Webserver-Rootkit befällt auch lighttpd und nginx

Das Webserver-Rootkit Linux/Cdorked.A (wir berichteten) hat es nicht nur auf Apache-Server abgesehen, sondern auch auf lighttpd und nginx. Das hat der Antivirenspezialist Eset in seinem Blog nachgereicht. Cdorked verwandelt Webserver in Virenschleudern, die ihre Besucher auf Angriffsseiten von Exploit Kits wie Black Hole umleiten.

Die Virenexperten wollen das Rootkit inzwischen auf über 400 Servern entdeckt haben, die bislang fast 100.000 Nutzer von Eset-Schutzprogrammen angegriffen haben. Dies hat das Unternehmen anhand seiner Telemetriedaten abgelesen. Ein mit Cdorked infizierter Server greift bei weitem nicht jeden Webseitenbesucher an: Die Experten fanden auf den gehackten Server eine Blacklist, die rund 50 Prozent aller IPv4-Adressen von der Umleitung ausschließt. Außerdem wird man verschont, wenn als Browser-Sprache Finnisch, Japanisch, Kasachisch, Russisch, Ukrainisch oder Weißrussisch eingestellt ist.

Eine Sonderbehandlung bekommt auch, wer mit einem Apple-iOS-Gerät surft: In diesem Fall wird man auf eine Seite mit Pornoreklame umgeleitet. So versuchen die Kriminellen auch Besuche von iOS-Nutzern zu monetarisieren, denen man mit einem gängigen Exploit Kit nichts anhaben kann.

Die Konfigurationsdatei wird in einem sogenannten Shared Memory Segment im Arbeitsspeicher abgelegt. Eset hat ein Tool veröffentlicht, mit dem man die Datei auslesen kann, wenn der Server infiziert ist. Ungeklärt ist nach wie vor die Frage, wie Cdorked überhaupt auf die Server kommt. Die Virenforscher vermuten, dass es keinen einheitlichen Infektionsweg gibt und die Server individuell angegriffen werden. (rei)