아파치는 악성 코드 감염 된 사용자를 리디렉션합니다.

Cdorked로 알려진, ESET 조사 라는 가장 복잡 한 http://www.aliyun.com/zixun/aggregation/14417.html "> 아파치 백도어 바이러스 중 하나.

"공격자 아파치 웹 서버를 감염 하는 복잡 하 고 보이지 않는 악성 코드 블록 사용 합니다." 국에 따르면 ESET 보안 정보 프로젝트 관리자 피에르 마크, 리눅스로 알려진 / CDORKED.A의 백도어 바이러스, "우리가 본 가장 복잡 한 아파치 백도어 바이러스 중 하나입니다." "

"복잡 한 법의학 분석을 통해 백도어 바이러스 수 있습니다 호스트 하드 드라이브의 흔적을 남길 보다 아파치 바이너리 수정." "백도어 프로그램과 관련 된 모든 정보는 공유 메모리에 저장 됩니다," 국 블로그에 썼다. 공격자가 일반적으로 아파치 로그에 로그온 하는 무 능력으로 HTTP 요청을 혼동 하 여이 구성을 구현 수 있었습니다. 이 스토리지 시스템에서 어디 명령 및 제어 정보는 의미 합니다. "

Cdorked 이용 악명높은 침입 도구 blackhole 악용 키트 사용자에 호스팅된 웹 사이트를 체계적으로 밀고 있다. 분석에 따르면 ESET, 맬웨어는 수백 대의 웹 서버를 침공 했다.

"어떻게 서버 공격 처음은 아직 분명, 하지만 그것은 브 루트 포스 공격을 받게 되었습니다." "Cto, 다니엘 CID, 보안 회사 Sucuri, 블로그에서 말했다.

"지난 몇 개월 동안 우리 했습니다 되었습니다 추적 사이트에 악성 코드를 주입 하는 아파치 모듈을 사용 하 여 서버 수준 크래킹 행동." "그는 썼다. 그러나 ", 지난 몇 개월 동안 우리 발견 했습니다이 유형의 주입 변경 되었습니다. 그는 덧붙였다, "에 cpanel 기반 서버, 공격자가 이전 추가 또는 아파치 구성 수정을 사용 하 여 보다는 오히려 악성 코드, 아파치 httpd 바이너리를 대체 하려고." "

그는 지적, 사이트에서 도난된 바이너리 나타나지 않았다 변경. 하지만 추가 악성 코드 이동 같은 임의의 요청-에 대 한 각 IP 주소를 매일-이 매우 다른 것 그냥 콘텐츠를 보여주는.

리디렉션 후 다시 리디렉션할 수 있도록 네트워크 추적 클라이언트에서 설정 됩니다. "관리자 페이지 처럼 보이는 요청을 보내는 네트워크 추적 설정 됩니다," 국 설명 합니다. 때 URL, 서버 이름 또는 다음 문자를 일치 * adm * * 웹 마 스 터 * * 제출 *, * 합계 * * mrtg * * webmin * * cpanel * * memb * * 달러 * * 빌 * * 호스트 * * 초 귀하 * 및 * 지원 * 백도어 사용자 온라인, 백도어 프로그램은 그것을 발견할 것 이다. 이 사이트의 관리자, 침입 감염을 구현 하 고 어려운 악성 콘텐츠를 보내지 않기 위해 할 수 있다. "

국 단체는 기존 공유 하지 감염 되도록 메모리 확인 하는 것이 좋습니다. ESET는 또한 시스템 관리자가 기존 공유 메모리 영역 및 덤프 파일을 다른 파일의 내용을 확인할 수 있도록 무료 도구를 발표 했다.

이것은 아파치 웹 서버 침입 공격자의 최신 경우입니다. 올해 초, 연구원 발견 했다 그 악성 프로그램 Darkleech, 성공적으로 웹 서버와 실행 중인 아파치 2.2.2 또는 이상 수천을 감염. "지금까지, 거기 되었습니다 LINUX/CDORKED.A과 Darkleech, 사이 아무 연결" 스티븐 코브, eset 보안 목사는 말한다.

"공격자 저장소 루트 디렉터리에 전체 액세스를 얻을, 그들은 할 수 있습니다 그들이 원하는, 구성 감염 모듈 교체 이진 파일을 수정." "하지만 그들의 변화 전술 그들의 존재를 감지 하는 관리자를 위한 어렵게 만들," The CID 블로그가 말했다. "