根據(jù)安全公司ESET和Sucuri的研究員介紹�����,最近出現(xiàn)了一個(gè)針對(duì)Apache Web服務(wù)器的新威脅��,Apache Web服務(wù)器是世界上使用最廣泛的Web服務(wù)器���。這個(gè)威脅是一個(gè)非常高級(jí)且隱秘的后門(mén)�,它可以將流量重定向到有Blackhole攻擊包的惡意網(wǎng)站����。研究員將這個(gè)后門(mén)命名為L(zhǎng)inux/Cdorked.A,并且稱之為目前最復(fù)雜的Apache后門(mén)�。
ESET安全情報(bào)項(xiàng)目經(jīng)理Pierre-Marc Bureau說(shuō):“除了修改Apache后臺(tái)程序(或服務(wù))httpd文件,Linux/Cdorked.A后門(mén)并不會(huì)在硬盤(pán)中留下痕跡��。所有與這個(gè)后門(mén)相關(guān)的信息都存儲(chǔ)在服務(wù)器的共享內(nèi)存中����,因此很難檢測(cè)和分析�����。”此外�,Linux/Cdorked.A還有其他方法可以逃避檢測(cè)�,包括受攻擊的Web服務(wù)器和訪問(wèn)服務(wù)器的Web瀏覽器。
ESET高級(jí)研究員Righard Zwienenberg說(shuō):“攻擊者使用HTTP請(qǐng)求發(fā)送后門(mén)的配置�,這種方法很有欺騙性,而且不會(huì)被Apache記錄���,因此也降低了被常規(guī)監(jiān)控工具檢測(cè)的可能�����。它的配置存儲(chǔ)在內(nèi)存中����,這意味著后門(mén)的命令與控制信息都不為人知�,因此增加了檢測(cè)分析的難度。”
Blackhole攻擊包是一個(gè)利用零日攻擊及已知漏洞的流行攻擊工具�,當(dāng)用戶訪問(wèn)感染Blackhole病毒的網(wǎng)站時(shí),病毒就會(huì)控制用戶系統(tǒng)���。當(dāng)有人訪問(wèn)受感染的Web服務(wù)器時(shí)����,他們不僅會(huì)被重定向到一個(gè)惡意網(wǎng)站���,而且他們的瀏覽器也會(huì)有一個(gè) Web Cookie�����,這樣后門(mén)就不需要給他們發(fā)第二次��。
Web Cookie不會(huì)在管理員頁(yè)面上��。后門(mén)會(huì)檢查訪問(wèn)者的來(lái)路(Referrer)域���,如果他們重定向的網(wǎng)站URL包含特定的關(guān)鍵字,如“admin”或“cpanel”����,那么就不插入惡意內(nèi)容。
ESET已經(jīng)讓系統(tǒng)管理員檢查他們的服務(wù)器�,確認(rèn)他們沒(méi)有受到這個(gè)威脅的攻擊。ESET的WeLiveSecurity.com網(wǎng)站上有一篇 Linux/Cdorked博客文章�,其中有一個(gè)免費(fèi)工具、詳細(xì)介紹了如何檢查后門(mén)和Linux/Cdorked.A的全面技術(shù)分析�。
