ESET: Выявлено около 400 серверов, пораженных бэкдором Cdorked


ESET NOD32Специалистами антивирусной компании ESET было выявлено около 400 серверов, пораженных бэкдором Cdorked, на 50 из которых обслуживают сайты, входящие в список 100 тыс. наиболее популярных ресурсов по рейтингу Alexa.

Предыдущие модификации данного бэкдора могли внедряться в исполняемый файл http-сервера Apache, а новая его версия способна поражать серверы на базе lighttpd и nginx. Для проверки внедрения бэкдора, рекомендуется оценить целостность исполняемых файлов

  • httpd;
  • nginx;
  • lighttpd,

по контрольной сумме (например, "rpm -Va" или "debsums -ca").

Методы работы бэкдора Cdorked схожи с методами ранее выявленных атак, манипулирующих руткитом для ядра Linux или поражающих установки Apache с целью незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Во всех случаях в отдаваемый клиентам трафик выполняется подстановка эксплуатирующих браузеры iframe- или JavaScript-блоков, предназначенных для массового поражения клиентских систем и их подключение к работе ботнетов. Чтобы скрыть следы своего присутствия, бэкдор использует несколько методов:

  • хранение конфигурации в разделяемой памяти (Cdorked поддерживает удаленное управление);
  • выборочную отдачу вредоносных вставок (вредоносный iframe показывается клиенту только один раз, игнорируются подсети с которых были зафиксированы входы по SSH на сервер и запросы от поисковых систем).


Единственное что не понятно специалистам ESET, так это то, как бэкдор внедряется на Linux-системы. Предыдущие модификации для этих целей использовали уязвимости в панели управления хостингом Cpanel или утечку параметров входа пользователей данной системы. Однако среди пораженных серверов выявлены и системы без Cpanel, разительно отличающиеся по программной начинке. Можно предположить, что бэкдор использует проникновение на основе индивидуальных атак на серверы через различные незакрытые уязвимости или получая доступ через перехват паролей путем сниффинга в локальных сетях.


Обновлено (15.05.2013 04:29)