Nieuws
image

Apache module maakt hackers langer onzichtbaar

dinsdag 13 november 2012, 10:32 door Redactie, 10 reacties

Gehackte websites zijn een voorname reden dat internetgebruikers met malware besmet raken en aanvallers weten zich steeds vaker succesvol te verbergen. De aanvallers plaatsten een iframe of JavaScript op de website, die bezoekers naar een kwaadaardige pagina wijst. Op deze pagina staan verschillende exploits die ongepatchte software bij de bezoekers gebruiken om malware op de computer te installeren. Het vinden van de kwaadaardige code op de pagina is vaak vrij eenvoudig.

Module
Om langer toegang tot gehackte websites te houden installeren de aanvallers kwaadaardige Apache modules op de gehackte webservers. Deze modules verbergen zichzelf en de aanwezigheid van een injectie voor systeem- en webbeheerders, beveiligingsonderzoekers en de concurrentie uit het cybercrime-circuit, aldus Artem Gololobov van beveiligingsbedrijf Websense.

De laatste tijd zou de beveiliger meer tools zien zoals webserver-rootkits voor het injecteren en verbergen van kwaadaardige code in alle websites die op de webserver gehost worden. "In het verleden werden deze tools alleen verkocht in gesloten kringen en aan een kleine groep mensen", zegt Gololobov. Tegenwoordig zouden de tools steeds vaker worden aangetroffen.


IP-adres
Een voorbeeld van zo'n tool is de "module Apache/2", die voor 1.000 dollar wordt aangeboden. Naast het injecteren van iframes, hebben dit soort modules een lange levensduur en weten zich via een 'stealth mode' succesvol te verbergen voor beheerders.

Hiervoor verzamelt de module de IP-adressen waarmee de beheerder inlogt. Zodra de module ziet dat een systeembeheerder inlogt, wordt de stealth mode geactiveerd en is de injectie niet meer zichtbaar. Zodra de beheerder uitlogt, wordt de module weer actief.

Reacties (10)
13-11-2012, 11:06 door Anoniem
Ik had deze vraag al gesteld in het artikel over het opsporen van malware op je PC:

Dit gaat alleen over Windows.
Wat voor software adviseren jullie voor het opsporen van malware/rootkits voor Linux?

Dus in dit artikel herhaal ik hem nog maar eens een keer.
Hoe vind je malware op je Linux machine (server of werkstation)?
Ik heb wel wat antieke scriptjes gevonden die naar files met de naam ... enzo zoeken,
maar dat soort dingen is hardcoded voor 1 bepaalde malware. Bestaan er geen
fatsoenlijke malware scanners voor Linux?
13-11-2012, 12:31 door SirDice
Door Anoniem: Dit gaat alleen over Windows.
Erm, Apache draait vaker op niet-Windows machines.

Bestaan er geen fatsoenlijke malware scanners voor Linux?
http://www.rootkit.nl/projects/rootkit_hunter.html
13-11-2012, 13:28 door Anoniem
Hoe was het ook alweer? zodra je gehackt bent, server opnieuw installeren toch? aangezien je nooit 100% zeker weet wat ze gedaan hebben?
13-11-2012, 13:34 door Anoniem
Even voor de duidelijkheid: "Dit gaat alleen over Windows." dat gaat over het artikel waarbij deze vraag
eerder bij gesteld is en waarbij er geen antwoord kwam. Dat artikel deed alsof malware exclusief iets
voor windows is en dat betwijfel ik.

Met dat soort "zoek verdachte files" scripts ga je een echte rootkit natuurlijk niet vinden.
Ik dacht meer aan een bootable CD of zo iets.
13-11-2012, 14:20 door SirDice
Door Anoniem: Ik dacht meer aan een bootable CD of zo iets.
Als 't goed is staat'ie ook op Back|Track.
13-11-2012, 14:50 door AdVratPatat
@Anon 11:06:
Avast
AVG
BitDefender
ClamAV
hebben ook allen Linux-oplossingen...
En wat SirDice zei klopt ook, Rootkit hunter is ingebouwd in BR2..
LiveCD's voor Linux-servers ken ik niet.

En hoe kom je er bij dat dit artikel alleen voor Windows geld? Het gaat over Apache...
13-11-2012, 14:58 door AceHighness
misschien minder elegant, maar iets wat altijd werkt, is een index maken van alle bestanden op de hdd, daar md5 checksums van maken, dan rebooten van een livecd en hetzelfde doen, en ff vergelijken met diff
13-11-2012, 15:55 door SirDice
Door AceHighness: misschien minder elegant, maar iets wat altijd werkt, is een index maken van alle bestanden op de hdd, daar md5 checksums van maken, dan rebooten van een livecd en hetzelfde doen, en ff vergelijken met diff
Iets dergelijks bestaat al zo'n 20 jaar, http://sourceforge.net/projects/tripwire/.

(wel die hashes ergens anders opslaan, anders heb je er niet veel aan)
13-11-2012, 17:38 door AdVratPatat
Door SirDice:
Iets dergelijks bestaat al zo'n 20 jaar, http://sourceforge.net/projects/tripwire/.

(wel die hashes ergens anders opslaan, anders heb je er niet veel aan)
Bedankt voor de tip SirDice, vooral dat "specific file selection" staat me erg aan!
Super!
14-11-2012, 11:35 door Anoniem
Tripwire dat heb ik inderdaad 20 jaar geleden nog een keer geinstalleerd bij een bank.
Dat is leuk, maar je moet dit gebruiken voor je een mogelijk probleem hebt, en met de
huidige rootkits ook vanaf een aparte opstart CD. Dat laatste deed men daar ook niet.
(maar 20 jaar geleden was dit ook nog niet echt in de picture)

Maar die rkhunter heeft eigenlijk hetzelfde principe, alleen daarnaast kan hij ook nog
zoeken naar een lijst malware die er in gebakken zit. Het werkt echter niet helemaal
goed want hij geeft ook warnings die weliswaar de situatie beschrijven maar geen infectie.
(bijv dat een commando een scrpt is of dat er een .directory in /dev staat)
Hier wreekt zich dat alle Linux distributies anders zijn, en wat de een ziet als een
potentieel probleem is op het systeem van een ander de normale situatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search