Manipulierte Apache-Binaries laden Schadcode
Sicherheitsunternehmen haben nach eigenen Angaben Hunderte von manipulierten Apache-Servern gefunden, die sich von Angreifern steuern lassen. Sie leiten Requests auf Malware- und Porno-Seiten um.
- Christian Kirsch
Mitarbeiter der Web-Sicherheitsfirma Sucuri haben manipulierte Binaries des freien Webservers Apache entdeckt. Sie laden ohne Zutun des Anwenders Schadcode oder andere Inhalte von Websites nach. Betroffen sind offenbar bislang nur Dateien, die mit dem Administrationswerkzeug cPanel installiert wurden. Nach Informationen von ESET sollen mehrere hundert Webserver befallen sein.
Der Linux/Cdorked.A getaufte Angriff ist schwer zu entdecken: Da cPanel den Webserver nicht mit den üblichen Paketsystemen wie RPM installiert, helfen deren Verifikationsmechanismen nicht weiter. Außerdem verändern die Angreifer das Dateidatum nicht, sodass ein einfacher Blick auf ein Verzeichnis-Listing keinen Hinweis gibt. Laut Sucuri soll die Suche nach der Zeichenkette open_tty einen sicheren Hinweis auf ein manipuliertes Binary geben: grep -r open_tty /usr/local/apache/ liefere bei intakten Apache-Binaries keine Ausgabe.
Details zu den Funktionen des manipulierten Apache haben die ESET-Forscher herausgefunden. Er nutzt demzufolge ein rund sechs Megabyte großes Shared-Memory-Segment, auf das alle Nutzer und Gruppen lesend und schreibend zugreifen dürfen. Darin hält der Schadcode seine Konfigurationsdaten. Die Steuerung des Servers erfolgt durch spezielle HTTP-Requests, die nicht im Server-Log erscheinen. Damit lässt sich eine Backdoor öffnen, in der die Angreifer Shell-Befehle absetzen können. Die HTTP-Verbindung scheint währenddessen zu hängen, was ein weiterer Hinweis auf einen befallenen Apache-Server ist. Neben der Backdoor haben die Angreifer einen Mechanismus zum heimlichen Laden von Inhalten eingebaut. Damit werde, so ESET, unter bestimmten Bedingungen Blackhole-Exploits oder Pornoseiten nachgeladen. Das erfolgt jedoch höchstens einmal pro Tag und IP-Adresse.
Ein mit Linux/Cdorked.A infizierter Apache-Server lässt sich nicht ohne weiteres ersetzen, da das Immutable-Bit der Datei gesetzt ist. Es muss zunächst mit chattr -ai /usr/local/apache/bin/httpd entfernt werden, bevor man ihn durch einen intakten Webserver ersetzen kann.
Ein Vorgänger des jetzigen Angriffs namens "Darkleech" nutzte manipulierte Apache-Module, um ebenfalls Blackhole-Exploits nachzuladen. Er soll mehrere tausend Webserver infiziert haben. Auf welchem Weg dies genau geschieht, ist bislang ebenso unklar wie bei Linux/Cdorked.A (ck)
