Nowy backdoor atakuje serwery Apache

Analitycy z firmy ESET, wraz z ekspertami z Securi, zidentyfikowali zagrożenie bezpieczeństwa internautów na najpopularniejszym serwerze Apache, a dokładniej jego wersji linkusowej.

Z ponad 300 mln witryn korzystających z Apache to właśnie wersja linuksowa odgrywa największą rolę.

Zidentifikowane zagrożenie nosi nazwę Linux/Cdorked.A. Bardzo szybko maskuje ono swoją obecność na serwerze. Jedynym pozostawianym przez niego śladem jest zmodyfikowany plik "httpd".

W celu minimalizacji prawdopodobieństwa wykrycia zagrożenia komunikacja ta jest specjalnie maskowana, a przekazywane instrukcje nie są rejestrowane w dzienniku zdarzeń serwera Apache.

W przypadku, gdy internauta trafi na stronę zainfekowaną Linux/Cdorked.A, zostaje przekierowany do witryny zawierającej zestaw exploitów o wiele mówiącej nazwie Blackhole.

System ten przedziera się przez luki w oprogramowaniu antywirusowym użytkownika i instaluje na jego komputerze kolejne zagrożenia.

W ten sposób maszyna może zostać dołączona do tzw. sieci zombie, a przejęty komputer może zostać później wykorzystany m.in. do realizacji ataku DDoS (Distributed Denial of Service). W takich atakach maszyny zombie wysyłają ogromną liczbę zapytań do serwerów firm i instytucji, powodując ich zablokowanie.

Natomiast jeśli na stronę obsługiwaną przez zainfekowaną wersję Apache'a trafi użytkownik iPhone'a lub iPada, zagrożenie przekieruje go do witryny zawierającej treści pornograficzne.

W przypadku, gdy zagrożenie wedrze się do firmy, Linux/Cdorked.A może spowodować, że strona WWW całkowicie zniknie z sieci.

Zważając na fakt, że ponad połowa witryn internetowych oparta jest na Apache, można dojść do wniosku, iż jest się czego bać. Analitycy ESET radzą sprawdzić, czy zagrożenie nie wdarło się także na Twoj komputer. Możesz to zrobić używając specjalnego narzędzia.

Źródło: damga, inf. prasowa, arstechnika