Az apache webszerver sérülékenysége, amely hozzáférést biztosít a hacker, odminsky bloghoz

Maga a fertőzési mechanizmus nem volt egyértelmű, de a sérülékenységeket a cPanel és a Plesk vezérlőpanelek alatt a kiszolgálónak vetették ki.

És csak a minap, Sucuri Security és ESET kutatócsapat módszertan végrehajtása backdoor Darkleech, kiderült, hogy a Linux szervereken futó cPanel cserét a httpd démont a feltört fájlt.

Ezért a legmegfelelőbb megoldás a "open_tty" keresési parancs a webkiszolgáló könyvtárban:
# grep -r open_tty / usr / local / apache /

ha ez a parancs a kiszolgáló bináris fájlokban a open_tty-t találja, akkor valószínűleg ez sérül, mivel a httpd eredeti verziója nem rendelkezik open_tty hívással. Ebben az esetben, ha megpróbálja helyettesíteni a kompromittált fájlt tiszta, akkor kap egy hozzáférési hiba, mert a fájlt hozzárendelt speciális attribútumokat, így törlés előtt meg kell távolítani:
# chattr -i / usr / local / apache / bin / httpd

Fertőzött bináris nem változtat semmit az oldalon, de ha egyszer egy nap minden IP megfelel átirányítani különböző területeken, ahol kérte a szkript fordul a böngésző átirányítja titkosított amazingtubesites.org.

Az Eset szakemberek több száz fertőzött webszerverről és potenciális veszélyekről beszélnek. Ezenkívül azonosítani rosszindulatú tevékenység rendkívül nehéz, mivel a backdoor nem hagy nyomot, átirányítás írja a naplókat, nem változtatja meg a fájl dátuma és vezérelhető egy speciálisan konfigurált HTTP GET kérést a webszerver.

Ezt követően a támadó már teljes hozzáférést kaphat a behatolt kiszolgálóhoz, és bármilyen műveletet végezhet vele.