The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.04.2013 15:23  В Сети зафиксированы серверы, распространяющие вредоносное ПО через троянский модуль Apache

Около двух тысяч серверов, в большинстве своём использующих различные дистрибутивы Linux, оказались жертвами нового вредоносного ПО "Darkleech", оформленного в виде модуля к HTTP-серверу Apache и осуществляющего подстановку вредоносных JavaScript или iframe-блоков в трафик, отдаваемый сайтами пользователей хостинга.

Методы проникновения злоумышленников на серверы точно не определены, но с учётом разнородности дистрибутивов и приложений, используемых на поражённых системах, вариант эксплуатации неизвестной уязвимости в Linux оценивается как маловероятный. В качестве основных способов проникновения для установки вредоносного ПО на серверы отмечаются эксплуатация уязвимых версий панелей управления хостингом Plesk и Cpanel, а также использование паролей, перехваченных в результате действия снифферов, размещённых на поражённых вредоносным ПО клиентских машинах, или через перебор типовых паролей. Также не исключается попадание в руки злоумышленников базы паролей клиентов компании cPanel, используемых службой поддержки для удалённой диагностики проблем.

Примечательно, что среди систем на которых был выявлен вредоносный модуль Apache фигурируют серверы, обслуживающие web-ресурсы крупных компаний, таких как Los Angeles Times и Seagate. Размещение вредоносного ПО в виде модуля Apache затрудняет выявление вредоносной активности - файлы с контентом остаются нетронутыми, а транзитная подстановка вредоносных вставок осуществляется выборочно, без повторной отдачи вредоносного кода одному и тому же пользователю и с игнорированием подсетей, фигурирующих в системных логах и закреплённых за поисковыми системами (уже поражённым клиентам, поисковым ботам, администраторам сервера и владельцам сайтов выдаются страницы без вредоносного кода).

Подобное поведение затрудняет определение реального числа поражённых Darkleech серверов. Для определения примерного числа поражённых машин исследователи из компании Cisco использовали анализ HTTP-запросов на подконтрольных системах. При анализе определялось наличие обращений к URL в форме IP/hex/q.php, свойственных для iframe, подставляемых в трафик модулем Darkleech. В итоге, с начала февраля было выявлено почти 2000 поражённых хостов. Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.

Кроме троянского модуля Apache на сервер устанавливается бэкдор, подменяющий собой штатный демон sshd. Бэкдор предоставляет возможность удалённого доступа злоумышленников и одновременно осуществляет перехват и отправку на внешний сервер фигурирующих в рамках ssh-сессий паролей. Администраторам поражённых серверов рекомендуется полная смена всех паролей и переустановка системы.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  3. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
  4. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
  5. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  6. OpenNews: Выявлено вредоносное ПО для Linux-серверов, оформленное в форме модуля к http-серверу Apache
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: apache, trojan, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, e.slezhuk, 16:36, 03/04/2013 [ответить] [смотреть все]
  • +3 +/
    >Учитывая то, что в среднем сервер обслуживает по 10 сайтов, жертвами атаки стали как минимум 20 тысяч сайтов.

    Вот счетоводы то :)

     
     
  • 2.2, Kataklysm, 16:59, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    2000 хостов * 10 сайтов = 20000 сайтов :)
     
     
  • 3.47, e.slezhuk, 09:43, 04/04/2013 [^] [ответить] [смотреть все]
  • +/
    мне интересно откуда взята цифра про 10 сайтов на сервер.
     
  • 1.3, бедный буратино, 17:02, 03/04/2013 [ответить] [смотреть все]
  • +6 +/
    шо, опять?
     
     
  • 2.32, Аноним, 01:38, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    Ну так это битва за бесплатные ресурсы Хреново администрируемые системы - ла... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, админ, 13:54, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Увидел только, что хотел увидеть.. проприетарщина ага
     
     
  • 4.69, Аноним, 01:59, 05/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Так кто ж виноват что поделия типа панелей обычно всякие индусы пишут как курица... весь текст скрыт [показать]
     
  • 3.64, другой аноним, 18:48, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    "...Методы проникновения злоумышленников на серверы точно не определены..."
     
  • 1.4, Brain, 17:04, 03/04/2013 [ответить] [смотреть все]  
  • +1 +/
    Разве такой новости уже не было с годик тому назад?
     
     
  • 2.9, Аноним, 18:18, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Было похожее.
     
