Backdoor atakuje serwery WWW

Przeczytaj także: Jakie aplikacje podatne na ataki hakerskie?

Z ponad 300 milionów witryn działających w oparciu o serwery Apache większość bazuje właśnie na Linuksie - to właśnie te serwisy znalazły się na celowniku Linux/Cdorked.A. Wizyta na stronie serwowanej przez zainfekowaną maszynę skutkuje przekierowaniem internauty do innego serwisu zawierającego zestaw exploitów lub treści pornograficzne.

Eksperci z firmy ESET podkreślają, że Linux/Cdorked.A jest zaawansowanym zagrożeniem, które bardzo skutecznie maskuje swoją aktywność na zainfekowanym serwerze. Jedynym śladem działania Linux/Cdorked.A na danej maszynie jest zmodyfikowany plik "httpd". Wszystkie inne informacje, odnoszące się do backdoora, w tym te dotyczące konfiguracji i kontroli nad zagrożeniem, przechowywane są w pamięci podręcznej serwera - przez co bardzo trudno jest wykryć i przeanalizować jego sposób działania. Analitycy zagrożeń z firmy ESET ustalili, że Linux/Cdorked.A. otrzymuje instrukcje działania za pośrednictwem HTTP. W celu minimalizacji prawdopodobieństwa wykrycia zagrożenia komunikacja ta jest specjalnie maskowana, a przekazywane instrukcje nie są rejestrowane w dzienniku zdarzeń serwera Apache.

Jeśli internauta trafi na stronę, która jest serwowana przez zainfekowanego Apache'a, zagrożenie przekieruje go do serwisu zawierającego zestaw exploitów o nazwie Blackhole. Zestaw ten automatycznie zidentyfikuje i wykorzysta luki wykryte na komputerze użytkownika, instalując na nim kolejne zagrożenia. W ten sposób maszyna może zostać dołączona do sieci zombie, a przejęty komputer może zostać później wykorzystany m.in. do realizacji ataku DDoS (Distributed Denial of Service). W takich atakach maszyny zombie wysyłają ogromną liczbę zapytań do serwerów firm i instytucji, powodując ich zablokowanie. Jeśli na stronę obsługiwaną przez zainfekowaną wersję Apache'a trafi użytkownik iPhone'a lub iPada, zagrożenie przekieruje go do witryny zawierającej treści pornograficzne.

Linux/Cdorked.A stanowi zagrożenie dla przedsiębiorstw, jeśli bowiem infekcja dotknie firmową stronę internetową, a administrator szybko nie zidentyfikuje problemu może dojść do sytuacji, w której serwis WWW zniknie z sieci. Stanie się tak wtedy, gdy zainfekowana strona zostanie zablokowana przez firmę hostingową, wyszukiwarkę internetową lub przeglądarkę WWW. Blokada będzie miała na celu ochronę nieświadomych internautów przed złośliwymi programami, a także zapobieżenie rozprzestrzenianiu się zagrożenia.

O potencjalnej skali działania Linux/Cdorked.A wypowiedział się Stephen Cobb, ekspert ds. bezpieczeństwa IT firmy ESET. Zwrócił on uwagę na statystyki serwisu Netcraft, z których wynika, że w lutym 2013 roku aż 348 milionów stron WWW działało w oparciu o serwer Apache. To ponad 55% wszystkich dostępnych w sieci stron WWW! Znaczna część tych serwerów działa w oparciu o system Linux, a to właśnie linuksową wersję Apache'a bierze na cel Linux/Cdorked.A. Laboratorium antywirusowe firmy ESET zidentyfikowało infekcje m.in. na 50 stronach ze 100.000 najpopularniejszych witryn wg serwisu Alexa.com

Eksperci z firmy ESET radzą wszystkim administratorom, którzy opiekują się stronami WWW działającymi na linuksowych serwerach Apache, aby sprawdzili czy ich maszyny nie padły ofiarą Linux/Cdorked.A.