Alfonso Maruccia

La backdoor di Apache infetta altri web server

La minaccia che inizialmente si credeva diretta ai server Apache ha in realtÓ una superficie di impatto molto maggiore: infetti risultano anche gli altri web server FOSS, mentre il bizzarro comportamento del malware Ŕ ancora sotto analisi

Roma - Sembrava un pericolo circoscritto ai solo web server Apache, e invece il comportamento del malware Linux/Cdorked.A appare via via sempre più complesso. A cominciare dai software per server compromessi, visto che ora risultano infetti anche quei siti che girano su nginx e Lighttpd.

Quella che i ricercatori di sicurezza hanno descritto come la "più sofisticata backdoor per Apache mai vista" è dunque ancora più complessa di quanto si credeva all'inizio: cade l'ipotesi vulnerabilità in cPanel - il software di backend grafico implementato in molti server Apache delle società di hosting condiviso - e gli esperti identificano ora 400 diversi webserver compromessi con 50 dei quali presenti nella lista dei siti più visitati al mondo.

Linux/Cdorked.A è progettato per non lasciare alcuna traccia di sé sul server, a parte un demone httpd modificato e i dati di configurazione nella memoria condivisa del sistema. L'obiettivo del malware è redirigere i visitatori del sito ospitato sul server compromesso verso URL malevoli, su cui è attivo il famigerato exploit kit Blackhole.
Anche in quest'ultimo caso, però, il procedere dell'analisi della minaccia porta alla scoperta di comportamenti bizzarri e complessi: Cdorked.A usa server DNS compromessi per risolvere gli indirizzi IP dei siti rediretti, agisce secondo whitelist e blacklist per tali redirezioni, prende di mira i sistemi Windows da XP a 7 con browser Firefox e Internet Explorer e su iOS gli utenti vengono rediretti su siti pornografici.

Continua infine a rappresentare un mistero il metodo di propagazione di Cdorked.A: cPanel è stato scagionato dopo l'individuazione di software per server compromessi diversi da Apache, e la backdoor non sembra essere dotata di meccanismi di infezione/propagazione autonomi come ogni virus che si rispetti.

Alfonso Maruccia
Notizie collegate
  • SicurezzaApache, pericolo backdoorIl popolare web server minacciato da un nuovo pericolo di notevole complessitÓ, una backdoor che non lascia tracce evidenti di sÚ sul sistema e redirige i visitatori verso URL compromessi per diffondere ulteriori infezioni
82 Commenti alla Notizia La backdoor di Apache infetta altri web server
Ordina
  • Tiè, apro un thread dedicato a "Punto Informatico"

    Alla soluzione del mistero ci si arriva per le vie tradizionali:
    1) Tanti siti craccati
    2) Apache, nginx, Lighttpd, cazz e mazz
    3) il sistema colabrodo è notoriamente Winzozz

    Cos'hanno in comune quei siti ? Gli amministratori che usano client Winzozz.

    Tutti gli indizi portano a Winzozz.
    Vedete un po' voi. A bocca storta
    non+autenticato
  • esistono diversi sistemi che controllano e riportano eventuali modifiche di eseguibili (ed altre parti critiche), e non sto parlando di fantascienza ma di pacchetti standard che un buon/discreto sysadm conosce e normalmente installa sempre, basta fare qualche apt-get. Che diamine...

    La sicurezza dei server è una faccenda seria, è tempo che gli amministratori della domenica vadano in pensione.
    non+autenticato
  • - Scritto da: Pinco Panco
    > esistono diversi sistemi che controllano e
    > riportano eventuali modifiche di eseguibili (ed
    > altre parti critiche), e non sto parlando di
    > fantascienza ma di pacchetti standard che un
    > buon/discreto sysadm conosce e normalmente
    > installa sempre, basta fare qualche apt-get. Che
    > diamine...

    > La sicurezza dei server è una faccenda seria, è
    > tempo che gli amministratori della domenica
    > vadano in pensione.

    E non bisogna mai dare la pwd di root delle macchine linux agli amministratori windows...
    Che riescono a fare danno pure al di fuori del loro colabrodo Rotola dal ridereRotola dal ridere
    krane
    22544
  • - Scritto da: krane
    > E non bisogna mai dare la pwd di root delle
    > macchine linux agli amministratori
    > windows...
    > Che riescono a fare danno pure al di fuori del
    > loro colabrodo
    > Rotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridere
    Almeno quando si parla di Linux bucato potresti evitare questi commenti
    non+autenticato
  • - Scritto da: qwertyuiop
    > - Scritto da: krane
    > > E non bisogna mai dare la pwd di root delle
    > > macchine linux agli amministratori
    > > windows...
    > > Che riescono a fare danno pure al di fuori
    > del
    > > loro colabrodo
    > > Rotola dal ridereRotola dal ridere
    > Rotola dal ridereRotola dal ridereRotola dal ridere
    > Almeno quando si parla di Linux bucato potresti
    > evitare questi
    > commenti
    Se vogliamo essere pignoli, in tutta questa faccenda si sa che QUALCOSA e' stato bucato, ancora non si sa di preciso COSA e sopratutto COME, e il risultato finale sono un bel po' di server compromessi.
    Non e' ancora chiaro se il problema e' a livello di OS, di kernel, di applicativo o PEBKAC.....
    non+autenticato
  • - Scritto da: Trollollero
    > Se vogliamo essere pignoli, in tutta questa
    > faccenda si sa che QUALCOSA e' stato bucato,
    > ancora non si sa di preciso COSA e sopratutto
    > COME, e il risultato finale sono un bel po' di
    > server compromessi.
    >
    > Non e' ancora chiaro se il problema e' a livello
    > di OS, di kernel, di applicativo o
    > PEBKAC.....
    In base alla naming convention dei malware è lecito pensare che il qualcosa che è stato bucato sia un sistema Linux
    non+autenticato
  • - Scritto da: qwertyuiop
    > - Scritto da: Trollollero
    > > Se vogliamo essere pignoli, in tutta questa
    > > faccenda si sa che QUALCOSA e' stato bucato,
    > > ancora non si sa di preciso COSA e sopratutto
    > > COME, e il risultato finale sono un bel po'
    > di
    > > server compromessi.
    > >
    > > Non e' ancora chiaro se il problema e' a
    > livello
    > > di OS, di kernel, di applicativo o
    > > PEBKAC.....
    > In base alla naming convention dei malware è
    > lecito pensare che il qualcosa che è stato bucato
    > sia un sistema
    > Linux
    No, e' lecito pensare che quel coso giri su Linux.
    http://www.caro.org/naming/platformname.html

    Un ipotetico malware che usi Firefox per Linux come vettore d'attacco si chiamerebbe Linux/Sarca$$o, non Firefox/Sarca$$o.
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: qwertyuiop

    > > In base alla naming convention dei
    > > malware è lecito pensare che il qualcosa
    > > che è stato bucato sia un sistema Linux

    > No, e' lecito pensare che quel coso giri su Linux.
    > http://www.caro.org/naming/platformname.html

    > Un ipotetico malware che usi Firefox per Linux
    > come vettore d'attacco si chiamerebbe
    > Linux/Sarca$$o, non
    > Firefox/Sarca$$o.

    In effetti anche il vecchio "lamer exterminator" si chiamava in quel modo perche' usava come vettore di diffusione i lamer.... Ma riguardo al "Mariuana" che puntava a rompere i lettori floppy che mi dici ?
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Trollollero
    > > - Scritto da: qwertyuiop
    >
    > > > In base alla naming convention dei
    > > > malware è lecito pensare che il
    > qualcosa
    >
    > > > che è stato bucato sia un sistema Linux
    >
    > > No, e' lecito pensare che quel coso giri su
    > Linux.
    > > http://www.caro.org/naming/platformname.html
    >
    > > Un ipotetico malware che usi Firefox per
    > Linux
    > > come vettore d'attacco si chiamerebbe
    > > Linux/Sarca$$o, non
    > > Firefox/Sarca$$o.
    >
    > In effetti anche il vecchio "lamer exterminator"
    > si chiamava in quel modo perche' usava come
    > vettore di diffusione i lamer.... Ma riguardo al
    > "Mariuana" che puntava a rompere i lettori floppy
    > che mi dici
    > ?
    Che non fumo.
    non+autenticato
  • - Scritto da: Trollollero
    > No, e' lecito pensare che quel coso giri su Linux.
    Appunto.
    non+autenticato
  • - Scritto da: qwertyuiop
    > - Scritto da: Trollollero
    > > No, e' lecito pensare che quel coso giri su
    > Linux.
    > Appunto.
    Appunto un bel niente.
    "Gira su" != "sistema bucato"
    Di nuovo, al momento non si ha la benche' minima idea di quale vulnerabilita' venga sfruttata per far installare questo coso (che, ricordo agli smemorati, si limita a inguattarsi per bene e a corrompere Apache)
    Potrebbe essere stato tranquillamente installato da un admin idiota, per quel che se ne sa ora.

    PS: per qualche oscuro motivo il T1000 non gradiva.....
    non+autenticato
  • - Scritto da: Trollollero
    > Appunto un bel niente.
    > "Gira su" != "sistema bucato"
    > Di nuovo, al momento non si ha la benche' minima
    > idea di quale vulnerabilita' venga sfruttata per
    > far installare questo coso (che, ricordo agli
    > smemorati, si limita a inguattarsi per bene e a
    > corrompere
    > Apache)
    > Potrebbe essere stato tranquillamente installato
    > da un admin idiota, per quel che se ne sa
    > ora.
    Ah, ora ho capito, se becchi un malware in Windows, allora il sistema è stato bucato, se, invece, ce l'hai in Linux è un'applicazione esclusiva per sistemi Linux
    non+autenticato
  • Il virus infetta solo Apache installato in sistemi Linux?
    non+autenticato
  • - Scritto da: niubbo
    > Il virus infetta solo Apache installato in
    > sistemi
    > Linux?
    Per come è fatto si...
    Ma non è un virus.
    In pratica viene modificato l'eseguibile di Apache ma ovviamente per farlo devi avere i permessi il modo di ottenere i permessi "non è compreso" nella backdoor ne negli script di "autoinstallazione" della backdoor.
    non+autenticato
  • - Scritto da: niubbo
    > Il virus infetta solo Apache installato in
    > sistemi
    > Linux?
    CDorked non e' un virus, a parte questo pare che attacchi solo la versione di Apache per Linux.

    E no, la soluzione non e' installare Apache su Windows, per ovvi motivi....
    non+autenticato
  • - Scritto da: niubbo
    > Il virus infetta solo Apache installato in
    > sistemi Linux?

    No, il software gira sotto linux dopo che come root l'hai installato.
    krane
    22544
  • - Scritto da: niubbo
    > Il virus infetta solo Apache installato in
    > sistemi
    > Linux?

    io veramente avevo fatto alcune ricerche e avevo letto che infesta solo i sistemi linux che usano cPanel (una console di amministrazione di terze parti e commerciale, disponibile fra l'altro anche per windows), quindi il veicolo di infezione sarebbe quello, più precisamente quando esso è visibile da internet per l'accesso a cpanel da remoto (e quindi non firewallato) si riuscirebbe ad acquisire i privilegi di root.
    E' chiaro che una volta che sei dentro il sistema e sei root puoi fare quello che vuoi, e dunque anche andare a modificare il binario di Apache, ma questo non significa che vi sia un problema di sicurezza in Apache. Insomma, attenzione a fare informazione corretta. Anche se credo che anche gli esperti di sicurezza non abbiano ancora ben capito come funziona 'sto coso e bisogna capire come hanno fatto a diventare root.
    non+autenticato
  • - Scritto da: il signor rossi
    > io veramente avevo fatto alcune ricerche e avevo
    > letto che infesta solo i sistemi linux che usano
    > cPanel (una console di amministrazione di terze
    > parti e commerciale, disponibile fra l'altro
    > anche per windows), quindi il veicolo di
    > infezione sarebbe quello
    Ma l'articolo dice "cade l'ipotesi vulnerabilità in cPanel" appunto perché è una smentita di quanto si pensava precedentemente
    non+autenticato
  • - Scritto da: niubbo
    > - Scritto da: il signor rossi
    > > io veramente avevo fatto alcune ricerche e
    > avevo
    > > letto che infesta solo i sistemi linux che
    > usano
    > > cPanel (una console di amministrazione di
    > terze
    > > parti e commerciale, disponibile fra l'altro
    > > anche per windows), quindi il veicolo di
    > > infezione sarebbe quello
    > Ma l'articolo dice "cade l'ipotesi vulnerabilità
    > in cPanel" appunto perché è una smentita di
    > quanto si pensava
    > precedentemente
    Non c'è alcuna vulnerabilità in particolare il vettore di attacco è un altro e (ripeto) non è compreso nella backdoor stessa per entrare devi usare qualcosa di altro (password gnucche altre vulnerabilità amministratore scemo ecc. ecc.)
    non+autenticato
  • - Scritto da: niubbo
    > - Scritto da: il signor rossi
    > > io veramente avevo fatto alcune ricerche e
    > avevo
    > > letto che infesta solo i sistemi linux che
    > usano
    > > cPanel (una console di amministrazione di
    > terze
    > > parti e commerciale, disponibile fra l'altro
    > > anche per windows), quindi il veicolo di
    > > infezione sarebbe quello
    > Ma l'articolo dice "cade l'ipotesi vulnerabilità
    > in cPanel" appunto perché è una smentita di
    > quanto si pensava
    > precedentemente
    Come diceva qualcuno piu' su, qui si tratta sicuramente di vettori d'attacco multipli: vista la diffusione e il target, poi, non e' da escludere che siano state utilizzate vulnerabilita' diverse per attaccare server diversi.
    Il vero problema di quel coso e' l'estrema difficolta' nel monitorarlo e analizzarlo.....
    non+autenticato
  • - Scritto da: Trollollero

