cdork7

Cdorked.A το πιο εξελιγμένο Apache backdoor που έχει αναλυθεί ποτέ

Εμπειρογνώμονες ασφαλείας εντόπισαν ένα άλλο κακόβουλο backdoor για Apache που χρησιμοποιείται από τους επιτιθέμενους για να ανακατευθύνουν τα θύματα τους σε κακόβουλες ιστοσελίδες τους.

cdork7Σύμφωνα με τους εμπειρογνώμονες από την εταιρεία ασφαλείας Sucuri, οι επιτιθέμενοι αντικαθιστούν το Apache binary (httpd) με ένα κακόβουλο. Αυτό μπορεί να γίνει ΜΟΝΟ σε servers που χρησιμοποιούν cPanel και όχι σε άλλους που έχουν εγκαταστήσει τον Apache σαν standalone εφαρμογή. Σε παλαιότερες επιθέσεις, τα injections γινόταν με την προσθήκη νέων ενοτήτων ή τροποποιώντας το Apache config.

Η εταιρεία ασφαλείας ESET ανέλυσε επίσης το backdoor, το οποία ονόμασε Linux/Cdorked.A και αναφέρει ότι το Cdorked.A είναι το πιο εξελιγμένο Apache backdoor που έχει αναλυθεί ποτέ.

“Το backdoor δεν αφήνει ίχνη από ¨πειραγμένα” hosts στο σκληρό δίσκο εκτός από το τροποποιημένο binary httpd του, περιπλέκοντας έτσι την ανάλυση. Όλες οι πληροφορίες που σχετίζονται με το backdoor αποθηκεύονται σε κοινόχρηστη μνήμη (shared memory), ” αναφέρει ο Pierre-Marc της ESET σε μια δημοσίευση στο blog του.

  Top 10 Most Pirated Movies on BitTorrent

“Οι ρυθμίσεις του Apacheδίνονται από τον εισβολέα μέσω ασαφή αιτήματα HTTP τα οποία δεν έχουν καμία σύνδεση με τα logs του Apache. Αυτό σημαίνει ότι καμία εντολή και καμία πληροφορία ελέγχου δεν αποθηκεύεται οπουδήποτε μέσα στο σύστημα. ”

Οι ειδικοί λένε ότι οι εκατοντάδες servers ήδη έχουν παραβιαστεί, και ότι οι επιτιθέμενοι μπορούν να κάνουν ό, τι θέλουν μαζί τους.

“Όταν οι επιτιθέμενοι αποκτήσουν πλήρη πρόσβαση root στον server, μπορούν να κάνουν ό, τι θέλουν. Από τροποποίηση αρχείων,  injecting, ή αντικατάσταση των binaries. Ωστόσο, οι τακτικές τους αλλάζουν για να κάνουν ακόμη πιο δύσκολο για τους admins να ανιχνεύσουν την παρουσία τους, ” αναφέρει ο Daniel Cid, CTO της Sucuri.

Ευτυχώς, υπάρχουν μερικοί τρόποι με τους οποίους οι διαχειριστές μπορούν να εντοπίσουν και να καθαρίσουν το κακόβουλο λογισμικό.

Η ESET παρέχει δωρεάν στους διαχειριστές ένα εργαλείο που επαληθεύει την παρουσία του αναζητώντας το στο shared memory.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


4  +    =  13