Mecanismul de infectare în sine nu a fost clar, dar vulnerabilitățile au fost expuse serverului sub panourile de control cPanel și Plesk.
Și doar de altă zi, și echipa de securitate Sucuri ESET a studiat metodologia de implementare backdoor Darkleech, a relevat faptul că pe servere Linux care rulează cPanel este o înlocuire a fișierului httpd daemon pe fișierul compromis.
Prin urmare, cea mai corectă modalitate de a afla este comanda de căutare "open_tty" din directorul serverului web:
# grep -r open_tty / usr / local / apache /
În cazul în care echipa își găsește open_tty în fișierele binare de server, cu atât mai probabil este compromisă, deoarece versiunea originală a httpd nu este apel open_tty. În acest caz, dacă încercați să înlocuiți fișierul skoprometirovanny curat, veți obține o eroare de acces, deoarece fișierul este atribuit spets.atributy, astfel încât acestea trebuie să fie îndepărtate înainte de eliminarea:
# chattr -ai / usr / local / apache / bin / httpd
binar Infected nu schimbă nimic pe site-ul, dar o dată pe zi pentru fiecare IP își îndeplinește redirecționează către alte domenii, în cazul în care solicitate de script-ul se transformă browser-ul redirecționează la un amazingtubesites.org criptat.
Experții Eset vorbesc despre sute de servere web infectate și despre mii de potențiale amenințări. Mai mult decât atât, pentru a identifica activitatea malitios este extrem de dificilă, deoarece ușa din spate nu lasă nici o urmă, să redirecționeze scrie jurnalele, nu se schimba data fișierului și controlat prin intermediul unui configurat special cerere HTTP GET către serverul web.
După aceasta, atacatorul poate obține deja acces complet la serverul compromis și poate efectua orice acțiune pe acesta.
Trimiteți-le prietenilor: