image

Stiekeme backdoor besmet ook nginx- en Lighttpd-servers

woensdag 8 mei 2013, 11:10 door Redactie, 1 reacties

Een zeer geavanceerde backdoor die eerder op Apache-webservers werd ontdekt blijkt ook nginx- Lighttpd-server te infecteren. De backdoor laat geen sporen op de harde schijf van de gehackte server achter, behalve dan het aangepaste httpd bestand. Eenmaal actief wordt er bij willekeurige requests naast de weergegeven content ook een kwaadaardige redirect toegevoegd.

Deze redirect stuurt de browser van bezoekers door naar kwaadaardige websites die malware proberen te installeren. Inmiddels zijn meer dan 400 webservers met de Cdorked-backdoor aangetroffen. Daarvan stonden er 50 in de top 100.000 van meest bezochte websites volgens een overzicht van Alexa.

Webserver
Naast een binair bestand voor Apache zijn er ook aangepaste Lighttpd- en nginx-bestanden aangetroffen. Uit cijfers van het Slowaakse anti-virusbedrijf ESET blijkt dat de campagne om webservers te infecteren als sinds december 2012 gaande is.

Om detectie door beveiligingsbedrijven te voorkomen gebruikt Cdorked een blacklist met een groot aantal IP-adressen. Het gaat om ongeveer 50% van de Internet IPv4 space. Deze IP-adressen krijgen geen kwaadaardige content toegestuurd. Ook worden geen computers geïnfecteerd met een Japanse, Finse, Russische, Oekrainse, Kazachstaanse of Wit-Russische taalinstellingen.

Detectie
Zeker 100.000 gebruikers van ESET zouden vanwege een Cdorked-backdoor naar een kwaadaardige website zijn doorgestuurd. Aangezien de backdoor lastig is te detecteren, is er een tool online verschenen die systeembeheerders hiermee helpt. Hoe de webservers besmet raken is nog altijd onbekend.

Reacties (1)
08-05-2013, 12:01 door Anoniem
"De backdoor laat geen sporen op de harde schijf van de gehackte server achter, behalve dan het aangepaste httpd bestand." -> "De backdoor laat sporen op de harde schijf van de gehackte server achter, namelijk het aangepaste httpd bestand."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.