    > Il vero problema di quel coso e' l'estrema
    > difficolta' nel monitorarlo e
    > analizzarlo.....
    Ecco questa è la vera questione appunto.
    Però se hai la accortezza di tenere d'occhio la signature dell'apache (quello vero voglio dire) ti basta (se hai dei dubbi sulla tenuta del tuo sistema o sai che hai una particolare vulnerabilità) ti bastano uno scriptarello e un cron job per risolvere la questione e essere avvisato se qualcosa cambia a tua insaputa nell'eseguibile di apache.
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: Trollollero
    >
    > > Il vero problema di quel coso e' l'estrema
    > > difficolta' nel monitorarlo e
    > > analizzarlo.....
    > Ecco questa è la vera questione appunto.
    > Però se hai la accortezza di tenere d'occhio la
    > signature dell'apache (quello vero voglio dire)
    > ti basta (se hai dei dubbi sulla tenuta del tuo
    > sistema o sai che hai una particolare
    > vulnerabilità) ti bastano uno scriptarello e un
    > cron job per risolvere la questione e essere
    > avvisato se qualcosa cambia a tua insaputa
    > nell'eseguibile di
    > apache.
    Se qualcuno ha i diritti di admin sul tuo server, sai quante cose può fare a tua insaputa?
    non+autenticato
  • - Scritto da: armstrong
    > - Scritto da: tucumcari
    > > - Scritto da: Trollollero
    > >
    > > > Il vero problema di quel coso e'
    > l'estrema
    > > > difficolta' nel monitorarlo e
    > > > analizzarlo.....
    > > Ecco questa è la vera questione appunto.
    > > Però se hai la accortezza di tenere d'occhio
    > la
    > > signature dell'apache (quello vero voglio
    > dire)
    > > ti basta (se hai dei dubbi sulla tenuta del
    > tuo
    > > sistema o sai che hai una particolare
    > > vulnerabilità) ti bastano uno scriptarello e
    > un
    > > cron job per risolvere la questione e essere
    > > avvisato se qualcosa cambia a tua insaputa
    > > nell'eseguibile di
    > > apache.
    > Se qualcuno ha i diritti di admin sul tuo server,
    > sai quante cose può fare a tua
    > insaputa?
    Verissimo. Ma chi ha mai detto che il cronjob che controlla l'eseguibile deve essere sullo stesso server ?
    ssh da una macchina sicura verso le macchine da monitorare dice niente ?
    non+autenticato
  • E' tutta colpa di Microzozz, se non è sua di un qualche software closed che gira sotto Linux, se non è sua allora di un amministratore di rete poco astuto, sicuramente uno che arriva da Windows.
    Facile l'analisi no?
    non+autenticato
  • - Scritto da: Sisa
    > E' tutta colpa di Microzozz, se non è sua di un
    > qualche software closed che gira sotto Linux, se
    > non è sua allora di un amministratore di rete
    > poco astuto, sicuramente uno che arriva da
    > Windows.
    > Facile l'analisi no?
    09/10
    Ottima analisi, hai colto lo spirito
    non+autenticato
  • - Scritto da: Sisa
    > E' tutta colpa di Microzozz, se non è sua di un
    > qualche software closed che gira sotto Linux, se
    > non è sua allora di un amministratore di rete
    > poco astuto, sicuramente uno che arriva da
    > Windows.
    > Facile l'analisi no?
    Trollate a parte, lo sviluppo e l'implementazione di CDorked hanno richiesto un lavoro impressionante da parte da di un team di sviluppo ben nutrito e molto esperto. Non sono molti i soggetti che possono permettersi una simile potenza di fuoco: se non si tratta di qualche cartello criminale russo (primi indiziati in quanto tra le varie strategie mimetiche di CDorked vi e' l'esclusione di bersagli russi e ucraini...) allora quasi certamente si tratta di un qualche Stato sovrano che ha deciso di dedicarsi a questo bel giochino.

    Di fronte a risorse simili c'e' poco da fare: o prima o dopo una qualche falla si trova.
    non+autenticato
  • - Scritto da: Trollollero
    > Trollate a parte, lo sviluppo e l'implementazione
    > di CDorked hanno richiesto un lavoro
    > impressionante da parte da di un team di sviluppo
    > ben nutrito e molto esperto. Non sono molti i
    > soggetti che possono permettersi una simile
    > potenza di fuoco: se non si tratta di qualche
    > cartello criminale russo (primi indiziati in
    > quanto tra le varie strategie mimetiche di
    > CDorked vi e' l'esclusione di bersagli russi e
    > ucraini...) allora quasi certamente si tratta di
    > un qualche Stato sovrano che ha deciso di
    > dedicarsi a questo bel
    > giochino.
    >
    > Di fronte a risorse simili c'e' poco da fare: o
    > prima o dopo una qualche falla si
    > trova.
    Probabilmente è tutto un complotto per screditare Linux
    non+autenticato
  • - Scritto da: cimurro
    > - Scritto da: Trollollero
    > > Trollate a parte, lo sviluppo e
    > l'implementazione
    > > di CDorked hanno richiesto un lavoro
    > > impressionante da parte da di un team di
    > sviluppo
    > > ben nutrito e molto esperto. Non sono molti i
    > > soggetti che possono permettersi una simile
    > > potenza di fuoco: se non si tratta di qualche
    > > cartello criminale russo (primi indiziati in
    > > quanto tra le varie strategie mimetiche di
    > > CDorked vi e' l'esclusione di bersagli russi
    > e
    > > ucraini...) allora quasi certamente si
    > tratta
    > di
    > > un qualche Stato sovrano che ha deciso di
    > > dedicarsi a questo bel
    > > giochino.
    > >
    > > Di fronte a risorse simili c'e' poco da
    > fare:
    > o
    > > prima o dopo una qualche falla si
    > > trova.
    > Probabilmente è tutto un complotto per screditare
    > Linux

    Probabilmente, troll scarso e svogliato che non sei altro, tenendo conto delle caratteristiche dell'infezione e dell'estrema complessita' della stessa, si tratta di un qualche tool di cyberwar che e' in fase di test.
    Nessun complotto.
    non+autenticato
  • >
    > Di fronte a risorse simili c'e' poco da fare: o
    > prima o dopo una qualche falla si
    > trova.

    Non ho dubbi, solo che ancora bisogna capire dov'è la falla. Abbiamo detto che cpanel non è...
    non+autenticato
  • - Scritto da: Sisa
    > >
    > > Di fronte a risorse simili c'e' poco da
    > fare:
    > o
    > > prima o dopo una qualche falla si
    > > trova.
    >
    > Non ho dubbi, solo che ancora bisogna capire
    > dov'è la falla. Abbiamo detto che cpanel non
    > è...
    La falla è nel manico... (admin).
    Potrei farti un elenco quasi infinito di server bucati (anche solo via ssh) mi basta copiare il log di un mio server a caso dove appaiono i server (compromessi) che cercano a loro volta di bucare ...
    ne conto 16782 solo dal 15 aprile a oggi su un solo server (neanche di quelli più "frequentati")
    Quel numero significa che server già bucati hanno tentato (solo nel periodo indicato) che ci sono stati altrettanti tentativi (falliti) di bucare il mio.
    Non ti dico quello che vedo in un server virtuale che uso come "honeypot" Se uno è delicato di stomaco ci rimane male...
    non+autenticato
  • > La falla è nel manico... (admin).

    Quindi apache + linux è inviolabile se non per colpa dell'admin. CVD!
    non+autenticato
  • - Scritto da: Sisa
    > > La falla è nel manico... (admin).
    >
    > Quindi apache + linux è inviolabile se non per
    > colpa dell'admin.
    > CVD!
    Di certo non è violabile con la backdoor che è priva di vettori di attacco!
    Devi avere già ottenuto accesso al serve e coi giusti privilegi dato che devi modificare l'eseguibile di apache (è questo che fa la backdoor) per fare funzionare il tutto.
    E non basta negli articoli di analisi si capisce che per funzionare hai bisogno di almeno 2 server compromessi.
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: Sisa
    > > > La falla è nel manico... (admin).
    > >
    > > Quindi apache + linux è inviolabile se non
    > per
    > > colpa dell'admin.
    > > CVD!
    > Di certo non è violabile con la backdoor che è
    > priva di vettori di
    > attacco!
    > Devi avere già ottenuto accesso al serve e coi
    > giusti privilegi dato che devi modificare
    > l'eseguibile di apache (è questo che fa la
    > backdoor) per fare funzionare il
    > tutto.
    > E non basta negli articoli di analisi si capisce
    > che per funzionare hai bisogno di almeno 2 server
    > compromessi.
    linkino all'articolo che son curioso, il particolare di bibi' e bibo' che devono lavorare in coppia me l'ero perso....
    non+autenticato
  • - Scritto da: Sisa
    > >
    > > Di fronte a risorse simili c'e' poco da
    > fare:
    > o
    > > prima o dopo una qualche falla si
    > > trova.
    >
    > Non ho dubbi, solo che ancora bisogna capire
    > dov'è la falla.
    Linux?A bocca aperta
    non+autenticato