Especialistas em segurança localizaram outro vilão Porta dos fundos para o Apache usado pelos atacantes para redirecionar suas vítimas para sites maliciosos.
De acordo com especialistas da empresa de segurança Sucuri, Os invasores substituem o Apache binário (httpd) por malware. Isso só pode ser feito em servidores que usam o cPanel e não em outros que instalaram o Apache como um aplicativo independente. Em ataques anteriores, as injeções eram feitas adicionando novas seções ou modificando a configuração do Apache.
A empresa de segurança ESET também analisou Porta dos fundos, chamado Linux / Cdorked.A e afirma que o Cdorked.A é o backdoor Apache mais avançado já analisado.
O “backdoor” não deixa vestígios de hosts “rachados” no disco rígido, exceto seu httpd binário modificado, complicando a análise. Todas as informações de backdoor são armazenadas na memória compartilhada ”, diz Pierre-Marc da ESET em uma postagem no blog.
“As configurações do Apache são fornecidas pelo invasor por meio de solicitações HTTP vagas que não têm nada a ver com os logs do Apache. Isso significa que nenhum comando ou informação de controle é armazenada em qualquer lugar do sistema. “
Especialistas dizem que centenas de servidores já foram comprometidos e que os invasores podem fazer o que quiserem com eles.
“Quando os invasores obtêm acesso root completo ao servidor, eles podem fazer o que quiserem. Modificando arquivos, injetando ou substituindo binários. No entanto, suas táticas estão mudando para tornar ainda mais difícil para os administradores detectar sua presença ”, diz Daniel Cid, CTO da Sucuri.
Felizmente, existem algumas maneiras pelas quais os administradores podem detectar e limpar malware.
A ESET fornece aos administradores uma ferramenta gratuita que verifica sua presença pesquisando memória compartilhada.