黑客打开Apache Web服务器恶意软件后门

根据安全公司ESET和Sucuri的研究员介绍，最近出现了一个针对Apache Web服务器的新威胁，Apache Web服务器是世界上使用最广泛的Web服务器。这个威胁是一个非常高级且隐秘的后门，它可以将流量重定向到有Blackhole攻击包的恶意网站。研究员将这个后门命名为Linux/Cdorked.A，并且称之为目前最复杂的Apache后门。

ESET安全情报项目经理Pierre-Marc Bureau说：“除了修改Apache后台程序(或服务)httpd文件，Linux/Cdorked.A后门并不会在硬盘中留下痕迹。所有与这个后门相关的信息都存储在服务器的共享内存中，因此很难检测和分析。”此外，Linux/Cdorked.A还有其他方法可以逃避检测，包括受攻击的Web服务器和访问服务器的Web浏览器。

ESET高级研究员Righard Zwienenberg说：“攻击者使用HTTP请求发送后门的配置，这种方法很有欺骗性，而且不会被Apache记录，因此也降低了被常规监控工具检测的可能。它的配置存储在内存中，这意味着后门的命令与控制信息都不为人知，因此增加了检测分析的难度。”

Blackhole攻击包是一个利用零日攻击及已知漏洞的流行攻击工具，当用户访问感染Blackhole病毒的网站时，病毒就会控制用户系统。当有人访问受感染的Web服务器时，他们不仅会被重定向到一个恶意网站，而且他们的浏览器也会有一个 Web Cookie，这样后门就不需要给他们发第二次。

Web Cookie不会在管理员页面上。后门会检查访问者的来路(Referrer)域，如果他们重定向的网站URL包含特定的关键字，如“admin”或“cpanel”，那么就不插入恶意内容。

ESET已经让系统管理员检查他们的服务器，确认他们没有受到这个威胁的攻击。ESET的WeLiveSecurity.com网站上有一篇 Linux/Cdorked博客文章，其中有一个免费工具、详细介绍了如何检查后门和Linux/Cdorked.A的全面技术分析。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友