Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 3/4/2013
Et angreb kan have ramt tusindvis af webservere. De inficerede servere spreder skadelige programmer til dem, der besøger dem.Angrebsprogrammet kaldes Darkleech. Det ser ud til primært at ramme Apache-baserede websteder på servere med Linux.
Når en server er inficeret, ændrer programmet på de websider, den viser. Det indsætter Iframe-links til websteder, som anvender Blackhole-angrebsprogrammet til at inficere browsere via en række sårbarheder.
Det er svært at afgøre, hvor mange servere er ramt, fordi de inficerede sider ikke vises til alle besøgende browsere.
Darkleech installerer en SSH-baseret bagdør, som bagmændene bruger til at fjernstyre de inficerede servere med. Sikkerhedsforsker Mary Landesman fra Cisco skriver, at det er med til at gøre det svært at rydde op efter angrebet, fordi angriberne har adgang via SSH og kan have stjålet passwords.
Elementer af angrebet har været kendt siden august 2012.
Links
- Apache Darkleech Compromises, blogindlæg af Mary Landesman
- Exclusive: Ongoing malware attack targeting Apache hijacks 20,000 sites, artikel fra Ars Technica
- The Evil Came Back: Darkleech's Apache Malware Module: Recent Infection, Reversing, Prevention & Source Details, blogindlæg fra Malware Must Die