dodany: 09.05.2013 | tagi: , , , ,

Autor:

Malware Apache infekuje także nginx i lighttpd

0

Pod koniec kwietnia informowaliśmy o nowym backdoorze atakującym serwery Apache (zobacz newsa: Kolejny backdoor atakujący Apache). Charakteryzował się on tym, że zastępował plik wykonywalny serwera HTTP na maszynach z zainstalowanym cPanelem, tym samym unikając łatwego wykrycia za pomocą narzędzi menedżera pakietów.

Tym razem atakujący obrali za cel rzadziej używane serwery lighttpd i nginx. Poza tym sposób działania malware wygląda podobnie – wybrani odwiedzający trafiają na szkodliwe strony korzystające z zestawów exploitów takich jak Black Hole.

Jak informują badacze z ESET, odnaleziono rootkita na co najmniej 400 serwerach, a 100 tysięcy użytkowników antywirusa tej firmy zostało przekierowanych na takowe strony. Tak jak już pisaliśmy, szkodnik nie infekuje wszystkich odwiedzających – na jednym z zainfekowanych serwerów znaleziono czarną listę IP, wyłączającą prawie połowę adresów IPv4. Użytkownicy z ustawionym fińskim, japońskim, kazachstańskim rosyjskim, ukraińskim lub białoruskim językiem w przeglądarce także są „bezpieczni”.

Samo przekierowanie inaczej przebiega na przeglądarkach w systemie iOS. Internauci trafiający na stronę z pornograficznymi reklamami mają najwidoczniej w inny sposób przynieść zyski – typowy zestaw exploitów jest całkowicie bezużyteczny na większości mobilnych urządzeń.

Plik konfiguracyjny backdoora przechowywany jest bezpośrednio w pamięci – ESET opublikowało narzędzie, dzięki któremu można sprawdzić czy dana maszyna także stała się ofiarą malware. Nadal nie ustalono, w jaki sposób serwery są infekowane, ale badacze przypuszczają, że nie ma jednoznacznego czynnika. Początkowo obwiniano o to cPanel, lecz okazało się, że używany był na małej części zaatakowanych serwerów.


Więcej informacji można znaleźć na blogu ESET.

avatar
WebSecurity.pl to największy w Polsce portal o bezpieczeństwie sieciowym.
WebSecurity.pl to codziennie aktualizowane źródło najnowszych informacji i interesujących artykułów z zakresu bezpieczeństwa IT. Na WebSecurity.pl dzielimy się z Wami wiedzą (know-how) i umiejętnościami (how-to), publikując pomocne wskazówki, porady, kursy i tutoriale. Na portalu znajdziecie także prezentacje sprzętu oraz recenzje oprogramowania. WebSecurity.pl to również baza najciekawszych i najważniejszych wydarzeń branżowych w Polsce i na świecie.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *