Backdoor per Apache

Porta / DoorSucuri ha analizzato una variante di malware battezzata Linux/Cdorked.A che colpisce Apache nei server gestiti tramite cPanel.

In questo caso si tratta di una backdoor attivata tramite la sostituzione del file /usr/local/apache/bin/httpd (il programma vero e proprio di Apache) con uno infetto. Per rendere più difficile la rimozione del file compromesso, httpd viene marcato come immutabile.

Ovviamente il file compromesso ha la stessa data e ora di creazione di quello originale, rendendo impossibile utilizzare questo semplice metodo per rilevare la versione compromessa. A parte l’uso di lsattr per verificare se /usr/local/apache/bin/httpd è immutabile, si può dare il comando

grep -r open_tty /usr/local/apache/

Se l’esito è positivo, il sistema è compromesso perché i programmi originali di Apache non contengono chiamate a open_tty.

La versione infetta di Apache ha un comportamento molto subdolo, che rende difficile per un amministratore riconosce di essere stato infettato: solamente una volta al giorno per ogni indirizzo IP del client Apache serve assieme alla pagina una ridirezione HTTP 302 verso un sito che tenta di iniettare del malware nel client per tornare poi alla pagina originale. L’URL verso cui viene ridiretto la vittima cambia di volta in volta: ESET ne ha individuati oltre 30.000

Oltre a fare questi simpatici scherzetti ai client, la versione compromessa di httpd crea una backdoor per l’accesso al sistema.

Linux/Cdorked.A dimostra, se qualcuno non l’avesse ancora capito, che non esistono piattaforme immuni dal malware. Anche fare una questione di numeri lascia molto il tempo che trova perché un server compromesso con cPanel a bordo interessa decine (se non centinaia) di web host differenti, ciascuno con centinaia (se non migliaia) utenti. Il tutto con una singola infezione. Se numericamente i malware per Linux sono minori, questi fattori moltiplicativi rendono assai pericolosi ed estesi i loro effetti.

Va anche sottolineato che è stato individuata cPanel come vittima, una scelta strategicamente molto efficace. Questo pannello di controllo è pensato per utenti (e anche gestori di server…) che non hanno una conoscenza approfondita di Linux. (via ISC)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento