Malware richt zich op Apache, lighttpd en nginx

 

Onderzoekers van het beveiligingsbedrijf Sucuri en de antivirusspecialist ESET ontdekten een backdoor in enkele honderden Apacheinstallaties. Opvallend was dat het enkel ging om binary’s die met de cPanel-beheertool waren geïnstalleerd. Omdat cPanel dat niet met een package manager doet, kun je ook niet de mogelijkheden van die laatste gebruiken om met checksums te controleren of de binary niet is veranderd. De makers van de malware, die Linux/Cdorked.A werd gedoopt, veranderden bovendien niet de timestamp van de binary httpd en schakelden het immutable bit in, zodat het geïnfecteerde bestand niet eenvoudig kon worden overschreven. De malware luistert naar speciale HTTP-requests, die overigens niet in de logbestanden van de webserver verschijnen. Via die requests kunnen aanvallers een backdoor openen om willekeurige shell-opdrachten uit te voeren. Ze konden ook willekeurige content injecteren in webpagina’s die de server aanbiedt. Ze gebruikten dat mechanisme om gebruikers naar webpagina’s met exploits door te sturen. Bezoekers met een iOS-apparaat werden overigens doorgestuurd naar pornosites; blijkbaar hadden de makers voor het mobiele platform van Apple geen exploit paraat, maar wilden ze die gebruikers toch nog geld aftroggelen. Nadien bleek dat de makers van Linux/Cdorked.A zich ook op installaties van lighttpd en nginx richtten. Hoe de Malware in de eerste plaats op de geïnfecteerde servers is terechtgekomen, is echter nog altijd een raadsel.

http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanelbased- servers.html 

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Linux Nieuws: @SUSE bestaat 25 jaar en trakteert! Maak kans op entreeticket voor #SUSECON in Praag, zie link!… https://t.co/ENJKDvyZQ8
linuxmagNL De nieuwe editie van Linux Magazine is weer uit! Thema: bescherm jezelf tegen hackers met Linux. Veel leesplezier a… https://t.co/Zcy3Zdjb90
linuxmagNL Ook de Red Hat Forum BeNeLux 2017 mag je dit jaar niet missen. 10 oktober 2017, zet het in je agenda! https://t.co/niY9UdK3Ov