Linux Cdorked.A - Neue Backdoor für Apache-Server
Achtung "Linux/Cdorked.A" ist sehr schwer zu entdecken!
Die neue Schadsoftware Linux/Cdorked.A für Apache Server ist sehr schwer zu entdecken. Sie besteht nur aus einer einzigen Binärdatei. Das Apache httpd-Binary wird dabei, ohne dass Dateidatum zu ändern, manipuliert und durch eine infizierten Version ersetzt. Ist die Schadsoftware einmal installiert, werden die Webserver-User auf andere Webseiten umgeleitet.
Aktuelle scheint es so, dass hauptsächlich Hostingsysteme, die per "cPanel" konfiguriert werden/wurden, Ziel des Angriffs sind.
Leider gibt es in den normalen Apache-Logs keine Hinweise, ob das eigene System übernommen wurde. Auch hinterlässt die Schadsoftware fast keine Spuren auf dem Dateisystem. Alle Manipulationen für den Enduser finden im Arbeitsspeicher statt. Ihre Befehle bekommt die Schadsoftware über verschlüsselte HTTP-Requests.
Der Debian-Entwickler Adrian Glaubitz gibt dazu den Hinweis, dass viele Distributionen mit Hilfe des Werkzeug "debsums"
signierten Pakete überprüfen können. Damit lassen sich manipulierte Apache-Installationen besser finden. Er hat auch ein eigenes Tool dazu veröffentlicht.
Eine genaue Beschreibung der Backdoor-Mechanismen findet ihr im Blog der "ESET".
http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdo ...
Gruß
Frank
Die neue Schadsoftware Linux/Cdorked.A für Apache Server ist sehr schwer zu entdecken. Sie besteht nur aus einer einzigen Binärdatei. Das Apache httpd-Binary wird dabei, ohne dass Dateidatum zu ändern, manipuliert und durch eine infizierten Version ersetzt. Ist die Schadsoftware einmal installiert, werden die Webserver-User auf andere Webseiten umgeleitet.
Aktuelle scheint es so, dass hauptsächlich Hostingsysteme, die per "cPanel" konfiguriert werden/wurden, Ziel des Angriffs sind.
Leider gibt es in den normalen Apache-Logs keine Hinweise, ob das eigene System übernommen wurde. Auch hinterlässt die Schadsoftware fast keine Spuren auf dem Dateisystem. Alle Manipulationen für den Enduser finden im Arbeitsspeicher statt. Ihre Befehle bekommt die Schadsoftware über verschlüsselte HTTP-Requests.
Der Debian-Entwickler Adrian Glaubitz gibt dazu den Hinweis, dass viele Distributionen mit Hilfe des Werkzeug "debsums"
signierten Pakete überprüfen können. Damit lassen sich manipulierte Apache-Installationen besser finden. Er hat auch ein eigenes Tool dazu veröffentlicht.
Eine genaue Beschreibung der Backdoor-Mechanismen findet ihr im Blog der "ESET".
http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdo ...
Gruß
Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205786
Url: https://administrator.de/knowledge/linux-cdorked-a-neue-backdoor-fuer-apache-server-205786.html
Ausgedruckt am: 03.04.2025 um 11:04 Uhr
1 Kommentar