2008-01-26

神祕的騷擾攻擊 Linux/Apache 網站

Mystery infestation strikes Linux/Apache Web sites
http://www.linux.com/feature/125548

根據這篇報導,本月一家安全研究公司 Finjan 指出一個受到危害的網站每天能以惡意軟體感染數千位訪問者。這種惡意軟體能在不知情的狀態下,將 Windows 使用者的機器變成 bot,並受到一個尚未確認的犯罪組織所操控。資安公司 ScanSafe 與 SecureWorks 也有類似報導,不過受影響數量稍微有點不同。所有的報導都指出受到危害的伺服器都是運行 Linux 與 Apache。

報導中指出這種攻擊涉及一種安裝在受危害伺服器上的 rootkit,那以受感染版本替換掉數種系統執行檔。當系統開機後,受感染的執行檔就會被執行,結果動態創造出來的 JavaScript payloads 就會隨機地、間歇性地感染訪客。而這些 JavaScript 會試圖利用 Windows, QuickTime, 與 Yahoo! Messenger 當中的漏洞來感染訪客電腦。

這篇報導詢問 Apache Software Foundation 是否有任何處置方式,不過 Apache 那邊的人表示依目前所得到的資訊來看,應當是攻擊者取得 root 的權限才能如此囂張,與 Apache HTTP Server 無關。而這篇報導接著又詢問 Red Hat,而它們的安全小組則回應,到目前為止他們尚未接觸任何受到感染的伺服器,因此無法給出建議。

cPanel,一種主機代管業者所使用的熱門管理工具,可讓其客戶管理他們的網站,則張貼了一篇 security note (http://www.linux.com/feature/125548)描述這種 rootkit 在安裝之後會發生什麼事,並建議二種方法來檢查伺服器上是否有此 rootkit 存在。

根據 cPanel 表示,如果你無法建立一個以數字開始的目錄,例如 mkdir 1,那麼你就被感染了。另一個測試方法是利用下面的指令偵測來自於伺服器的封包:
tcpdump -nAs 2048 src port 80 grep "[a-zA-Z]\{5\}\.js'"
最大的未知在於「伺服器到底是如何受到感染的」。由於沒有任何這種非法入侵的見識證據存在,目前想到的是惡意軟體的作者利用偷來的 root 密碼來存取伺服器。最早受到感染的網站,根據 ComputerWorld 報導中研究者的引述,是由大型主機代管公司所運作的網站,當攻擊者取得 root 權限後成千上百個受到代管的網站也會一並受到危害。在情況不明的現在,只能小心保護你的 root 密碼,如果利用前述方法偵測到 rootkit 存在,請記得全部重灌,並設定一個難以破解的 root 密碼吧。

※ 以上文章節譯,詳見原站。

『隱私國際』公佈 2007 年報告
從刷卡安全有漏洞 到肺結核個資外洩
駭客使用各大網站橫幅廣告綁架你的電腦
駭客攻入美國國家實驗室
首例「偷渡式網址轉接」攻擊在墨西哥確認
鬼鬼祟祟的 MBR rootkit

沒有留言: