Des centaines de serveurs Apache compromis par un backdoor

Le backdoor Linux/Cdorked.A aurait déjà réussi à contaminer de nombreux serveurs Apache selon plusieurs spécialistes de la sécurité. Les premières analyses montrent que le backdoor attaque le serveur à l'aide d'une requête HTTP masquée qui n'est pas enregistrée dans les logs du serveur Web. Le backdoor n'écrit aucun fichier sur le disque mais réussit à se faire allouer 6Mo de mémoire partagée dans laquelle il continue à s'éxécuter. L'attaquant peut alors activer le backdoor en envoyant des requêtes HTTP spécifiques qui permettent d'ouvrir une connexion depuis le serveur vers le poste de l'attaquant pour lui donner accès au shell.

Le backdoor vise à infecter les visiteurs du site Web hébergé par le serveur Apache. Il modifie les requêtes afin d'y ajouter une redirection vers un site infecté et utilise un cookie pour ne pas pirater deux fois le même utilisateur. Quelque 23 commandes sont à la disposition du créateur de Linux/Cdorked.A pour modifier des réglages sur la machine infectée. Un script python permet de détecter la présence du backdoor sur un serveur.

 

[Source : Journal du net]


Sur le(s) même thème(s) :