dem Angriff verändert.

Laut ihrem Blog-Eintrag konnten die ESET-Mitarbeiter schon einige hundert betroffene Server ausfindig machen. Ihre Analyse der Schadsoftware ergibt, dass die Angreifer verdächtige Strings in der Backdoor mit einer XOR-Verknüpfung verschleiert haben. Geöffnet wird die Backdoor durch einen speziellen HTTP-GET-Request, der so modifiziert wurde, dass er normalerweise nicht in den Apache Logs auftaucht.

In dem Blog-Eintrag ist ein Link zu einem Tool namens “dump_cdorked_config” zu finden, das das Shared-Memory-Segment überprüft, in dem die Backdoor ihre Daten speichert. Wie das Sucuri-Blog berichtet, ist das Apache-Binary zudem mit dem Immutable-Flag versehen, was das Überspielen durch die Originalversion unmöglich macht. Der Administrator muss also vorher mit “chattr -ai” das Flag löschen.

(Diese Meldung stammt vom Magazin Admin)

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben