Malware richt zich op Apache, lighttpd en nginx

 

Onderzoekers van het beveiligingsbedrijf Sucuri en de antivirusspecialist ESET ontdekten een backdoor in enkele honderden Apacheinstallaties. Opvallend was dat het enkel ging om binary’s die met de cPanel-beheertool waren geïnstalleerd. Omdat cPanel dat niet met een package manager doet, kun je ook niet de mogelijkheden van die laatste gebruiken om met checksums te controleren of de binary niet is veranderd. De makers van de malware, die Linux/Cdorked.A werd gedoopt, veranderden bovendien niet de timestamp van de binary httpd en schakelden het immutable bit in, zodat het geïnfecteerde bestand niet eenvoudig kon worden overschreven. De malware luistert naar speciale HTTP-requests, die overigens niet in de logbestanden van de webserver verschijnen. Via die requests kunnen aanvallers een backdoor openen om willekeurige shell-opdrachten uit te voeren. Ze konden ook willekeurige content injecteren in webpagina’s die de server aanbiedt. Ze gebruikten dat mechanisme om gebruikers naar webpagina’s met exploits door te sturen. Bezoekers met een iOS-apparaat werden overigens doorgestuurd naar pornosites; blijkbaar hadden de makers voor het mobiele platform van Apple geen exploit paraat, maar wilden ze die gebruikers toch nog geld aftroggelen. Nadien bleek dat de makers van Linux/Cdorked.A zich ook op installaties van lighttpd en nginx richtten. Hoe de Malware in de eerste plaats op de geïnfecteerde servers is terechtgekomen, is echter nog altijd een raadsel.

http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanelbased- servers.html 

NEDLINUX FORUM

Het nederlandse linuxforum
Voor beginners en pro’s

 

 

 

 

E-mailadres



 

 

Nieuwste editie:

Linuxmag op Facebook

@linuxmagnl op Twitter

linuxmagNL Deze keer in onze Raspberry Corner weer een selectie van nieuws voor de makers onder ons. Het ‘Blinkt!’-uitbreiding… https://t.co/hvip0ruKU1
18hreplyretweetfavorite
linuxmagNL Fedora 27 is gebaseerd op Linux 4.13 en komt met de desktopomgeving GNOME 3.26, wat een betere Wayland-ondersteunin… https://t.co/9V6nDvpnUp
linuxmagNL WPA2 is lek, waardoor aanvallers de encryptie van de WiFi-standaard kunnen breken. Deze en andere beveiligingsnieuw… https://t.co/7NMGL9Km1F