В системах с Apache обнаружен очередной бэкдор


ApacheИсследователями по безопасности была обнаружена новая модификация бинарного файла web-сервера Apache, способная перенаправлять некоторые адресованные к нему запросы на набор эксплоитов Blackhole. Удалось установить, что выявленный бэкдор предназначен для перенаправления трафика на вредоносные сайты.

Вредоносное ПО было обнаружено на Linux-серверах, использующих панель управления хостингом cPanel. Новый бэкдор, в отличие от ранее встречающихся способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, напрямую интегрируется в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.

Обнаружение бэкдора усложнено тем, что он не оставляет следов своей деятельности на жестком диске взломанного хоста. Он сохраняет всю используемую им информацию в памяти, без привлечения жесткого диска. Для передачи служебной информации вредоносному коду злоумышленники используют обфусцированные HTTP-запросы, которые не фиксируются в лог-файле работы Apache, в связи с чем, следы взаимодействия вредоносного кода с C&C-сервером также отсутствуют.

Скомпрометированный web-сервер осуществляет перенаправление клиента на вредоносные страницы, для этого код бэкдора добавляет закодированную в формате base64 строку запроса с информацией об оригинальном URL и был ли запрос адресован к js-файлу, для того, чтобы сервер смог предоставить правильную полезную нагрузку.

После перенаправления, для браузера клиента устанавливаются cookie, так что в дальнейшем, исключено его повторное перенаправление. Также эти cookie устанавливается в том случае, если запрашивается страница, похожая на страницу администрирования сервера.

Чтобы проверить системы на предмет инфицирования бэкдором, можно использовать тот факт, что вредонос использует вызов

  • open_tty

которого нет в обычном httpd, поэтому если при выполнении

  • grep -r open_tty /usr/local/apache/

будут выявлены файлы, то вероятно хост поражен вредоносным ПО.


Обновлено (29.04.2013 14:59)