Hrozbou je backdoor, to znamená škodlivý kód, který dokáže obejít určité mechanismy, a tím poskytuje útočníkovi přístup k operačnímu systému napadených serverů. Tento vyspělý backdoor využívají útočníci k přesměrování internetového uživatele na škodlivé stránky infikované Blackhole exploit sadou. „Jde o známou a rozšířenou sadu, která k infikování systému uživatele během jeho návštevy postižené webové stránky používá známé ale i nové exploity, které jsou součástí Blackholu,“ vysvětluje Righard Zwienenberg, výzkumník společnosti Eset. Exploit je program zneužívající programátorskou chybu.
Výzkumníci tento backdoor pojmenovali Linux/Cdorked.A. Jedná se o nejdůmyslnější Apache backdoor, s jakým se dosud setkali. Do dnešního dne identifikovali zásluhou technologie Eset LiveGrid stovky kompromitovaných webových serverů. „Kromě modifikovaného „httpd“ souboru (Apache webserveru) po sobě Linux/Cdorked.A na hard-disku nezanechává žádné stopy. Všechny informace související s backdoorem jsou uloženy ve sdílené paměti serveru, kvůli čemuž je jeho detekce a analýza mnohem komplikovanější,“ říká Pierre-Marc Bureau, výzkumník společnosti Eset.
Tato hrozba je zajímavá tím, že nekontaktuje svůj vzdálený řídící server aktivně, ale akceptuje příkazy z jakéhokoli serveru. Tyto příkazy přicházejí formou standardního HTTP protokolu, i když o nich tento server nevede žádný záznam.
Další zajímavostí je fakt, že backdoor uživatelům prezentuje škodlivý kód jen zřídka. Každému návštevníkovi se snaží škodlivý obsah zobrazit jen jednou, čímž snižuje možnost svého odhalení. Taktéž se snaží nezobrazovat podvržený obsah na stránkách, které souvisejí s administrací příslušného webového serveru (například, když si webmaster prohlíží stránky s nastaveními systému).
Eset doporučuje systémovým administrátorům, aby zkontrolovali své servery a ověřili si, zda nejsou touto hrozbou postiženy. Při této příležitosti vytvořila společnost bezplatný nástroj, který administrátorům pomůže při detekci této hrozby (dump_cdorked_config.py). Celá technická analýza je k dispozici na blogu spoločnosti Eset s názvem welivesecurity.com.
Další informace o Linux/Cdorked.A najdete na blogu společnosti Sucuri.