На серверах с Cpanel выявлен бэкдор, интегрированный в исполняемый файл Apache httpd

27 апреля 2013 года

На Linux-серверах, использующих панель управления хостингом Cpanel, выявлен новый бэкдор, поражающий компоненты http-сервера Apache. В отличие от ранее встречающихся способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, новое вредоносное ПО отличается прямой интеграцией в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.

Вся связанная с бэкдором информация сохраняется в разделяемой памяти. Команды управления бэкдором передаются через специальные HTTP GET-запросы, которые обрабатываются вредоносной вставкой молча, без отображения каких-либо данных в логе (при использовании вредоносного apache-модуля активность злоумышленников отслеживалась по логу). В рамках подобного HTTP GET-запроса передаётся IP и номер порта, по которому бэкдор осуществляет ответное соединение. Таким образом информация, связанная с работой бэкдора, не оседает в логах на сервере, а поражённый хост продолжает выглядеть как обычный web-сервер.

Цели внедрения нового вредоносного ПО схожи с целями ранее выявленных атак, манипулирующих руткитом для ядра Linux или троянским модулем для Apache, используемых для незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Способ работы нового бэкдора отличается тем, что вместо добавления вредоносных JavaScript или iframe-блоков в процессе передачи контента клиенту, используется другая схема: в определённые случайные моменты времени (примерно раз в день для каждого IP) вместо отдачи запрошенной страницы осуществляется редирект на внешний сайт с кодом эксплуатации известных уязвимостей в web-браузерах и плагинах к ним. Вредоносный редирект выполняется для каждого клиента только один раз (дубликаты исключаются через установку cookie) и не выполняется для запросов, которые могут исходить от владельцев сайтов и администраторов системы.

В качестве аргумента при редиректе указывается изначально запрошенный URL, который используется для возвращения пользователя на запрошенную страницу после активации кода эксплуатации уязвимости в браузере. В дальнейшем, при успешной эксплуатации уязвимости на стороне клиента на его систему устанавливается вредоносное ПО, используемое для перехвата конфиденциальных данных или для участия в ботнете, который может привлекаться для осуществления DDoS-атак или рассылки спама.

Интересно, что при редиректе фигурируют поддомены легитимных доменов (например, dcb84fc82e1f7b01.alarm-gsm.be). При этом имена меняются достаточно интенсивно: всего было зафиксировано около 30 тысяч вариантов доменов для проброса на вредоносный код. Пока непонятно, каким образом злоумышленники создают подобные поддомены - большинство из DNS-записей фигурирующих в них хостов связаны с DNS-сервисом dothost.co.kr, не исключается компрометация аккаунтов клиентов данной системы или взлом инфраструктуры данного сервиса.

Также не ясно каким способом атакующие получили root-доступ для размещения бэкдора. В качестве предположения упоминается проведение атаки по подбору типовых паролей доступа к SSH. Бэкдором поражаются только системы с Apache, установленным вместе с Cpanel. Так как компоненты установленного таким образом apache не охватываются пакетными менеджерами дистрибутивов, остаются только обходные способы выявления фактов модификации файла httpd. В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.