frank
Goto Top

Linux Cdorked.A - Neue Backdoor für Apache-Server

Achtung "Linux/Cdorked.A" ist sehr schwer zu entdecken!

Die neue Schadsoftware Linux/Cdorked.A für Apache Server ist sehr schwer zu entdecken. Sie besteht nur aus einer einzigen Binärdatei. Das Apache httpd-Binary wird dabei, ohne dass Dateidatum zu ändern, manipuliert und durch eine infizierten Version ersetzt. Ist die Schadsoftware einmal installiert, werden die Webserver-User auf andere Webseiten umgeleitet.

Aktuelle scheint es so, dass hauptsächlich Hostingsysteme, die per "cPanel" konfiguriert werden/wurden, Ziel des Angriffs sind.

Leider gibt es in den normalen Apache-Logs keine Hinweise, ob das eigene System übernommen wurde. Auch hinterlässt die Schadsoftware fast keine Spuren auf dem Dateisystem. Alle Manipulationen für den Enduser finden im Arbeitsspeicher statt. Ihre Befehle bekommt die Schadsoftware über verschlüsselte HTTP-Requests.

Der Debian-Entwickler Adrian Glaubitz gibt dazu den Hinweis, dass viele Distributionen mit Hilfe des Werkzeug "debsums"
signierten Pakete überprüfen können. Damit lassen sich manipulierte Apache-Installationen besser finden. Er hat auch ein eigenes Tool dazu veröffentlicht.

Eine genaue Beschreibung der Backdoor-Mechanismen findet ihr im Blog der "ESET".
http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdo ...

Gruß
Frank

Content-Key: 205786

Url: https://administrator.de/contentid/205786

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: nxclass
nxclass 29.04.2013 um 08:43:54 Uhr
Goto Top
danke für den Hinweis - "debsums" hab ich mir gleich mal angeschaut