dodany: 30.04.2013 | tagi: , ,

Autor:

Kolejny backdoor atakujący Apache

0

Daniel Cid z Sucuri poinformował o odkryciu kolejnego backdoora atakującego Apache, popularny serwer HTTP. Jak wyjaśnia, przez ostatnie miesiące Sucuri było zajęte śledzeniem Darkleecha. Podczas tego czasu zaczęto zauważać zmiany w wektorze ataku. Na serwerach z cPanelem, zamiast dodać własny moduł albo modyfikować konfigurację Apache, atakujący zastępowali plik wykonywalny serwera o nazwie httpd własnym, oczywiście złośliwym.

Tym razem sprawdzenie integralności plików za pomocą menedżera pakietów może nie wystarczyć, jako że cPanel instaluje serwer Apache w innym miejscu. Pewnym sposobem jest sprawdzenie daty utworzenia pliku. Ponadto jeśli za pomocą grepa znajdziecie frazę open_tty w /usr/local/apache, najprawdopodobniej serwer jest zarażony, gdyż oryginalny plik nie zawiera takiego łańcucha. Przed zastąpieniem złośliwego pliku właściwym, należy wykonać polecenie chattr -ai /usr/local/apache/bin/httpd, w innym przypadku system poinformuje o braku odpowiednich uprawnień.

Więcej informacji o skutkach infekcji można znaleźć na blogu Sucuri oraz ESET.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *