Angreifer haben in Apache-Installationen eine ausgefeilte Backdoor installiert, die schwer aufzuspüren ist.
Wie Security-Experten von Sucuri und ESET herausgefunden haben, gibt es einer Reihe von Apache-Installationen eine ausgeklügelte Backdoor. Betroffen sind Apache-Server, die mit der Software Cpanel installiert wurde, die bei manchen Internet-Providern zum Einsatz kommt. Die Backdoor mit dem Namen "Linux/Cdorked.A" hinterlässt keinen eigenen Code auf der Festplatte und ist deshalb relativ schwer aufzuspüren. Lediglich das Apache-Binary selbst wurde bei dem Angriff verändert.
Laut ihrem Blog-Eintrag konnten die ESET-Mitarbeiter schon einige hundert betroffene Server ausfindig machen. Ihre Analyse der Schadsoftware ergibt, dass die Angreifer verdächtige Strings in der Backdoor mit einer XOR-Verknüpfung verschleiert haben. Geöffnet wird die Backdoor durch einen speziellen HTTP-GET-Request, der so modifiziert wurde, dass er normalerweise nicht in den Apache Logs auftaucht.
In dem Blog-Eintrag ist ein Link zu einem Tool namens "dump_cdorked_config" zu finden, das das Shared-Memory-Segment überprüft, in dem die Backdoor ihre Daten speichert. Wie das Sucuri-Blog berichtet, ist das Apache-Binary zudem mit dem Immutable-Flag versehen, was das Überspielen durch die Originalversion unmöglich macht. Der Administrator muss also vorher mit "chattr -ai" das Flag löschen.
Die auf PHP basierende Groupware-Suite Horde enthält in einigen Version eine Backdoor, die auf dem FTP-Server des Projekts eingeschleust wurde.