In ultimele cateva luni, au fost descoperite module Apache malware (Darkleech) folosite pentru a injecta cod malware in site-urile care folosesc Apache. Cu toate acestea, in ultimul timp a fost observata o schimbare a modului de operare a a atacatorilor. Pe serverele cPanel de hosting, in loc sa adauge module sau sa modifice configuratia Apache, atacatorii au inceput sa inlocuiasca fisierul binar Apache (httpd) cu unul malware. Acest nou backdoor este foarte sofisticat si a fost nevoie de doua companii de securitate (Sucuri si ESET) pentru a putea crea acest raport cu privire la noul mod de operare.
Cum detectati backdoor-ul
Daca in mod normal este recomandata utilizarea instrumentelor cum ar fi “rpm -Va” sau “rpm -qf” sau “dpkg -S” pentru a vedea daca modulele Apache au fost modificate, totusi, aceste tehnici nu vor functiona si impotriva acestui backdoor, deoarece cPanel instaleaza Apache in /usr/local/apache si nu utilizeaza administratori de pachete, astfel ca nu exista o comanda unica si simpla pentru a detecta daca fisierul binar Apache a fost modificat.
De asemenea, se mentine acelasi timestamp al fisierului binar, astfel incat nu ne putem da seama daca a fost modificat, deoarece data fisierului ramane nemodificata. O modalitate buna de a verifica daca fisierul binar a fost modificat este prin cautarea “open_tty” in directorul httpd:
# grep -r open_tty /usr/local/apache/
In cazul in care se gaseste open_tty in fisierul binar Apache, inseamna ca cel mai probabil acesta este compromis, deoarece by default, acesta nu contine open_tty. O alta chestiune interesanta este ca, daca incercati sa inlocuiti fisierul binar compromis cu un unul bun, nu veti putea face acest lucru, deoarece fisierul are atributul immutable (nu poate fi sters sau mutat). Prin urmare, va trebui sa rulati comanda chattr -ai inainte de a-l inlocui:
# chattr -ai /usr/local/apache/bin/httpd
Daca atacatorii reusesc sa obtina intr-un final acces root la server, acestia pot face orice doresc. De la modificarea configuratiilor pana la injectarea de module si inlocuirea fisierelor binare. Cu toate acestea, tactica lor se schimba pentru a ingreuna si mai mult sarcina adminilor de a le detecta prezenta si de a repara daunele.
Deocamdata, nu exita suficiente informatii care sa indice modul in care aceste servere sunt initial compromise, dar cea mai probabila varianta este cea a atacurilor brute force asupra daemonului SSHD, utilizat mai ales pentru VPS hosting si servere dedicate.
Sursa: http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cpanel-based-servers.html