恶意软件Darkleech大肆感染Apache服务器

日前，网络供应商思科发表博客表示，发现一款名为Darkleech的恶意软件利在网络大肆传播，在受害站点上嵌入iframe，目前已感染了大约2000台服务器，架设每台服务器十个站点的话，至少有20000个网站被感染，其中包括知名网站如《洛杉矶时报》。

Darkleech主要使用了Apache的模块注入iframe到受害站点中，模块名称如mod_spm_headers.so 或 mod_spm_mem.so，该模块主要功能如下：

1：过滤来自搜索引擎和安全公司的IP地址
2：过滤User-Agent是robot、自动化工具（如Curl, Indy Library等），以及一些IPHONE手机移动客户端等
3：过滤黑名单IP
4：最为复杂的一点，当确认该IP是自然流量之后，该模块会创建一个保持5分钟的session给该IP，然后请求一个js地址，如果用户在该页面浏览了js，那在接下来的7天里不会重复该动作。
5：嵌入恶意的iframe，见下。

该模块可能在每台服务器上名称不同，当用户访问目标站网站的时候会被连接到恶意的站点。如下代码：

以及

document.write('


');

所有的数字和style的名称都是随机生成，并且每天数次同步感染受害者的服务器，检查iframe是否存在。因为网站的其他源码没有变化，所以管理员及时发现被嵌入了iframe，但是很难检测到问题出在哪里。并且如果来自安全公司和托管公司的IP地址访问了被感染的网站，它不会在终端用户展示的网页中嵌入恶意链接。

目前还不清楚攻击者利用了什么弱点入侵Apache机器，安全研究人员怀疑漏洞可能存在于用于管理网站的软件如Plesk和Cpanel中，也不排除密码破解和社会工程等攻击方法的可能性。

freebuf

文章来源于lcx.cc:恶意软件Darkleech大肆感染Apache服务器

相关推荐: Struts2 Tomcat 赋值造成的DoS及远程代码执行利用！

Struts2 Tomcat class.classLoader.resources.dirContext.docBase 赋值造成的DoS及远程代码执行利用! 0x00 背景 最近大家都在玩Struts2的class.classLoader.官方在S-20的…