Geniepige backdoor in honderden Apache-servers
Aanvallers hebben een nieuwe manier gevonden om honderden Apache webservers op geraffineerde wijze over te nemen en bezoekers van de gehoste websites met malware te infecteren. De afgelopen maanden waren Apache-servers regelmatig het doelwit van aanvallen waarbij kwaadaardige modules werden toegevoegd of de Apache configuratie werd aangepast.
Vervolgens werd er aan de websites die op de server gehost werden kwaadaardige code toegevoegd. Deze code wees weer naar andere websites met exploit-kits, die bezoekers met onveilige versies van populaire programma's zoals Java, Adobe Flash Player en Adobe Reader proberen te infecteren.
Backdoor
De afgelopen maanden ontdekten onderzoekers dat de aanvallers hun tactiek hebben veranderd. Op servers met cPanel, een tool voor systeembeheerders en webmasters, werden er geen nieuwe modules toegevoegd of configuratie aangepast, maar vervingen de aanvallers het Apache (httpd) bestand door een kwaadaardige versie.
Deze kwaadaardige versie bevat een zeer geraffineerde backdoor waarmee de aanvallers de machine kunnen besturen, aldus onderzoekers van beveiligingsbedrijf Sucuri en anti-virusbedrijf ESET.
Detectie
Eerder technieken en tools om de backdoor te ontdekken werken niet meer deze tegen nieuwe aanval. "Er is geen eenvoudig commando om te detecteren of het Apache bestand is aangepast", zegt Daniel Cid, CTO van Sucuri.
De backdoor wijzigt verder niets in de websites zelf of hoe die eruit zien. Alleen bij willekeurige requests wordt er naast de weergegeven content ook een kwaadaardige redirect toegevoegd, die de browser content van andere websites laat laden. In sommige gevallen ging het om de bekende Blackhole Exploit-kit.
De gebruikte URL's veranderen in hoog tempo en inmiddels zouden er al meer dan 30.000 variaties zijn ontdekt.
Slachtoffers
Sid krijgt bijval van Pierre-Marc Bureau van ESET. "Cdorked is één van de meest geraffineerde Apache backdoors die we ooit gezien hebben." Uit gegevens van de virusbestrijder zou blijken dat er inmiddels honderden servers zijn gehackt en mogelijk duizenden slachtoffers zijn gemaakt.
"De backdoor laat geen sporen op de harde schijf van de gehackte host achter, behalve dan het aangepaste httpd bestand." Alle informatie met betrekking tot de backdoor wordt in het gedeelde geheugen opgeslagen.
Hoe de aanvallers in eerste instantie toegang tot de servers krijgen is nog onbekend, maar Bureau houdt rekening met brute-force aanvallen op SSH-accounts. Daarbij wordt via veelvoorkomende gebruikersnamen en wachtwoorden geprobeerd via SSH op de server in te loggen.
De laatste keer dat ik onze webserver bekeek, was het niet eens mogelijk om html-bestanden van een andere gebruiker te vervangen. Alle paginas en scripts draaien met de (beperkte) rechten van de betreffende gebruiker. Het voordeel is ook dat als een gebruiker besmet is geraakt, alle malware scripts ook als die gebruiker draaien.
Peter
Voeg daaraan toe dat het best mogelijk is dat een WHM/cPanel beheerder niet weet waar hij mee bezig is. Dan kom je er wel.
Voeg daaraan toe dat het best mogelijk is dat een WHM/cPanel beheerder niet weet waar hij mee bezig is. Dan kom je er wel.
Passen we wel even op... dat stukje phpcode van die site probeert rotzooi weg te mailen naar webr00t.mkt@gmail.com
Hoe dan ook, waardeloos verhaal, een onkritische redactie die het plaatst, en een beetje een bijsmaak dat het verhaal de opmaat is voor een "wij van wc-eend adviseren ...".
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.