На Linux-серверах, использующих панель управления хостингом Cpanel, выявлен (http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cp...) новый бэкдор, поражающий компоненты http-сервера Apache. В отличие от ранее встречающихся (http://www.opennet.ru/opennews/art.shtml?num=36573) способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, новое вредоносное ПО отличается прямой интеграцией в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.
Вся связанная с бэкдором информация сохраняется в разделяемой памяти. Команды управления бэкдором передаются через специальные HTTP GET-запросы, которые обрабатываются вредоносной вставкой молча, без отображения каких-либо данных в логе (при использовании вредоносного apache-модуля активность злоумышленников отслеживалась по логу). В рамках подобного HTTP GET-запроса передаётся IP и номер порта, по которому бэкдор осуществляет ответное соединение. Таким образом связанная с работой бэкдора не оседает в логах на сервере, а поражённый хост продолжает выглядеть как обычный web-сервер.
Цели внедрения нового вредоносного ПО схожи с целями ранее выявленных атак, манипулирующих руткитом (http://www.opennet.ru/opennews/art.shtml?num=35392) для ядра Linux или троянским модулем (http://www.opennet.ru/opennews/art.shtml?num=35669) для Apache для незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Метод нового бэкдора отличается от тем, что вместо добавления вредоносных JavaScript или iframe-блоков в процессе передачи контента клиенту, используется другая схема: в определённые случайные моменты времени (примерно раз вдень для каждого IP) вместо отдачи запрошенной страницы осуществляется редирект на внешний сайт с кодом эксплуатации известных уязвимостей в web-браузерах и плагинах к ним.
При этом в качестве аргумента при редиректе указывается изначально запрошенный URL, который используется для возвращения пользователя на изначальное запрошенную страницу после активации кода эксплуатации уязвимости в браузере. В дальнейшем, при успешной эксплуатации уязвимости на стороне клиента на его систему устанавливается вредоносное ПО, используемое для перехвата конфиденциальных данных или для участие в ботнете, который может привлекаться для осуществления DDoS-атак или рассылки спама.
Интересно, что при редиректе фигурируют поддомены легитимных доменов (например, dcb84fc82e1f7b01.alarm-gsm.be). При этом имена меняются достаточно интенсивно, всего было зафиксировано около 30 тысяч вариантов доменов для проброса на вредоносный код. Пока непонятно, каким образом злоумышленники создают подобные поддомены - большинство из DNS-записей фигурирующих в них хостов связаны с DNS-сервисом dothost.co.kr, не исключается компрометация аккаунтов клиентов данной системы или взлом инфраструктуры данного сервиса.
Пока непонятно каким способом атакующие получили root-доступ для размещения бэкдора. В качестве предположения упоминается проведение атаки по подбору типовых паролей доступа к SSH. Бэкдором поражаются только системы с Apache, установленный вместе с Cpanel. Так как компоненты установленного таким образом apache не охватываются пакетными менеджерами дистрибутивов, остаются только обходные способы выявления фактов модификации файла httpd. В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.
URL: http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cp...
Новость: http://www.opennet.ru/opennews/art.shtml?num=36810
