Linux/Chapro.A: модуль к веб-серверу Apache для инъекций кода в HTML

image

Месяц назад сообщалось об обнаружении необычного 64-битного руткита под Linux, который устанавливается на сервер и внедряет iframe с вредоносными ссылками в HTTP-трафик для пользователей. В том случае была заражена система Debian Squeeze и веб-сервер Nginx 1.2.3. Антивирусные компании с тех пор весьма детально разобрали по косточкам тот руткит, которому присвоено название Snakso (Rootkit.Linux.Snakso.a.).

Новая находка под названием Linux/Chapro.A, на первый взгляд, очень похожа на Snakso. Она тоже внедряет вредоносные фреймы в HTML-страницы, направляя пользователей на сайты с эксплойт-паком Sweet Orange, где их заражают банковскими троянами типа Win32/Zbot (Zeus). Но проведённый анализ показал, что это совершенно другая программа.

Linux/Chapro.A — модуль для веб-сервера Apache на 64-битной системе Linux. Программа использует несколько методов, чтобы избежать обнаружения администратором сервера. Перед внедрением вредоносного контента она осуществляет ряд проверок, избирательно фильтруя жертв по user-agent. Если там встречается одно из «запрещённых» слов, то такому пользователю вредоносный фрейм не отгружается. Как видно на скриншоте, зловред игнорирует пользователей Chrome, поисковые боты, пользователей Linux, Mac OS.

Bookmark and Share

Дополнительно, Chapro проверяет IP-адреса во всех SSH-соединениях, и эти IP-адреса тоже заносит в чёрный список. Кроме того, осуществляется проверка cookie, поставленного в прошлый раз каждому пользователю. Второй раз ему фрейм не передаётся, также как фрейм не передаётся на один и тот же IP-адрес дважды.

Наконец, когда Chapro всё-таки решает передать iframe посетителю, то внедряет в HTML-страницу примерно такой код:

Linux/Chapro.A: модуль к веб-серверу Apache для инъекций кода в HTML

Каждые 10 минут модуль опрашивает командный сервер с помощью HTTP POST запросов, и получает свежую копию вредоносного фрейма.

Linux/Chapro.A: модуль к веб-серверу Apache для инъекций кода в HTML

Подробнее: http://www.xakep.ru/post/59841/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Linux/Chapro.A: модуль к веб-серверу Apache для инъекций кода в HTML | | 2012-12-19 17:59:00 | | Статьи об Интернет безопасности | | Месяц назад сообщалось об обнаружении необычного 64-битного руткита под Linux, который устанавливается на сервер и внедряет iframe с вредоносными ссылками в HTTP-трафик для пользователей. В том | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: