Взлом Apache под управлением cPanel
29 Apr 2013 | Автор: dd |В начале апреля были обнаружены проблемы уязвимости веб-сервера Apache, благодаря которым вредоносное ПО Darkleech могло заражать компьютеры посетителей через уязвимости браузеров, используя iframe и JavaScript. Причем вредоносный код размещался как модуль Apache, что затрудняло его выявление.
Сам механизм заражения не был ясен, но уязвимости подвергались сервера под управлением панелей администрирования cPanel и Plesk.
И вот буквально на днях, команды Sucuri Security и ESET изучавшие методику внедрения backdoor Darkleech, выявили что на Linux серверах под управлением cPanel происходит подмена исполняемого файла демона httpd на скомпрометированный файл.
До этого, для выявления подмены специалисты безопасности рекомендовали команды “rpm -Va”,”rpm -qf” или “dpkg -S” для просмотра времени изменения модуля Apache, но на сервере под управлением cPanel данный способ не работает, по причинам установки веб-сервера средствами панели, что не затрагивает пакетный менеджер.
Поэтому наиболее правильным путем выявления служит команда поиска “open_tty” в директории веб-сервера:
# grep -r open_tty /usr/local/apache/
если данная команда находит open_tty в бинарниках сервера, то вероятнее всего он является скомпрометированным, так как оригинальная версия httpd не имеет вызова open_tty. При этом в случае если вы попытаетесь заменить скопрометированный файл чистым, то получите ошибку доступа, так как файлу присваиваются спец.атрибуты, так что перед удалением их необходимо снять:
# chattr -ai /usr/local/apache/bin/httpd
Зараженный бинарник не изменяет ничего на сайте, но один раз в сутки для каждого IP отрабатывает редирект на различные домены, откуда запрашивается скрипт отдающий браузеру зашифрованный редирект на amazingtubesites.org.
Специалисты Eset говорят о сотнях зараженных веб-серверах и тысячах потенциальных угроз. Причем выявить злонамеренную активность крайне сложно, так как backdoor не оставляет никаких следов, не пишет редиректы в логи, не изменяет даты файла, а также управляется через специальным образом сконфигурированный HTTP GET запрос к веб-серверу.
После чего злоумышленник уже может получить полный root доступ к скомпрометированному серверу и выполнять на нем любые действия.
Еще одна интересная особенность, что злоумышленники используют субдомены легитимных доменов, каким то образом выполняя на них подмену DNS зоны, так что специалисты Eset не исключают того, что рутовые DNS сервера некторых зон также заражены и находятся в управлении злоумышленников.
Комментируя новость, специалисты безопасности пока еще не могут более точно установить механизм первоначального взлома веб-сервера, но предполагают что это происходит путем брутфорса на SSH.
Теги: apache, cpanel, IT безопасность, сайты