Viele Webserver zum Ausliefern von Malware manipuliert

avg_logo_deWie heise Security meldet, haben Sicherheitsspezialisten auf vielen Webservern manipulierte Serverdateien gefunden, die Schadsoftware an Seitenbesucher ausliefern. Die mani­pulierten Apache-Binärdateien lassen sich nur schwer auf­spüren, da Zeitstempel und ähnliche Eckdaten intakt bleiben. Die Manipulationen erlauben den Angreifern Zugriff auf den Server. Die veränderten Apaches binden Exploit-Kits von anderen Servern ein, die ähnlich wie Darkleech eine IP nur einmal am Tag angreifen, um nicht so leicht aufspürbar zu sein.

Betroffen sind vor allem Webserver, die mit der Verwaltungssoftware cPanel einge­richtet wurden; diese kommt etwa bei Shared-Hostern zum Einsatz. cPanel setzt dabei nicht auf standardisierte Paketformate wie PKG oder RPM, was eine Über­prü­fung auf Manipulationen erschwert. Erkennen lassen sich die veränderten Dateien, indem man in ihnen nach der Zeichenkette open_tty sucht – laut dem Sicherheits­dienst­leister Sucuri ein eindeutiges Indiz für die Modifikation: grep -r open_tty /usr/local/apache/ liefere auf originalen Systemen keine Ausgabe.

Um seinen Server auf Schädlingsbefall zu untersuchen, kann man auch AVG 2013 für Linux einsetzen. Den kostenlosen Download gibt es hier: http://free.avg.com/de-de/download-free-all-product .

Auch Anwender können sich vor Angriffen mit Exploit-Kits schützen, indem sie AVG einsetzen. Der darin integrierte Surf-Schutz mit Link-Scanner und Online-Shield erkennt viele Variationen dieser Angriffe und kann sie blockieren, bevor es zu Schaden am System kommt.

Links:
http://www.heise.de/newsticker/meldung/Manipulierte-Apache-Binaries-laden-Schadcode-1851245.html

Geschrieben von Dirk Knop