     
  • 3.33, Аноним, 01:39, 04/04/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Вывод х-вые администраторы с дырявыми панелями за год не извелись Беда-беда, т... весь текст скрыт [показать]
     
     
  • 4.59, Адекват, 15:26, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Публичные порки... весь текст скрыт [показать]
     
     
  • 5.70, Аноним, 02:00, 05/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    К сожалению, есть мнение что глупость неизлечима Даже так ... весь текст скрыт [показать]
     
  • 1.5, Аноним, 17:50, 03/04/2013 [ответить] [смотреть все]  
  • +/
    Разве серверы Seagate не под IIS работают ... весь текст скрыт [показать]
     
  • 1.6, Аноним, 18:06, 03/04/2013 [ответить] [смотреть все]  
  • –1 +/
    Это что же получается, чтобы пароли не утекали, придётся софт на своём сервере т... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 01:40, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Если вы хотите чтобы какая-то работа была сделана качественно - придется сделат... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Слакварявод, 18:12, 03/04/2013 [ответить] [смотреть все]  
  • +/
    да было ж уже!!! точно такое ж! подозрительно...
     
  • 1.8, Аноним, 18:17, 03/04/2013 [ответить] [смотреть все]  
  • +4 +/
    Давайте дружно попросим открыть код Darkleech под GPL
     
  • 1.10, linux must _RIP_, 18:20, 03/04/2013 [ответить] [смотреть все]  
  • –15 +/
    вот тебе и безопасный Linux только 2 недели назад расказывали о ботнете из li... весь текст скрыт [показать]
     
     
  • 2.12, HIP, 18:27, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Попробуй nmap -sV www seagate com Выдача Starting Nmap 6 00 http nmap org ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, HIP, 18:32, 03/04/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    The Los Angeles Times аналогично поступает 20 000 серверов Может, 20 м... весь текст скрыт [показать]
     
  • 3.16, un, 19:02, 03/04/2013 [^] [ответить] [смотреть все]  
  • +/
    80/tcp open  http    Apache
    Service Info: Host: media.seagate.com
     
  • 3.18, Аноним, 19:18, 03/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Сигейт большая компания, у них не только www seagate com ... весь текст скрыт [показать]
     
     
  • 4.24, Аноним, 20:24, 03/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Большая Но от Microsoft прется исключительно вся У них утилиты и все прочее ПО... весь текст скрыт [показать]
     
     
  • 5.39, Аноним, 03:24, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Они в этом плане мало чем отличаются от других Тем не менее, в лине своих утили... весь текст скрыт [показать]
     
     
  • 6.43, Аноним, 06:50, 04/04/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Ага, как бы. На самом деле это называется Виктория и работает под DOS.
     
     
  • 7.49, Аноним, 10:16, 04/04/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    Таких утилит куча В том числе и от местных умельцев И работает оно эм ну... весь текст скрыт [показать]
     
  • 5.65, Аноним, 19:22, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    В общем, запускать софт для нештатной работы с оборудованием под ОС общего назна... весь текст скрыт [показать]
     
     
  • 6.71, Аноним, 02:10, 05/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Вполне нормальная идея Иди, напиши заливку фирмвари в usb-девайс из-под доса, е... весь текст скрыт [показать]
     
  • 3.25, тигар, 20:26, 03/04/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    за недорого могу обучить ХаКиРоВ-nmap еров простейшим приемам работы с curl p s ... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 03:27, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Опоздал, ты тигра, оркал тебя опередил http www opennet ru opennews art shtml... весь текст скрыт [показать]
     
  • 2.17, Аноним, 19:16, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    В смысле, непропатченный Апаши под вяндой-вардой как-то по-другому себя ведет?
     
     
  • 3.41, Аноним, 03:29, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    В смысле, запускать на винде апач с cpanel или чем там еще - это бессмысленно и ... весь текст скрыт [показать]
     
     
  • 4.63, Аноним, 18:23, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    На винде Web-сервер держать вообще бессмысленно и беспощадно Это типа как в баг... весь текст скрыт [показать]
     
     
  • 5.72, Аноним, 02:15, 05/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну да А хостинг и панель управления им - я такого вообще не видел Допускаю что... весь текст скрыт [показать]
     
  • 2.19, ананим, 19:22, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а линух тут при чём оставшиеся от mostly вполне могут быть виндой или фряхой... весь текст скрыт [показать] [показать ветку]
     
  • 2.20, IMHO, 19:24, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а новость в том, что линукс как всегда не причем!
     
     
  • 3.36, Аноним, 01:51, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну конечно, это же все линукс виноват в том что фуевые админы не апдейтят панель... весь текст скрыт [показать]
     
  • 2.35, Аноним, 01:48, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Главное для кого Для маркетологов из MS А так то да - найди поди апач пол чем-... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, Аноним, 19:23, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Да полно.
     
     
  • 4.73, Аноним, 02:19, 05/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Да фигвам Если некто юзает бзды всякие и прочие древние юниксы - так у них и со... весь текст скрыт [показать]
     
  • 2.44, Аноним, 07:03, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вроде про ботнет не говорилось Да и причем тут ботнет В инфе ничего не было о ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.74, Аноним, 02:20, 05/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну как, посмотрите на ник гражданина - сразу станет понятно какой он объективный... весь текст скрыт [показать]
     
  • 1.14, Alex, 18:41, 03/04/2013 [ответить] [смотреть все]  
  • +/
    Так было ж уже...
     
  • 1.15, Аноним, 18:56, 03/04/2013 [ответить] [смотреть все]  
  • +/
    ispmanager не подвержен
     
  • 1.21, Аноним, 20:05, 03/04/2013 [ответить] [смотреть все]  
  • +/
    А библиотеки под него опять надо собирать самому?
     
     
  • 2.48, Doc_X, 09:56, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А какие тебе под него модули нужны?
     
  • 1.22, Аноним, 20:08, 03/04/2013 [ответить] [смотреть все]  
  • +/
    Даже такое есть Круто ... весь текст скрыт [показать]
     
     
  • 2.23, HIP, 20:21, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    тупой аутсорсинг - это вообще пипец
     
  • 1.26, Anonymous1, 22:56, 03/04/2013 [ответить] [смотреть все]  
  • +6 +/
    "Кроме троянского модуля Apache на сервер устанавливается бэкдор, подменяющий собой штатный демон sshd."

    Простой вопрос:
    Что СНАЧАЛА ставится - подменный сервер SSH или модуль Apache? Подозреваю, что SSH, а значит, сервер УЖЕ поимели, а потом добавлять можно что угодно, хоть модуль Apachе, хоть маленьких зеленых крокодильчиков в количестве.

    Вероятно, правильно новость звучала бы так:
    Обнаружено 2000 Linux серверов, поиметых через свистоперделки типа CPanel,  Plesk, виндовые машины администраторов и управляющих сайтами аутсорсеров... Метод обнаружения - выборочное изощренное изменение контента, отдаваемого сервером Apache с указанных серверов.
      

     
     
  • 2.27, Аноним, 23:29, 03/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    trollmode дадада все эти линуксоиды только и кричат финдофсгафно, а на самом д... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, Аноним, 01:52, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Жирно. У меня дома линукс. Обломался?
     
     
  • 4.45, тигар, 07:31, 04/04/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    а причем тут твой линукс к машины администраторов и управляющих сайтами аутсорс... весь текст скрыт [показать]
     
     
  • 5.50, Аноним, 10:18, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Наверное при том что я серверами рулю ... весь текст скрыт [показать]
     
     
  • 6.51, тигар, 10:21, 04/04/2013 [^] [ответить] [смотреть все]  
  • –4 +/
    как всеми двумя, один из которых имеет ip 127 0 0 1 ... весь текст скрыт [показать]
     
     
  • 7.54, ананим, 11:29, 04/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Бздишнеги могут рулить серверами только из под винды?
     
     
  • 8.55, тигар, 11:35, 04/04/2013 [^] [ответить] [смотреть все]  
  • –4 +/
    не знаю, не пробовал а почему спрашиваешь ... весь текст скрыт [показать]
     
     
  • 9.58, linux must _RIP_, 15:25, 04/04/2013 [^] [ответить] [смотреть все]  
  • –3 +/
    так по себе же судит :-)
     
     
  • 10.68, ананим, 23:04, 04/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ха! Сошлись 2-а одиночества :D
     
     
  • 11.76, Аноним, 02:29, 05/04/2013 [^] [ответить] [смотреть все]  
  • +/
    > Ха! Сошлись 2-а одиночества :D

    Ну так это... дурак дурака видит издалека.

