Linux/Cdorked.A: Schwer entdeckbare Backdoor für Apache-Server

Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.

Artikel veröffentlicht am ,
Backdoor auf hunderten Apache-Servern
Backdoor auf hunderten Apache-Servern (Bild: Apache Software Foundation)

Linux/Cdorked.A ist eine Backdoor für Apache-Server, die von einem Administrator nur schwer entdeckt werden kann. Mitarbeiter der Firmen Eset und Sucuri haben bereits einen Teil der Backdoor analysiert. Cdorked greift Hostingsysteme an, die per cPanel konfiguriert werden. Die Analyse wird dabei durch verschiedene Mechanismen erschwert. Eset gibt etwa an, dass normale Apache-Logs keine Hinweise geben, dass das eigene System übernommen wurde. Auch Spuren auf dem Dateisystem hinterlässt die Schadsoftware kaum. Stattdessen wird vor allem ein 6 MByte großer Teil des Arbeitsspeichers für die laufende Konfiguration verwendet. Befehle bekommt die Schadsoftware über verschleierte HTTP-Requests.

Nur eine Datei wird manipuliert

Stellenmarkt
  1. IT-Mitarbeiter (gn) als Anwendungsbetreuer für klinische Informationssysteme
    Universitätsklinikum Münster, Münster
  2. IT-Systemadministrator (m/w/d)
    HAURATON GmbH & Co. KG, Rastatt
Detailsuche

Nur das httpd-Binary wird beim Angriff modifiziert, ohne dass das Dateidatum verändert würde. Zudem wird die Datei mit dem Immutable Bit versehen, um den Zugriff zu erschweren. Der Administrator muss über das chattr-Werkzeug erst einmal an die Datei kommen, um sie dann durch eine saubere Version zu ersetzen.

Auch die Analyse von außen wird erschwert. Pro Tag und IP-Adresse verändert der kompromittierte Webserver nur ein einziges Mal sein Verhalten. Dann wird ein Anwender, der die Webseite besucht, per Redirect umgeleitet. Damit kein weiterer Redirect durchgeführt wird, speichert der Webserver beim Besucher einen Cookie. Zudem leitet die Schadsoftware keine Admin-Zugriffe um. Will der Admin etwa auf seine Konfiguration schauen, wird ebenfalls ein Cookie gesetzt.

Bei erfolgter Umleitung findet sich der Besucher der ursprünglichen Webseite woanders wieder. Hier hören die Analysen der beiden Sicherheitsfirmen auf. Klar ist bisher nur, dass die neuen Ziele Blackhole Exploit Packs verwenden, um dann den Anwender zu infizieren. Mit solchen Kits werden in der Regel zahlreiche Sicherheitslücken angegriffen. Dabei sind nicht nur Java, Flash und PDF das Ziel, sondern häufig auch der Browser. Ist dieser veraltet und hat Sicherheitslücken, kann nicht ausgeschlossen werden, dass der Rechner des Anwenders beim Besuch eines solchen Redirects übernommen wird. Ein Virenscanner reicht als alleiniger Schutz häufig nicht aus.

Golem Akademie
  1. Dive-in-Workshop: Kubernetes
    17./19./24./26. August 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Eset und Sucuri empfehlen allen Apache-Admins mit cPanel, ihre Server auf eine Infektion durch die sehr fortschrittliche Schadsoftware zu untersuchen. Die Analyse ist noch nicht abgeschlossen. Sowohl Eset als auch Sucuri stellen noch allerhand Vermutungen auf, was das Vorgehen der Schadsoftware angeht. Denkbar sind die Vermietung der Infrastruktur für Spamverteilung, die weitere Verbreitung von Schadsoftware oder auch Angriffe. Bisher ist zudem unklar, wie die Server überhaupt gehackt wurden. Eset und Sucuri gehen bisher nicht davon aus, dass eine Sicherheitslücke verwendet wurde.

Linux/Cdorked.A zeigt, welcher Aufwand mittlerweile betrieben wird, um an Rechner heranzukommen und gleichzeitig eine Entdeckung zu vermeiden. Die Software verdeutlicht zudem, dass der reguläre Netzbesucher das Ziel solcher Angriffe ist. Ciscos Security Report vom Februar 2013 nannte auf dem ersten Platz Angriffe über dynamische Inhalte und CDN-Systeme (18,3), dicht gefolgt von Angriffen über Werbung (16,8 Prozent). Spielewebseiten werden zu 6,5 Prozent für Angriffe verwendet und Onlineshops erreichen immerhin noch 3,6 Prozent. Webseiten mit illegalen Softwareangeboten sind für Kriminelle kaum noch von Interesse.

Nachtrag vom 28. April 2013, 16:04 Uhr

Der Debian-Entwickler Adrian Glaubitz machte uns darauf aufmerksam, dass eine Kontrolle bei Distributionen mit signierten Paketen beispielsweise leicht über das Werkzeug debsums durchgeführt werden kann. Manipulierte Apache-Installationen sollten so einfach aufzuspüren sein. Außerdem hat Eset ein eigenes Tool veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Luftsicherheit
Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
Artikel
  1. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  2. VW ID.4 im Test: Schön brav
    VW ID.4 im Test
    Schön brav

    Eine Rakete ist der ID.4 nicht. Dafür bietet das neue E-Auto von VW viel Platz, hält Spur und Geschwindigkeit - und einmal geht es sogar sportlich in die Kurve.
    Ein Test von Werner Pluta

  3. Kryptowährung: Paar will Ethereum verklagen, weil es nicht an Coins kommt
    Kryptowährung
    Paar will Ethereum verklagen, weil es nicht an Coins kommt

    3.000 Ether kaufte ein Paar 2014. Doch den Schlüssel zum Wallet will es nie erhalten haben. Jetzt sammeln die beiden Geld, um Ethereum zu verklagen.

Anonymer Nutzer 30. Apr 2013

Darum prüft man so etwas von einer vertrauenswürdigen Maschine aus, mit zur Version...

rkr 30. Apr 2013

Kann es sein, dass das Script unter Ubuntu Server 12.04 immer anschlaegt?

elgooG 29. Apr 2013

Vor allem das "Nur eine Datei wird manipuliert" finde ich schon etwas dreist. Ja klar, es...

silentburn 29. Apr 2013

danke fürs mitteilen

Poison Nuke 28. Apr 2013

da es sich laut Meldung bisher scheinbar nur um cPanel Server handelt, scheint es über...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Marken-Sparen bei MediaMarkt (u. a. Lenovo & Razer) • Tag der Freundschaft bei Saturn: 1 Produkt zahlen, 2 erhalten • Razer Deathadder V2 Pro Gaming-Maus 95€ • Alternate-Deals (u. a. Kingston 16GB Kit DDR4-3200MHz 81,90€) • Razer Kraken X Gaming-Headset 44€ [Werbung]
    •  /