黑客打开Apache Web服务器的恶意软件后门

安全 黑客攻防 网站安全
最近出现了一个针对Apache Web服务器的新威胁,这个威胁是一个非常高级且隐秘的后门,它可以将流量重定向到有Blackhole攻击包的恶意网站。

根据安全公司ESET和Sucuri的研究员介绍,最近出现了一个针对Apache Web服务器的新威胁,Apache Web服务器是世界上使用最广泛的Web服务器。这个威胁是一个非常高级且隐秘的后门,它可以将流量重定向到有Blackhole攻击包的恶意网站。研究员将这个后门命名为Linux/Cdorked.A,并且称之为目前最复杂的Apache后门。

ESET安全情报项目经理Pierre-Marc Bureau说:“除了修改Apache后台程序(或服务)httpd文件,Linux/Cdorked.A后门并不会在硬盘中留下痕迹。所有与这个后门相关的信息都存储在服务器的共享内存中,因此很难检测和分析。”此外,Linux/Cdorked.A还有其他方法可以逃避检测,包括受攻击的Web服务器和访问服务器的Web浏览器。

ESET高级研究员Righard Zwienenberg说:“攻击者使用HTTP请求发送后门的配置,这种方法很有欺骗性,而且不会被Apache记录,因此也降低了被常规监控工具检测的可能。它的配置存储在内存中,这意味着后门的命令与控制信息都不为人知,因此增加了检测分析的难度。”

Blackhole攻击包是一个利用零日攻击及已知漏洞的流行攻击工具,当用户访问感染Blackhole病毒的网站时,病毒就会控制用户系统。当有人访问受感染的Web服务器时,他们不仅会被重定向到一个恶意网站,而且他们的浏览器也会有一个 Web Cookie,这样后门就不需要给他们发第二次。

Web Cookie不会在管理员页面上。后门会检查访问者的来路(Referrer)域,如果他们重定向的网站URL包含特定的关键字,如“admin”或“cpanel”,那么就不插入恶意内容。

ESET已经让系统管理员检查他们的服务器,确认他们没有受到这个威胁的攻击。ESET的WeLiveSecurity.com网站上有一篇Linux/Cdorked博客文章,其中有一个免费工具、详细介绍了如何检查后门和Linux/Cdorked.A的全面技术分析。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2022-12-02 14:52:58

2021-03-30 08:43:29

黑客PHP团队Git

2009-12-30 10:09:08

Ubuntu Apac

2018-04-02 15:07:01

LinuxApacheWeb服务器

2009-10-14 10:16:45

2018-08-07 08:54:18

2018-05-04 12:22:47

2009-12-30 10:41:27

Ubuntu Apac

2017-12-27 10:18:09

ApacheNginx服务器

2011-03-21 14:41:04

LAMPapacheweb

2011-01-06 13:20:45

Web服务器Apache

2009-09-24 12:57:18

2012-05-21 10:16:53

2011-09-20 09:15:11

2019-04-03 11:22:06

NginxApacheweb服务器

2021-08-01 12:17:48

恶意软件漏洞网络攻击

2018-12-28 10:05:11

Linux服务器后门

2014-08-18 09:25:54

2011-09-09 09:35:28

2011-07-04 17:55:09

点赞
收藏

51CTO技术栈公众号