La backdoor di Apache infetta altri web server

La minaccia che inizialmente si credeva diretta ai server Apache ha in realtà una superficie di impatto molto maggiore: infetti risultano anche gli altri web server FOSS, mentre il bizzarro comportamento del malware è ancora sotto analisi

Roma – Sembrava un pericolo circoscritto ai solo web server Apache , e invece il comportamento del malware Linux/Cdorked.A appare via via sempre più complesso. A cominciare dai software per server compromessi, visto che ora risultano infetti anche quei siti che girano su nginx e Lighttpd.

Quella che i ricercatori di sicurezza hanno descritto come la “più sofisticata backdoor per Apache mai vista” è dunque ancora più complessa di quanto si credeva all’inizio: cade l’ipotesi vulnerabilità in cPanel – il software di backend grafico implementato in molti server Apache delle società di hosting condiviso – e gli esperti identificano ora 400 diversi webserver compromessi con 50 dei quali presenti nella lista dei siti più visitati al mondo.

Linux/Cdorked.A è progettato per non lasciare alcuna traccia di sé sul server, a parte un demone httpd modificato e i dati di configurazione nella memoria condivisa del sistema. L’obiettivo del malware è redirigere i visitatori del sito ospitato sul server compromesso verso URL malevoli, su cui è attivo il famigerato exploit kit Blackhole.

Anche in quest’ultimo caso, però, il procedere dell’analisi della minaccia porta alla scoperta di comportamenti bizzarri e complessi : Cdorked.A usa server DNS compromessi per risolvere gli indirizzi IP dei siti rediretti, agisce secondo whitelist e blacklist per tali redirezioni, prende di mira i sistemi Windows da XP a 7 con browser Firefox e Internet Explorer e su iOS gli utenti vengono rediretti su siti pornografici.

Continua infine a rappresentare un mistero il metodo di propagazione di Cdorked.A: cPanel è stato scagionato dopo l’individuazione di software per server compromessi diversi da Apache, e la backdoor non sembra essere dotata di meccanismi di infezione/propagazione autonomi come ogni virus che si rispetti.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • vito saccinto scrive:
    certo certo
    questi hanno rubati 45 milioni di dollari in tutto il mondo peccato che i dollari si usano solo in america, e solo tutto un comploto per mettere il bavaglio alla rete
  • van derkul scrive:
    Ottima apertura
    "Al posto di passamontagna e armi da fuoco, le nuove organizzazioni del cybercrimine preferiscono sfruttare laptop e connessioni Internet."Ottima apertura da 19esimo secolo...
    • stroll scrive:
      Re: Ottima apertura

      "Al posto di passamontagna e armi da fuoco, le
      nuove organizzazioni del cybercrimine
      preferiscono sfruttare laptop e connessioni
      Internet."

      Ottima apertura da 19esimo secolo...copiata paro paro dal times :)
  • che nausea scrive:
    mitici
    c.d.o.
Chiudi i commenti