Hunderte Apache-Server gekapert

BetriebssystemEnterpriseOpen SourceSicherheitSoftwareWorkspace

Ein neues Leck im Apache Server ermöglicht es Angriffe für die Administratoren nur sehr schwer erkennbar zu machen. Die betreffenden Anfragen werden nicht in die Logs mit aufgenommen.

Linux/Cdorked.A, der neue Apache-Schädling, sorgt dafür, dass Internet-Anfragen an Apache-Server nicht in Logs aufgenommen werden. Die gesendeten http-Anfragen, die in Wirklichkeit einen Trojaner steuern, sind für den Administrator nicht ersichtlich. Der Rest des Angriffs läuft im Speicher ab. Einen Bugfix gibt es noch nicht.

Apache Leck nur schwer ersichtlich.
Eine variable Routine steuert das Blackhole-Malwarekits (Bild:ESET).

Die Malware Linux/Cdorked.A ist eine raffinierte Hintertür, die alles tut, um den Internetverkehr auf schädliche Webseiten umzuleiten, schreibt Sicherheitsanbieter Eset in einer aktuellen Warnung.   Der Schädling sei so gut, dass er laut eigener Analysen schon hunderte von Webservern unter seine Kontrolle gebracht habe.

Er tarne sich, indem er alle gefährlichen Codes verschlüssele und den http-Code so verändert habe, dass Requests gar nicht mehr aufgezeichnet würden.

Zudem allokiere er 6 MByte Speicher (als sei er eine Apache-Subroutine), um darin mit allen verfügbaren Rechten sein Schindluder zu treiben. Um von Sicherheits-Software erkennbare Wiederholungen zu vermeiden, setzt die Software Cookies, die alles schon Dagewesene speichern und ihr dabei helfen, nicht noch einmal das Gleiche zu tun.

Zwar hat Eset auf seinen Seiten Links für Admins veröffentlicht, die zu Software führen, die entdecken kann, ob der eigene Server infiziert ist. Doch das reicht noch nicht, um den sich verändernden Schädling unter Kontrolle zu bringen oder zu beseitigen.

 

Fotogalerie: Mittelstand im Visier der Cyber-Spione

Klicken Sie auf eines der Bilder, um die Fotogalerie zu starten

 

In den kommenden Tagen werde man mehr Informationen über das Ausmaß und die Komplexität des Operation veröffentlichen, verspricht der Security-Anbieter – der offenbar selbst noch ziemlich ratlos ist und weiter forscht.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de