O Cdorked.A é o backdoor Apache mais avançado jå analisado

Especialistas em segurança localizaram outro vilão Porta dos fundos para o Apache usado pelos atacantes para redirecionar suas vítimas para sites maliciosos.

cdork7 De acordo com especialistas da empresa de segurança Sucuri, Os invasores substituem o Apache binårio (httpd) por malware. Isso só pode ser feito em servidores que usam o cPanel e não em outros que instalaram o Apache como um aplicativo independente. Em ataques anteriores, as injeçÔes eram feitas adicionando novas seçÔes ou modificando a configuração do Apache.

A empresa de segurança ESET também analisou Porta dos fundos, chamado Linux / Cdorked.A e afirma que o Cdorked.A é o backdoor Apache mais avançado jå analisado.

O “backdoor” nĂŁo deixa vestĂ­gios de hosts “rachados” no disco rĂ­gido, exceto seu httpd binĂĄrio modificado, complicando a anĂĄlise. Todas as informaçÔes de backdoor sĂŁo armazenadas na memĂłria compartilhada ”, diz Pierre-Marc da ESET em uma postagem no blog.

“As configuraçÔes do Apache sĂŁo fornecidas pelo invasor por meio de solicitaçÔes HTTP vagas que nĂŁo tĂȘm nada a ver com os logs do Apache. Isso significa que nenhum comando ou informação de controle Ă© armazenada em qualquer lugar do sistema. “

Especialistas dizem que centenas de servidores jĂĄ foram comprometidos e que os invasores podem fazer o que quiserem com eles.

“Quando os invasores obtĂȘm acesso root completo ao servidor, eles podem fazer o que quiserem. Modificando arquivos, injetando ou substituindo binĂĄrios. No entanto, suas tĂĄticas estĂŁo mudando para tornar ainda mais difĂ­cil para os administradores detectar sua presença ”, diz Daniel Cid, CTO da Sucuri.

Felizmente, existem algumas maneiras pelas quais os administradores podem detectar e limpar malware.

A ESET fornece aos administradores uma ferramenta gratuita que verifica sua presença pesquisando memória compartilhada.