根據安全公司eset和sucuri的研究員介紹,最近出現了乙個針對apache web伺服器的新威脅,apache web伺服器是世界上使用最廣泛的web伺服器。這個威脅是乙個非常高階且隱秘的後門,它可以將流量重定向到有blackhole攻擊包的惡意**。研究員將這個後門命名為linux/cdorked.a,並且稱之為目前最複雜的apache後門。
eset安全情報專案經理pierre-marc bureau說:「除了修改apache後台程式(或服務)httpd檔案,linux/cdorked.a後門並不會在硬碟中留下痕跡。所有與這個後門相關的資訊都儲存在伺服器的共享記憶體中,因此很難檢測和分析。」此外,linux/cdorked.a還有其他方法可以逃避檢測,包括受攻擊的web伺服器和訪問伺服器的web瀏覽器。
eset高階研究員righard zwienenberg說:「攻擊者使用http請求傳送後門的配置,這種方法很有欺騙性,而且不會被apache記錄,因此也降低了被常規監控工具檢測的可能。它的配置儲存在記憶體中,這意味著後門的命令與控制資訊都不為人知,因此增加了檢測分析的難度。」
blackhole攻擊包是乙個利用零日攻擊及已知漏洞的流行攻擊工具,當使用者訪問感染blackhole病毒的**時,病毒就會控制使用者系統。當有人訪問受感染的web伺服器時,他們不僅會被重定向到乙個惡意**,而且他們的瀏覽器也會有乙個 web cookie,這樣後門就不需要給他們發第二次。
web cookie不會在管理員頁面上。後門會檢查訪問者的來路(referrer)域,如果他們重定向的**url包含特定的關鍵字,如「admin」或「cpanel」,那麼就不插入惡意內容。
eset已經讓系統管理員檢查他們的伺服器,確認他們沒有受到這個威脅的攻擊。eset的welivesecurity.com**上有一篇linux/cdorked部落格文章,其中有乙個免費工具、詳細介紹了如何檢查後門和linux/cdorked.a的全面技術分析
apache web伺服器安全配置
儘管現在購買的雲伺服器很多都有一鍵web環境安裝包,但是如果是自己配置web環境則需要對各種安全配置十分了解,今天我們就來嘗試這做好web伺服器安全配置。這裡的配置不盡完善,若有紕漏之處還望指出。以專用的apache使用者執行 一般情況下,apache是由root 來安裝和執行的。如果apache ...
網路安全部落格2 Apacheweb伺服器安全加固
apache伺服器是比較流行的一款靜態頁面處理web伺服器,在企業的日常開發與維護中,需要對web伺服器進行安全加強,確保 的安全穩定。1.賬號設定 以專門的使用者帳號和組執行 apache。1 建立 apache 組 groupadd apache 2 建立 apache 使用者並加入 apach...
tomcat伺服器避免惡意網域名稱註冊
其他的網域名稱指向了自己的ip位址,比如www.ytu.edu.cn是我學校的正常網域名稱,經常有惡意網域名稱指向這個ip位址202.194.116.18,比如www.uxwm.com,也指向了這個ip位址,ip位址繫結網域名稱,僅通過該網域名稱可以訪問這個ip位址 修改tomcat 7的serve...