zurück zum Artikel

Webserver-Rootkit befÀllt auch lighttpd und nginx

Ronald Eikenberg

Die Virenforscher von Eset haben Linux/Cdorked.A auf weiteren Servertypen entdeckt. Der SchĂ€dling leitet Webseitenbesucher auf gefĂ€hrliche Seiten um, die versuchen, das System durch SicherheitslĂŒcken mit Schadcode zu infizieren.

Das Webserver-Rootkit Linux/Cdorked.A (wir berichteten [1]) hat es nicht nur auf Apache-Server abgesehen, sondern auch auf lighttpd und nginx. Das hat der Antivirenspezialist Eset in seinem Blog nachgereicht [2]. Cdorked verwandelt Webserver in Virenschleudern, die ihre Besucher auf Angriffsseiten von Exploit Kits wie Black Hole umleiten.

Die Virenexperten wollen das Rootkit inzwischen auf ĂŒber 400 Servern entdeckt haben, die bislang fast 100.000 Nutzer von Eset-Schutzprogrammen angegriffen haben. Dies hat das Unternehmen anhand seiner Telemetriedaten abgelesen. Ein mit Cdorked infizierter Server greift bei weitem nicht jeden Webseitenbesucher an: Die Experten fanden auf den gehackten Server eine Blacklist, die rund 50 Prozent aller IPv4-Adressen von der Umleitung ausschließt. Außerdem wird man verschont, wenn als Browser-Sprache Finnisch, Japanisch, Kasachisch, Russisch, Ukrainisch oder Weißrussisch eingestellt ist.

Eine Sonderbehandlung bekommt auch, wer mit einem Apple-iOS-GerÀt surft: In diesem Fall wird man auf eine Seite mit Pornoreklame umgeleitet. So versuchen die Kriminellen auch Besuche von iOS-Nutzern zu monetarisieren, denen man mit einem gÀngigen Exploit Kit nichts anhaben kann.

Die Konfigurationsdatei wird in einem sogenannten Shared Memory Segment im Arbeitsspeicher abgelegt. Eset hat ein Tool veröffentlicht [3], mit dem man die Datei auslesen kann, wenn der Server infiziert ist. UngeklĂ€rt ist nach wie vor die Frage, wie Cdorked ĂŒberhaupt auf die Server kommt. Die Virenforscher vermuten, dass es keinen einheitlichen Infektionsweg gibt und die Server individuell angegriffen werden. (rei [4])

URL dieses Artikels:
https://www.heise.de/-1859414

Links in diesem Artikel:
[1] https://www.heise.de/news/Manipulierte-Apache-Binaries-laden-Schadcode-1851245.html
[2] http://www.welivesecurity.com/2013/05/07/linuxcdorked-malware-lighttpd-and-nginx-web-servers-also-affected/
[3] http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c
[4] mailto:rei@heise.de

Copyright © 2013 Heise Medien