TOOLinux

Le journal du Libre

Découverte d’une faille sur les serveurs Apache

jeudi 2 mai 2013

La menace est une porte dérobée très complexe et furtive utilisée pour générer du trafic vers des sites malveillants hébergeant des packs d’exploits Blackhole. Les chercheurs ont nommé cette porte dérobée, Linux/Cdorked.A et considèrent qu’il s’agit de la backdoor Apache la plus sophistiqué repérée jusqu’alors.

Le code Linux/Cdorked.A prend d’autres formes pour éviter la détection, à la fois sur le serveur Web compromis et sur les navigateurs des visiteurs. « La configuration du backdoor est envoyée par l’attaquant en utilisant des requêtes HTTP qui ne sont pas seulement masquées, mais qui ne sont pas non plus enregistrées par Apache, ce qui réduit la probabilité de détection par les outils de surveillance conventionnels. La configuration est stockée dans la mémoire, ce qui signifie qu’aucune information de commande et de contrôle pour la backdoor n’est visible, ce qui rend complexe l’investigation, » explique Righard Zwienenberg, chercheur principal chez ESET.

Très populaire et répandu, le kit d’exploit Blackhole utilise de nouvelles failles dites "Zéro day" qui permettent de prendre le contrôle d’un système lorsque l’internaute visite un site qui est infecté par le kit Blackhole.

Lorsqu’une personne visite un serveur web compromis, il n’est pas simplement redirigé vers un site Web malveillant ; un cookie Web est installé dans le navigateur de sorte que le code backdoor ne l’y renvoie pas une seconde fois. Le cookie web n’est pas installé dans les pages de l’administrateur : le code malveillant vérifie l’origine du visiteur et, si ce dernier est redirigé vers la page Web à partir d’une adresse URL qui a certains mots clés, tels que "admin" ou "cPanel", aucun contenu malveillant n’est servi.

- Informations sur le code Linux/Cdorked.A