Backdoor in Cpanel-basierten Apache-Installationen

29.04.2013

Angreifer haben in Apache-Installationen eine ausgefeilte Backdoor installiert, die schwer aufzuspüren ist.

Wie Security-Experten von Sucuri und ESET herausgefunden haben, gibt es einer Reihe von Apache-Installationen eine ausgeklügelte Backdoor. Betroffen sind Apache-Server, die mit der Software Cpanel installiert wurde, die bei manchen Internet-Providern zum Einsatz kommt. Die Backdoor mit dem Namen "Linux/Cdorked.A" hinterlässt keinen eigenen Code auf der Festplatte und ist deshalb relativ schwer aufzuspüren. Lediglich das Apache-Binary selbst wurde bei dem Angriff verändert. 

Laut ihrem Blog-Eintrag konnten die ESET-Mitarbeiter schon einige hundert betroffene Server ausfindig machen. Ihre Analyse der Schadsoftware ergibt, dass die Angreifer verdächtige Strings in der Backdoor mit einer XOR-Verknüpfung verschleiert haben. Geöffnet wird die Backdoor durch einen speziellen HTTP-GET-Request, der so modifiziert wurde, dass er normalerweise nicht in den Apache Logs auftaucht.

In dem Blog-Eintrag ist ein Link zu einem Tool namens "dump_cdorked_config" zu finden, das das Shared-Memory-Segment überprüft, in dem die Backdoor ihre Daten speichert. Wie das Sucuri-Blog berichtet, ist das Apache-Binary zudem mit dem Immutable-Flag versehen, was das Überspielen durch die Originalversion unmöglich macht. Der Administrator muss also vorher mit "chattr -ai" das Flag löschen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Horde-Groupware enthält Backdoor

Die auf PHP basierende Groupware-Suite Horde enthält in einigen Version eine Backdoor, die auf dem FTP-Server des Projekts eingeschleust wurde.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023