Manipulierte Apache-Binaries laden Schadcode

28.04.2013 16:57 Uhr Christian Kirsch

Sicherheitsunternehmen haben nach eigenen Angaben Hunderte von manipulierten Apache-Servern gefunden, die sich von Angreifern steuern lassen. Sie leiten Requests auf Malware- und Porno-Seiten um.

Mitarbeiter der Web-Sicherheitsfirma Sucuri [1] haben manipulierte Binaries des freien Webservers Apache entdeckt [2]. Sie laden ohne Zutun des Anwenders Schadcode oder andere Inhalte von Websites nach. Betroffen sind offenbar bislang nur Dateien, die mit dem Administrationswerkzeug cPanel [3] installiert wurden. Nach Informationen [4] von ESET sollen mehrere hundert Webserver befallen sein.

Der Linux/Cdorked.A getaufte Angriff ist schwer zu entdecken: Da cPanel den Webserver nicht mit den üblichen Paketsystemen wie RPM installiert, helfen deren Verifikationsmechanismen nicht weiter. Außerdem verändern die Angreifer das Dateidatum nicht, sodass ein einfacher Blick auf ein Verzeichnis-Listing keinen Hinweis gibt. Laut Sucuri soll die Suche nach der Zeichenkette open_tty einen sicheren Hinweis auf ein manipuliertes Binary geben: grep -r open_tty /usr/local/apache/ liefere bei intakten Apache-Binaries keine Ausgabe.

Details zu den Funktionen des manipulierten Apache haben die ESET-Forscher herausgefunden. Er nutzt demzufolge ein rund sechs Megabyte großes Shared-Memory-Segment, auf das alle Nutzer und Gruppen lesend und schreibend zugreifen dürfen. Darin hält der Schadcode seine Konfigurationsdaten. Die Steuerung des Servers erfolgt durch spezielle HTTP-Requests, die nicht im Server-Log erscheinen. Damit lässt sich eine Backdoor öffnen, in der die Angreifer Shell-Befehle absetzen können. Die HTTP-Verbindung scheint währenddessen zu hängen, was ein weiterer Hinweis auf einen befallenen Apache-Server ist. Neben der Backdoor haben die Angreifer einen Mechanismus zum heimlichen Laden von Inhalten eingebaut. Damit werde, so ESET, unter bestimmten Bedingungen Blackhole-Exploits [5] oder Pornoseiten nachgeladen. Das erfolgt jedoch höchstens einmal pro Tag und IP-Adresse.

Ein mit Linux/Cdorked.A infizierter Apache-Server lässt sich nicht ohne weiteres ersetzen, da das Immutable-Bit der Datei gesetzt ist. Es muss zunächst mit chattr -ai /usr/local/apache/bin/httpd entfernt werden, bevor man ihn durch einen intakten Webserver ersetzen kann.

Ein Vorgänger [6] des jetzigen Angriffs namens "Darkleech" nutzte manipulierte Apache-Module, um ebenfalls Blackhole-Exploits nachzuladen. Er soll mehrere tausend Webserver infiziert haben. Auf welchem Weg dies genau geschieht, ist bislang ebenso unklar wie bei Linux/Cdorked.A (ck [7])

URL dieses Artikels:
https://www.heise.de/-1851245

Links in diesem Artikel:
[1] http://sucuri.net/
[2] http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanel-based-servers.html
[3] http://cpanel.net/
[4] http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-serves-blackhole/
[5] http://de.wikipedia.org/wiki/Blackhole
[6] https://www.heise.de/news/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html
[7] mailto:ck@ix.de