Journal Linux/Cdorked.A : nouvelle backdoor Apache discrète.

Posté par . Licence CC by-sa
36
2
mai
2013

Une nouvelle backdoor Apache, nommée Linux/Cdorked.A a été détectée par ESET et Sucuri.
L’intérêt de cette backdoor est qu'elle est très évoluée et se dissimule très bien, rendant difficile sa découverte.
Seul le fichier binaire httpd (le démon Apache) est modifié, et toutes les informations du malware sont stockés en mémoire partagée. La configuration du malware et ses ordres sont envoyés par des requêtes HTTP GET obscurcies, mais surtout non-loguées par Apache.

Ce malware redirige les utilisateurs vers des sites malicieux utilisant le pack d'exploit Blackhole, pour infecter le client. Après redirection, un cookie est enregistré sur le poste, pour ne plus rediriger l'utilisateur lors des prochaines visites. Ce cookie est aussi installé si la page demandée par l'utilisateur ressemble à une page d'administration (si l'URL contient des mots comme admin, webmaster, support) pour ne pas rediriger un potentiel administrateur du site afin de ne pas l'alerter.

Actuellement une centaine de serveurs compromis ont été détectés.

Je serais moins alarmiste que les différents articles que j'ai pu lire, car aucune nouvelle technique n'aurait été utilisée pour l'infection, il faut donc que le serveur présente une vulnérabilité quelconque permettant à l'attaquant d'installer la backdoor (faille logicielle, mot de passe ssh faible,…), mais sa capacité de dissimulation, surtout sur l'utilisation de la mémoire partagée pour stocker son état et sa configuration la rend plutôt intéressante.

ESET recommande de vérifier tous ses serveurs, avec un outil mis à disposition sur leur site, ainsi que l'analyse technique.

Je rajouterais que des outils comme rkhunter ou tripwire permettent de vérifier si des fichiers ont été modifiés, ce qui permet de détecter rapidement le remplacement de httpd.

  • # Binaires signés

    Posté par (page perso) . Évalué à  4 .

    Ce type de malware relance l'intérêt d'avoir une chaîne de binaires entièrement signés, en particulier sur les serveurs. Les drms sont un problème quand ils sont utilisés pour limiter les possibilités de l'utilisateur contre son gré, mais ils seraient au contraire bien utiles pour limiter ce type d'attaques.

    • [^] # Re: Binaires signés

      Posté par . Évalué à  10 .

      Les drms sont un problème quand ils sont utilisés pour limiter les possibilités de l'utilisateur contre son gré

      Pourquoi appeler ça des DRM? Ce sont simplement des binaires signés.

    • [^] # Re: Binaires signés

      Posté par (page perso) . Évalué à  5 . Dernière modification : le 03/05/13 à 11:37

      Il y a des solutions moins contraignantes et qui sont déjà pas mal efficaces, par exemple : aide , debsums . Monter / en read-only est également redoutable.

      Mais globalement, il faut se dire que la sécurité ce n'est pas un produit mais un état d'esprit (je n'aime pas le mot « processus »).

      Pour debian, ce document est intéressant :
      http://www.debian.org/doc/manuals/securing-debian-howto/ch10.fr.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.