Apache利用惡意軟體重定向感染使用者

眾所周知的Cdorked，被一份ESET調查稱為最複雜的HTTP://www.aliyun.com/zixun/aggregation/14417.html">Apache 後門病毒之一。

「攻擊者使用的是一個複雜並且隱形的惡意軟體塊，來感染Apache Web伺服器。 」據ESET安全情報專案經理Pierre-Marc Bureau描述，被稱為Linux/Cdorked.A的後門病毒，是「我們見過的最複雜的Apache 後門病毒之一。 」

「後門病毒通過複雜的取證分析，可以不留痕跡地依附主機硬碟磁碟機，而不是修改HTTPd的二進位檔案。 」 Bureau在博客中寫到，「與後門程式相關的所有資訊都存儲在共用記憶體裡。 攻擊者是通過混淆HTTP請求導致不能正常登錄Apache日誌的方式實現該配置的。 這意味著存儲系統上的任何地方都沒有了命令和控制資訊。 」

Cdorked利用聲名狼藉的入侵工具Blackhole Exploit Kit有計劃地向使用者推送一個被託管的網站。 根據ESET分析，該惡意軟體已經入侵了數以百計的Web伺服器。

「伺服器最初是如何遭受攻擊的目前尚不清楚，但其可能遭受過蠻力攻擊。 」安全公司Sucuri的CTO，Daniel Cid在博客中提到。

「在過去的幾個月，我們一直在跟蹤利用Apache模組將惡意軟體注入網站所進行的伺服器級別的破解行為。 」他寫到。 「然而，在過去的幾個月裡，我們注意到這種注入方式發生了變化。 」他補充道，「在cPanel-based伺服器上，攻擊者試圖用惡意軟體取代Apache的HTTPd二進位檔案，而不是採用以往的添加模組或者修改Apache配置的方式。 」

他指出，就該網站看來，被盜用的二進位檔案看起來並沒有發生什麼變化。 但是對於一些隨機請求來說——例如每天為每個IP位址增加一個惡意軟體重定向，這將與僅僅只是顯示內容截然不同。

「重定向後，一個網路跟蹤器被設置在用戶端上，這樣就不能對其再次重定向了。 」Bureau解釋道，「如果發送一個看起來像是到管理頁面的請求，網路跟蹤器同樣會被設置。 當URL，伺服器名稱或者匹配以下字元*adm*, *webmaster*, *submit*, *stat*, *mrtg*, *webmin*, *cpanel*, *memb*, *bucks*, *bill*, *host*, *sec ur* 和 *support*backdoor等的使用者上線，後門程式將對其進行查找。 這樣做可能是為了避免向網站的管理員發送惡意內容，從而使得入侵感染難以實現。 」

Bureau建議組織對現有的共用記憶體進行檢查以確保他們沒有被感染。 ESET也發佈了免費工具，允許系統管理員對現有的共用記憶體區域及轉存到另一個檔的內容進行驗證。

這次是攻擊者針對Apache Web伺服器進行進行入侵的最新案例。 今年早期，研究者發現了惡意程式Darkleech正在活動，它成功的讓上千台Web伺服器感染並運行了Apache 2.2.2或以上版本。 ESET安全傳道者Stephen Cobb表示：到目前為止，還沒有發現Linux/Cdorked.A和DarkLeech之間有什麼聯繫。

「當攻擊者得到完整的訪問儲存體根目錄，他們便可以為所欲為，從修改配置感染模組到替換二進位檔案。 」Cid博客中提到，「不過他們不斷變化的手段使得管理員很難檢測到他們的存在。 」