恶意软件Darkleech大肆感染Apache服务器

  • A+
所属分类:lcx

日前,网络供应商思科发表博客表示,发现一款名为Darkleech的恶意软件利在网络大肆传播,在受害站点上嵌入iframe,目前已感染了大约2000台服务器,架设每台服务器十个站点的话,至少有20000个网站被感染,其中包括知名网站如《洛杉矶时报》。

Darkleech主要使用了Apache的模块注入iframe到受害站点中,模块名称如mod_spm_headers.so 或 mod_spm_mem.so,该模块主要功能如下:

1:过滤来自搜索引擎和安全公司的IP地址
2:过滤User-Agent是robot、自动化工具(如Curl, Indy Library等),以及一些IPHONE手机移动客户端等
3:过滤黑名单IP
4:最为复杂的一点,当确认该IP是自然流量之后,该模块会创建一个保持5分钟的session给该IP,然后请求一个js地址,如果用户在该页面浏览了js,那在接下来的7天里不会重复该动作。
5:嵌入恶意的iframe,见下。

该模块可能在每台服务器上名称不同,当用户访问目标站网站的时候会被连接到恶意的站点。如下代码:

以及

document.write('
');

所有的数字和style的名称都是随机生成,并且每天数次同步感染受害者的服务器,检查iframe是否存在。因为网站的其他源码没有变化,所以管理员及时发现被嵌入了iframe,但是很难检测到问题出在哪里。并且如果来自安全公司和托管公司的IP地址访问了被感染的网站,它不会在终端用户展示的网页中嵌入恶意链接

恶意软件Darkleech大肆感染Apache服务器

目前还不清楚攻击者利用了什么弱点入侵Apache机器,安全研究人员怀疑漏洞可能存在于用于管理网站的软件如Plesk和Cpanel中,也不排除密码破解和社会工程等攻击方法的可能性。

freebuf

文章来源于lcx.cc:恶意软件Darkleech大肆感染Apache服务器

相关推荐: Struts2 Tomcat 赋值造成的DoS及远程代码执行利用!

Struts2 Tomcat class.classLoader.resources.dirContext.docBase 赋值造成的DoS及远程代码执行利用! 0x00 背景 最近大家都在玩Struts2的class.classLoader.官方在S-20的…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: