根据安全公司ESET和Sucuri的研究员介绍,最近出现了一个针对Apache Web服务器的新威胁,Apache Web服务器是世界上使用最广泛的Web服务器。这个威胁是一个非常高级且隐秘的后门,它可以将流量重定向到有Blackhole攻击包的恶意网站。研究员将这个后门命名为Linux/Cdorked.A,并且称之为目前最复杂的Apache后门。
ESET安全情报项目经理Pierre-Marc Bureau说:“除了修改Apache后台程序(或服务)httpd文件,Linux/Cdorked.A后门并不会在硬盘中留下痕迹。所有与这个后门相关的信息都存储在服务器的共享内存中,因此很难检测和分析。”此外,Linux/Cdorked.A还有其他方法可以逃避检测,包括受攻击的Web服务器和访问服务器的Web浏览器。
ESET高级研究员Righard Zwienenberg说:“攻击者使用HTTP请求发送后门的配置,这种方法很有欺骗性,而且不会被Apache记录,因此也降低了被常规监控工具检测的可能。它的配置存储在内存中,这意味着后门的命令与控制信息都不为人知,因此增加了检测分析的难度。”
Blackhole攻击包是一个利用零日攻击及已知漏洞的流行攻击工具,当用户访问感染Blackhole病毒的网站时,病毒就会控制用户系统。当有人访问受感染的Web服务器时,他们不仅会被重定向到一个恶意网站,而且他们的浏览器也会有一个 Web Cookie,这样后门就不需要给他们发第二次。
Web Cookie不会在管理员页面上。后门会检查访问者的来路(Referrer)域,如果他们重定向的网站URL包含特定的关键字,如“admin”或“cpanel”,那么就不插入恶意内容。
ESET已经让系统管理员检查他们的服务器,确认他们没有受到这个威胁的攻击。ESET的WeLiveSecurity.com网站上有一篇Linux/Cdorked博客文章,其中有一个免费工具、详细介绍了如何检查后门和Linux/Cdorked.A的全面技术分析。