Apache-modul omskriver websider

Artiklen blev oprindeligt publiceret den 12/9/2012

Et skadeligt modul til webserverprogrammet Apache tilføjer links til farlige programmer på websider. Det vides ikke, hvordan programmet er kommet ind på de inficerede servere.

Sikkerhedsforsker Denis Sinegubko har opdaget programmet. Det tilføjer Iframe-kommandoer til websider på den server, det kører på. Iframe-kommandoerne henter skadelige programmer ind på siden.

Programmet indføjer kun de skadelige kommandoer på nogle sider. Men det sker på alle domæner på den berørte server.

Programmet er et udvidelsesmodul til Apache. Denis Sinegubko har set det optræde under navnene mod_spm_headers.so og mod_spm_mem.so, men det kan også have andre navne.

Denis Sinegubko har ikke kunnet regne ud, hvordan Apache-servere bliver inficeret med programmet. Han har ikke fundet tegn på, at det spredes via en sårbarhed i et kontrolpanel – det er ellers en udbredt metode.

Det kræver administratorrettigheder (root) at installere moduler på Apache. På en af de inficerede servere var der kun oprettet én bruger. Den brugte stærke passwords og tillod ikke root-login via nettet. Alligevel blev den hacket inden for en måned.

Anbefaling
Administratorer af Apache 2-servere bør tjekke, om der kører skadelige moduler på deres server. Denis Sinegubko anbefaler at søge efter teksten "module switcher" i kildekoden.

Links

• Malicious Apache Module Injects Iframes, blogindlæg af Denis Sinegubko