Alfonso Maruccia

Apache, pericolo backdoor

Il popolare web server minacciato da un nuovo pericolo di notevole complessità, una backdoor che non lascia tracce evidenti di sé sul sistema e redirige i visitatori verso URL compromessi per diffondere ulteriori infezioni

Roma - I ricercatori di sicurezza hanno individuato una nuova minaccia contro il web server Apache, una backdoor capace di non solo di trasformare il sistema in un dispensatore di ulteriori infezioni (sui client) ma anche di non lasciare traccia di sé (almeno per quel che riguarda i file di codice binario) sulla macchina infetta.

Linux/Cdorked.A, questo il nome del malware scovato dagli esperti di ESET e Sucuri, viene descritto come "la più sofisticata backdoor per Apache mai vista": il codice malevolo modifica il file httpd sul server (il "demone" di Apache per la gestione delle richieste su protocollo HTTP) e archivia le informazioni di configurazione nella memoria condivisa del server, ma a parte questo non c'è altra traccia del malware sul disco e la cosa rende l'analisi problematica.

La backdoor si premura di prendere ulteriori contromisure per evitare l'identificazione o la nascita di sospetti sia sul server che nel codice fornito al browser del client, mentre per quanto riguarda il payload Cdorked.A redirige i visitatori di un sito/server web infetto verso URL malevoli su cui è presente il ben noto exploit-kit Blackhole.
Il malware è sofisticato al punto da salvare un cookie sul browser dopo la prima redirezione per evitare dirottamenti successivi, e per le pagine amministrative (su server) contenenti stringhe sensibili come "admin" o "cpanel" non viene fornito alcun contenuto malevolo.

I ricercatori hanno preparato uno script in Python per verificare l'eventuale presenza della backdoor su server.

Alfonso Maruccia
Notizie collegate
23 Commenti alla Notizia Apache, pericolo backdoor
Ordina
  • "Il malware è sofisticato al punto da salvare un cookie sul browser dopo la prima redirezione per evitare dirottamenti successivi"

    E che ci sarebbe di "sofisticato" in tutto ciò? Newbie, inesperto
    non+autenticato
  • - Scritto da: Sofisticato
    > "Il malware è sofisticato al punto da salvare un
    > cookie sul browser dopo la prima redirezione per
    > evitare dirottamenti
    > successivi"
    >
    > E che ci sarebbe di "sofisticato" in tutto ciò?
    > Newbie, inesperto
    Rotola dal ridereRotola dal ridereRotola dal ridere
  • - Scritto da: sbrotfl
    > - Scritto da: Sofisticato
    > > "Il malware è sofisticato al punto da
    > salvare
    > un
    > > cookie sul browser dopo la prima redirezione
    > per
    > > evitare dirottamenti
    > > successivi"
    > >
    > > E che ci sarebbe di "sofisticato" in tutto
    > ciò?
    > > Newbie, inesperto
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    Che poi Blacole è piuttosto sofisticato davvero, ma non certo per la ragione qui sopra!
    non+autenticato
  • E' sofisticato nella testa dell'autore....
    non+autenticato
  • Insomma non c'è nessun bug in Apache, ma solo in cpanel, dove qualcuno può modificare il binario di Apache, come al solito è tutta fuffaware.
    Se c'è un sql injection in un sito che mi permette di accedere all'interfaccia di amministrazione e da li fare l'upload di una shell, e grazie a questa provare un attacco per diventare root e dopo di che riesco a modificare il binario httpd di apache ottengono lo stesso effetto. Ma il bug dov'è? In Apache oppure nell'applicazione che ha l'sql injection?
    non+autenticato
  • Tra l'altro, davanti ad articoli di questo genere, basterebbe fare anche un semplice ragionamento logico: una "pericolosa backdoor", in quanto tale, non verrebbe scoperta da nessuno.
    non+autenticato
  • - Scritto da: Fuffaware
    > Se c'è un sql injection in un sito che mi
    > permette di accedere all'interfaccia di
    > amministrazione e da li fare l'upload di una
    > shell, e grazie a questa provare un attacco per
    > diventare root e dopo di che riesco a modificare
    > il binario httpd di apache ottengono lo stesso
    > effetto. Ma il bug dov'è? In Apache oppure
    > nell'applicazione che ha l'sql
    > injection?
    Nell'interfaccia tra sedia e tastieraA bocca aperta
    non+autenticato
  • Non mi è chiaro come fa ad accedere e modificare il demone... bug di apache? bug dell'utente?
    non+autenticato
  • - Scritto da: quota
    > Non mi è chiaro come fa ad accedere e modificare
    > il demone... bug di apache? bug
    > dell'utente?

    bug di mariuccia?
  • Per modificare l'eseguibile di apache servono i privilegi di amministrazione (root) ergo trovo difficile che un server venga infettato in maniera automatica.

    Per essere sicuro ho appena aperto come utente

    nano /usr/sbin/apache2

    Modificato un carattere qualsiasi e provato a salvare ovviamente non avevo i permessi.
    non+autenticato
  • - Scritto da: quota
    > Non mi è chiaro come fa ad accedere e modificare
    > il demone... bug di apache? bug
    > dell'utente?
    http://blog.eset.ie/2013/04/29/linuxcdorked-a-new-.../
    non+autenticato
  • - Scritto da: Mario Rossi
    > - Scritto da: quota
    > > Non mi è chiaro come fa ad accedere e
    > modificare
    > > il demone... bug di apache? bug
    > > dell'utente?
    > http://blog.eset.ie/2013/04/29/linuxcdorked-a-new-
    Si ma non dice un ciufolo sul vettore di attacco...
    spiega solo come funziona una volta che l'attacco è compito...

    Inoltre da quanto posso capire direi che la cosa non funziona su Apache2

    Gli unici riferimenti sensati su possibili vettori di attacco "sensati" li ho trovati qui...
    http://www.phrack.org/issues.html?issue=62&id=10#a...

    E non direi che funzioni su siti gestiti con un minimo di decenza e attenzione... certo ci sono diversi web admin che potrebbero candidarsi al "Darwin Haward" ma c'è poco da fare è un fatto della vita....
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: Mario Rossi
    > > - Scritto da: quota
    > > > Non mi è chiaro come fa ad accedere e
    > > modificare
    > > > il demone... bug di apache? bug
    > > > dell'utente?
    > >
    > http://blog.eset.ie/2013/04/29/linuxcdorked-a-new-
    > Si ma non dice un ciufolo sul vettore di
    > attacco...
    > spiega solo come funziona una volta che l'attacco
    > è
    > compito...
    >
    > Inoltre da quanto posso capire direi che la cosa
    > non funziona su
    > Apache2
    >
    > Gli unici riferimenti sensati su possibili
    > vettori di attacco "sensati" li ho trovati
    > qui...
    > http://www.phrack.org/issues.html?issue=62&id=10#a
    >
    > E non direi che funzioni su siti gestiti con un
    > minimo di decenza e attenzione... certo ci sono
    > diversi web admin che potrebbero candidarsi al
    > "Darwin Haward" ma c'è poco da fare è un fatto
    > della
    > vita....
    pardon "Darwin Award"...
    ovviamente
    non+autenticato
  • - Scritto da: tucumcari
    > Si ma non dice un ciufolo sul vettore di
    > attacco...
    > spiega solo come funziona una volta che l'attacco
    > è
    > compito...
    >
    > Inoltre da quanto posso capire direi che la cosa
    > non funziona su
    > Apache2
    >
    > Gli unici riferimenti sensati su possibili
    > vettori di attacco "sensati" li ho trovati
    > qui...
    > http://www.phrack.org/issues.html?issue=62&id=10#a
    >
    > E non direi che funzioni su siti gestiti con un
    > minimo di decenza e attenzione... certo ci sono
    > diversi web admin che potrebbero candidarsi al
    > "Darwin Haward" ma c'è poco da fare è un fatto
    > della
    > vita....
    http://serverfault.com/questions/503959/how-do-i-p...
    non+autenticato
  • - Scritto da: codroipo
    > - Scritto da: tucumcari
    > > Si ma non dice un ciufolo sul vettore di
    > > attacco...
    > > spiega solo come funziona una volta che
    > l'attacco
    > > è
    > > compito...
    > >
    > > Inoltre da quanto posso capire direi che la
    > cosa
    > > non funziona su
    > > Apache2
    > >
    > > Gli unici riferimenti sensati su possibili
    > > vettori di attacco "sensati" li ho trovati
    > > qui...
    > >
    > http://www.phrack.org/issues.html?issue=62&id=10#a
    > >
    > > E non direi che funzioni su siti gestiti con
    > un
    > > minimo di decenza e attenzione... certo ci
    > sono
    > > diversi web admin che potrebbero candidarsi
    > al
    > > "Darwin Haward" ma c'è poco da fare è un
    > fatto
    > > della
    > > vita....
    > http://serverfault.com/questions/503959/how-do-i-p
    Ripeto non c' descrizione del vettore di attacco anche se ci sono nel link che ho postato sopra.
    La cosa funziona se si utilizza (male) cPanel... e il povero SSH se gestito correttamente non c'entra proprio niente... certo se la password è "admin"... ripeto è un caso da darwin avard
    non+autenticato
  • - Scritto da: tucumcari
    > Ripeto non c' descrizione del vettore di attacco
    > anche se ci sono nel link che ho postato
    > sopra.
    > La cosa funziona se si utilizza (male) cPanel...
    > e il povero SSH se gestito correttamente non
    > c'entra proprio niente... certo se la password è
    > "admin"...
    "How are attackers gaining access to the host servers?"
    "How the attackers are gaining root access to begin with is a separate matter, still unresolved. Attackers may have stolen login credentials via phishing, or via a localized infection on a management system, or simply by brute-force guessing the login."
    http://blogs.cisco.com/security/linuxcdorked-faqs

    > ripeto è un caso da darwin
    > avard
    Ti fa proprio schifo la parola "Award", ehA bocca aperta
    non+autenticato
  • - Scritto da: codroipo
    > - Scritto da: tucumcari
    > > Ripeto non c' descrizione del vettore di
    > attacco
    > > anche se ci sono nel link che ho postato
    > > sopra.
    > > La cosa funziona se si utilizza (male)
    > cPanel...
    > > e il povero SSH se gestito correttamente non
    > > c'entra proprio niente... certo se la
    > password
    > è
    > > "admin"...
    > "How are attackers gaining access to the host
    > servers?"
    > "How the attackers are gaining root access to
    > begin with is a separate matter, still
    > unresolved. Attackers may have stolen login
    > credentials via phishing, or via a localized
    > infection on a management system, or simply by
    > brute-force guessing the
    > login."
    > http://blogs.cisco.com/security/linuxcdorked-faqs
    >
    > > ripeto è un caso da darwin
    > > avard
    > Ti fa proprio schifo la parola "Award", ehA bocca aperta

    Evabbe.. che ci vuoi fare.. succede...
    Nessuno "siam perfetti" ciascuno "abbiamo i suoi difetti"...
    Ti piace così?
    è abbastanza macheronico?
    Sorride
    non+autenticato
  • Macheronico? Newbie, inesperto A bocca aperta
    non+autenticato