Linux/Cdorked.A - новый backdoor для Apache

На прошлой неделе появилась информация о том, что в сети пошло массовое заражение серверов (это пока касается прежде всего США) новым вирусом для Apache - Linux/Cdorked.A.

Данный backdoor модифицирует бинарный файл WEB сервера Apache с тем, чтобы он перенаправлял адресованные ему запросы на набор эксплойтов Blackhole Exploit Kit.

При этом данный вирус работает исключительно в памяти зараженного WEB сервера, не оставляя никаких следов на жестком диске зараженного сервера. Для этого он выделяет примерно 6 Mb общей памяти (shared memory) для хранения себя и своих данных.

Кроме этого, злоумышленники используют обфусцированные HTTP-запросы для передачи служебной информации вредоносному коду, которые не фиксируются в лог-файле работы Apache. Таким образом следы взаимодействия вредоносного кода с C&C сервером также отсутствуют.

Бинарный файл Linux/Cdorked содержит все важные строки в зашифрованном виде, при этом используется известная схема XOR со статическим ключом.

Существует два способа управления этим backdoor-ом - путем прямого подключения и при помощи специальных команд. Оба этих способа активируются через HTTP запросы. 

После перенаправления на компьютер жертвы ставится cookie, который предотвращает повторный редирект. Так же этот cookie устанавливается и в том случае, если похоже, что происходит заход в админку сервера. Анализ ведется по ключевым словам, таким, к примеру, как cpanel, admin, administrator и другие. Это предотвращает обнаружение вредоносного кода администраторами сервера.

Для проверки целостности системы мы рекомендуем пользоваться debsums для систем на Debian иди Ubuntu и`rpm –verify` для RPM-основанных систем.

Кроме того, уже выпущена утилита на C, позволяющая обнаружить, заражен ли ваш компьютер или нет. 

Подробности о backdoor-е