Загадочная инфекция поражает web-сайты на Linux/Apache

25.01.2008 07:12

Компания Finjan опубликовала пресс-релиз, из которого следует, что она обнаружила новый вид сетевой инфекции, из-за которой уже пострадало более 10 тыс. сайтов. Заражению подвержены только компьютеры под управлением Linux с установленным HTTP-сервером Apache.

Марк Кокс из команды безопасности Apache заявил, что не имеет никаких доказательств того, что инфекция эксплуатирует незакрытую уязвимость в Apache. Команда безопасности RedHat тоже заявила, что не может прокомментировать происходящее, т.к. на данный момент еще не получила доступ к инфицированным машинам. Компания cPanel опубликовала предупреждение, в котором описано поведение инфекции после заражения системы ( установка rootkit и замена ряда исполняемых файлов, динамически создающие JavaScript вставки вклинивающиеся в трафик сайтов).

В качестве одного из способов обнаружения паразитной активности, предлагается использовать tcpdump:

    tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'".  

Инфекцию назвали Random JS Toolkit и пока не найден способ ее удаления, кроме повторной установки ОС (переустановку модифицированных файлов) и замены паролей.

Наиболее реальное подозрение связано с возможностью попадания в руки злоумышленников пароля суперпользователя на машине хостига, что в сочетании с некорректной настройкой сервера, дает им возможность установки руткита.

Ранее, в системах хостинга получила широкое распространение инфекция, вылавливающая пароли на Windows машинах владельцев аккаунтов и через ftp, в автоматическом режиме, добавляющая к страницам сайта JavaScript или iframe вставки, которые через уязвимость в web-браузере Internet Explorer, заражали новые машины и продолжали свое распространение.