Вредоносная программа Darkleech распространяются через Apache


ApacheDarkleech - вредоносная программа, представляющая из себя модуль для HTTP-сервера Apache, которая осуществляет подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей хостинга.

Жертвой данной вредоносной программы уже стало около двух тысяч серверов, использующих различные дистрибутивы Linux.

Для проникновения и установки на серверы вирусов, злоумышленники используют:

  • уязвимости панелей управления хостингом Plesk и Cpanel;
  • пароли, перехваченные в результате действия снифферов, размещённых на поражённых вредоносными программами клиентских машинах, или методом перебора паролей.


Размещение вредоносной программы под видом модуля Apache затрудняет выявление вредоносной активности. Это связано с тем, что файлы с контентом остаются нетронутыми, а транзитная подстановка вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода одному и тому же пользователю и с игнорированием подсетей, фигурирующих в системных логах и закреплённых за поисковыми системами. Другими словами, уже поражённым клиентам, поисковым ботам, администраторам сервера и владельцам сайтов, страницы выдаются без вредоносного кода.

Из-за этих особенностей вредоноса затрудняется определение реального числа поражённых Darkleech серверов. Поэтому, что бы определить примерное числа поражённых машин, исследователям из Cisco пришлось использовать анализ HTTP-запросов на подконтрольных системах. При таком анализе определялось наличие обращений к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик модулем Darkleech.

Благодаря такой методике с начала февраля было выявлено почти 2000 поражённых хостов. А с учетом того, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тыс. сайтов.

Среди систем, на которых был выявлен вредоносный модуль Apache, присутствуют серверы, обслуживающие такие крупные компаний, как

  • The Los Angeles Times;
  • Seagate.

Обновлено (04.04.2013 12:38)