     
     
  • 12.81, тигар, 11:27, 05/04/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    да, пупсеги, вы нашли друг-дружку - ... весь текст скрыт [показать]
     
  • 7.75, Аноним, 02:27, 05/04/2013 [^] [ответить] [смотреть все]  
  • +/
    Не, ну что ты, у них интернетовские айпишники И, кстати, за 7 лет - ни одного p... весь текст скрыт [показать]
     
  • 1.28, Михрютка, 23:32, 03/04/2013 [ответить] [смотреть все]  
  • –3 +/
    It hides from server and site admins using blacklists and IPs and low-level serv... весь текст скрыт [показать]
     
     
  • 2.29, Аноним, 00:11, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    реклама малваря с черными списками :)
     
     
  • 3.30, Михрютка, 01:09, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    купи статик IP и получишь чорную маску подсети бисплатно ... весь текст скрыт [показать]
     
     
  • 4.42, Аноним, 06:48, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    ipv6 подсети забань :)
     
     
  • 5.52, Михрютка, 10:27, 04/04/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    > ipv6 подсети забань :)

    челябинские одмины банят по /proc/net/dev

     
  • 1.31, demimurych, 01:11, 04/04/2013 [ответить] [смотреть все]  
  • +/
    2000 серверов?

    простите но это можно и руками сделать,
    а там хоть модуль для апача делай, хоть инклюдь свой трафик

    зависит от квалификации.

     
     
  • 2.38, Аноним, 01:56, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, надр ченные обезтяны и на 3000 серваков раскидать могут ... весь текст скрыт [показать] [показать ветку]
     
  • 1.46, Аноним, 07:44, 04/04/2013 [ответить] [смотреть все]  
  • +1 +/
    iframe нужно отключать в NoScript сразу, как вражеский класс
     
     
  • 2.77, Аноним, 02:30, 05/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Иногда к сожалению и на нужных сайтах попадается ... весь текст скрыт [показать] [показать ветку]
     
  • 1.53, EuPhobos, 10:40, 04/04/2013 [ответить] [смотреть все]  
  • +/
    Если подменяется sshd демон, то тут уже как минимум у злоумышленника есть root-доступ к системе. Дыра может быть где угодно, а апач - это просто инструмент, для атаки на хомячков.
     
     
  • 2.56, ананим, 11:35, 04/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если бы дыра была где угодно, то ботнетом взломалось бы эдак в 1000 раз больше ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, linux must _RIP_, 15:26, 04/04/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    уже ломали - вспоминаем новость о ботнете из 50млн машинок под Linux - хоть бы... весь текст скрыт [показать]
     
     
  • 4.62, Аноним, 18:08, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    RIP, ты не прав. Там было 50 миллиардов ПК под Linux.
     
  • 4.67, userd, 20:29, 04/04/2013 [^] [ответить] [смотреть все]  
  • +/
    не ломали.
    просто там не заперто было.
    либо ключ под ковриком лежал.
     
     
  • 5.84, linux must _RIP_, 22:46, 06/04/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    какая разница - у большинства в windows так же пароль под ковриком - да еще и юзер сам подтвердил запуск троянца.
     
  • 4.78, Аноним, 02:31, 05/04/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Ух ты, там уже 50 млн Как стремительно пингвин захватывает планету ... весь текст скрыт [показать]
     
  • 1.61, lucentcode, 17:36, 04/04/2013 [ответить] [смотреть все]  
  • +/
    Не надо использовать панели на своих серверах. Они проприетарные, неудобные и вообще лучшая панель - это ssh доступ к системе:)
     
     
  • 2.79, Аноним, 02:32, 05/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    К сожалению, туповатые хомяки хочу сеюе сайт такое не разумеют ... весь текст скрыт [показать] [показать ветку]
     
  • 2.80, SCI, 10:23, 05/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    SSH - ну да, опять же putty в репах есть. Командная строка - всегда хорошо (на кой на X-ы ресурсы серверы тратить). А что о webmin скажете?
     
     
  • 3.82, тигар, 11:29, 05/04/2013 [^] [ответить] [смотреть все]  
  • +/
    > SSH - ну да, опять же putty в репах есть. Командная строка
    > - всегда хорошо (на кой на X-ы ресурсы серверы тратить). А
    > что о webmin скажете?

    тонкий намек: о нем либо хорошо, либо никак.

     
  • 2.83, arisu, 22:15, 05/04/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > лучшая панель — это ssh доступ к системе:)

    так к этому в дополнение надо мозг, который умеет нормально мыслить. многие двуногие таковым не укомплектованы.

     
     
  • 3.85, lucentcode, 02:39, 13/04/2013 [^] [ответить] [смотреть все]  
  • +/
    А зачем людей, не умеющих думать, заставлять устанавливать и админить веб-ресурсы?


     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor