Eine neue Backdoor für Apache-Server, die von einem Administrator nur sehr schwer entdeckt werden kann, wurde Linux/Cdorked.A benannt. Die beiden Sicherheitsfirmen Eset und Sucuri haben schon einen Teil der Schadsoftware analysiert.
Cdorked greift Hostingsysteme mit dem Internetserver Apache an, die mit der Software cPanel konfiguriert werden.
Golem hat weitere Informationen dazu: “Die Analyse wird dabei durch verschiedene Mechanismen erschwert. Eset gibt etwa an, dass normale Apache-Logs keine Hinweise geben, dass das eigene System übernommen wurde. Auch Spuren auf dem Dateisystem hinterlässt die Schadsoftware kaum. Stattdessen wird vor allem ein 6 Mbyte großer Teil des Arbeitsspeichers für die laufende Konfiguration verwendet. Befehle bekommt die Schadsoftware über verschleierte HTTP-Requests.”
Administratoren von solchen Serverm sollten jetzt ihre Apache-Server auf Befall mit Linux/Cdorked.A überprüfen…
