Mitarbeiter der Web-Sicherheitsfirma Sucuri haben manipulierte Binaries des freien Webservers Apache entdeckt.
Bericht bei Heise http://www.heise.de/newsticker/meldung/Manipulierte-Apache-Binaries-laden-Schadcode-1851245.html
Bericht bei Golem http://www.golem.de/news/linux-cdorked-a-schwer-entdeckbare-backdoor-fuer-apache-server-1304-98990.html
Wir leben in interessanten Zeiten 🙁
Problem ist anscheinend wieder ein Plugin, so einfach uns diese Tools das "Leben" machen,
so schwierig machen einige es einem auch
Sie laden ohne Zutun des Anwenders Schadcode oder andere Inhalte von Websites nach. Betroffen sind offenbar bislang nur Dateien, die mit dem Administrationswerkzeug cPanel installiert wurden. Nach Informationen von ESET sollen mehrere hundert Webserver befallen sein.
Der Linux/Cdorked.A getaufte Angriff ist schwer zu entdecken: Da cPanel den Webserver nicht mit den üblichen Paketsystemen wie RPM installiert, helfen deren Verifikationsmechanismen nicht weiter. Außerdem verändern die Angreifer das Dateidatum nicht, sodass ein einfacher Blick auf ein Verzeichnis-Listing keinen Hinweis gibt. Laut Sucuri soll die Suche nach der Zeichenkette open_tty einen sicheren Hinweis auf ein manipuliertes Binary geben: grep -r open_tty /usr/local/apache/ liefere bei intakten Apache-Binaries keine Ausgabe.
Bericht bei Golem http://www.golem.de/news/linux-cdorked-a-schwer-entdeckbare-backdoor-fuer-apache-server-1304-98990.html
Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.
Wir leben in interessanten Zeiten 🙁
Problem ist anscheinend wieder ein Plugin, so einfach uns diese Tools das "Leben" machen,
so schwierig machen einige es einem auch