当前位置: 主页 > 业内 >

黑客打开Apache Web服务器恶意软件后门

时间:2013-05-14 20:16来源:未知 作者:admin 点击:
根据安全公司ESET和Sucuri的研究员介绍,最近出现了一个针对Apache Web 服务器 的新威胁,Apache Web 服务器 是世界上使用最广泛的Web服务器。这个威胁是一个非常高级且隐秘的后门,它可以
欢迎大家分享自己的文档,请点击查阅:分享方法,Linux系统运维
如果你喜欢这文章,可以点击文章结尾处百度分享,分享到你的各种社区收藏,或推荐给朋友……


根据安全公司ESET和Sucuri的研究员介绍,最近出现了一个针对Apache Web服务器的新威胁,Apache Web服务器是世界上使用最广泛的Web服务器。这个威胁是一个非常高级且隐秘的后门,它可以将流量重定向到有Blackhole攻击包的恶意网站。研究员将这个后门命名为Linux/Cdorked.A,并且称之为目前最复杂的Apache后门。

  ESET安全情报项目经理Pierre-Marc Bureau说:“除了修改Apache后台程序(或服务)httpd文件,Linux/Cdorked.A后门并不会在硬盘中留下痕迹。所有与这个后门相关的信息都存储在服务器的共享内存中,因此很难检测和分析。”此外,Linux/Cdorked.A还有其他方法可以逃避检测,包括受攻击的Web服务器和访问服务器的Web浏览器。

  ESET高级研究员Righard Zwienenberg说:“攻击者使用HTTP请求发送后门的配置,这种方法很有欺骗性,而且不会被Apache记录,因此也降低了被常规监控工具检测的可能。它的配置存储在内存中,这意味着后门的命令与控制信息都不为人知,因此增加了检测分析的难度。”

  Blackhole攻击包是一个利用零日攻击及已知漏洞的流行攻击工具,当用户访问感染Blackhole病毒的网站时,病毒就会控制用户系统。当有人访问受感染的Web服务器时,他们不仅会被重定向到一个恶意网站,而且他们的浏览器也会有一个 Web Cookie,这样后门就不需要给他们发第二次。

  Web Cookie不会在管理员页面上。后门会检查访问者的来路(Referrer)域,如果他们重定向的网站URL包含特定的关键字,如“admin”或“cpanel”,那么就不插入恶意内容。

  ESET已经让系统管理员检查他们的服务器,确认他们没有受到这个威胁的攻击。ESET的WeLiveSecurity.com网站上有一篇Linux/Cdorked博客文章,其中有一个免费工具、详细介绍了如何检查后门和Linux/Cdorked.A的全面技术分析。

 

 

转载请注明linux系统运维
http://www.linuxyw.com/linux/yenei/2013/0514/326.html

------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片