Apache Web服务器恶意软件后门被黑客打开

依据安全公司ESET和Sucuri的研究员介绍，近来呈现了一个对于Apache Web服务器的新要挟，Apache Web服务器是世界上运用最广泛的Web服务器。这个要挟是一个十分高档且隐秘的后门，它能够将流量重定向到有Blackhole进犯包的歹意网站。研究员将这个后门命名为Linux/Cdorked.A，并且称之为当前最杂乱的Apache后门。

ESET安全情报项目经理Pierre-Marc Bureau说：“除了修正Apache后台程序(或效劳)httpd文件，Linux/Cdorked.A后门并不会在硬盘中留下痕迹。一切与这个后门关联的信息都存储在服务器的同享内存中，因而很难检测和剖析。”此外，Linux/Cdorked.A还有其他办法能够躲避检测，包括受进犯的Web服务器和拜访服务器的Web浏览器。

ESET高档研究员Righard Zwienenberg说：“进犯者运用HTTP恳求发送后门的装备，这种办法很有欺骗性，并且不会被Apache记载，因而也降低了被惯例监控东西检测的能够。它的装备存储在内存中，这意味着后门的指令与操控信息都不为人知，因而增加了检测剖析的难度。”

Blackhole进犯包是一个使用零日进犯及已知缝隙的盛行进犯东西，当用户拜访感染Blackhole病毒的网站时，病毒就会操控用户体系。当有人拜访受感染的Web服务器时，他们不只会被重定向到一个歹意网站，并且他们的浏览器也会有一个 Web Cookie，这样后门就不需求给他们发第2次。

Web Cookie不会在管理员页面上。后门会查看拜访者的来路(Referrer)域，若是他们重定向的网站URL包括特定的关键词，如“admin”或“cpanel”，那么就不刺进歹意内容。

ESET现已让体系管理员查看他们的服务器，承认他们没有遭到这个要挟的进犯。ESET的WeLiveSecurity.com网站上有一篇 Linux/Cdorked博客文章，其中有一个免费东西、具体介绍了怎么查看后门和Linux/Cdorked.A的全部技能剖析。

标签：互联网  服务器