Aanvallers hebben een nieuwe manier gevonden om honderden Apache webservers op geraffineerde wijze over te nemen en bezoekers van de gehoste websites met malware te infecteren. De afgelopen maanden waren Apache-servers regelmatig het doelwit van aanvallen waarbij kwaadaardige modules werden toegevoegd of de Apache configuratie werd aangepast.

Vervolgens werd er aan de websites die op de server gehost werden kwaadaardige code toegevoegd. Deze code wees weer naar andere websites met exploit-kits, die bezoekers met onveilige versies van populaire programma's zoals Java, Adobe Flash Player en Adobe Reader proberen te infecteren.

Backdoor
De afgelopen maanden ontdekten onderzoekers dat de aanvallers hun tactiek hebben veranderd. Op servers met cPanel, een tool voor systeembeheerders en webmasters, werden er geen nieuwe modules toegevoegd of configuratie aangepast, maar vervingen de aanvallers het Apache (httpd) bestand door een kwaadaardige versie.

Deze kwaadaardige versie bevat een zeer geraffineerde backdoor waarmee de aanvallers de machine kunnen besturen, aldus onderzoekers van beveiligingsbedrijf Sucuri en anti-virusbedrijf ESET.

Detectie
Eerder technieken en tools om de backdoor te ontdekken werken niet meer deze tegen nieuwe aanval. "Er is geen eenvoudig commando om te detecteren of het Apache bestand is aangepast", zegt Daniel Cid, CTO van Sucuri.

De backdoor wijzigt verder niets in de websites zelf of hoe die eruit zien. Alleen bij willekeurige requests wordt er naast de weergegeven content ook een kwaadaardige redirect toegevoegd, die de browser content van andere websites laat laden. In sommige gevallen ging het om de bekende Blackhole Exploit-kit.

De gebruikte URL's veranderen in hoog tempo en inmiddels zouden er al meer dan 30.000 variaties zijn ontdekt.

Slachtoffers
Sid krijgt bijval van Pierre-Marc Bureau van ESET. "Cdorked is één van de meest geraffineerde Apache backdoors die we ooit gezien hebben." Uit gegevens van de virusbestrijder zou blijken dat er inmiddels honderden servers zijn gehackt en mogelijk duizenden slachtoffers zijn gemaakt.

"De backdoor laat geen sporen op de harde schijf van de gehackte host achter, behalve dan het aangepaste httpd bestand." Alle informatie met betrekking tot de backdoor wordt in het gedeelde geheugen opgeslagen.

Hoe de aanvallers in eerste instantie toegang tot de servers krijgen is nog onbekend, maar Bureau houdt rekening met brute-force aanvallen op SSH-accounts. Daarbij wordt via veelvoorkomende gebruikersnamen en wachtwoorden geprobeerd via SSH op de server in te loggen.