Backdoor entdeckt: Angreifer kaperten schon hunderte Apache-Server

Die Malware Linux/Cdorked.A ist eine raffinierte Hintertür, die alles tut, um den Internetverkehr auf schädliche Webseiten umzuleiten, schreibt Sicherheitsanbieter Eset in einer aktuellen Warnung.   Der Schädling sei so gut, dass er laut eigener Analysen schon hunderte von Webservern unter seine Kontrolle gebracht habe.

Er tarne sich, indem er alle gefährlichen Codes verschlüssele und den http-Code so verändert habe, dass Requests gar nicht mehr aufgezeichnet würden. Zudem allokiere er 6 MByte Speicher (als sei er eine Apache-Subroutine), um darin mit allen verfügbaren Rechten sein Schindluder zu treiben. Um von Sicherheits-Software erkennbare Wiederholungen zu vermeiden, setzt die Software Cookies, die alles schon Dagewesene speichern und ihr dabei helfen, nicht noch einmal das Gleiche zu tun.

Zwar hat Eset auf seinen Seiten Links für Admins veröffentlicht, die zu Software führen, die entdecken kann, ob der eigene Server infiziert ist. Doch das reicht noch nicht, um den sich verändernden Schädling unter Kontrolle zu bringen oder zu beseitigen.

In den kommenden Tagen werde man mehr Informationen über das Ausmaß und die Komplexität des Operation veröffentlichen, verspricht der Security-Anbieter – der offenbar selbst noch ziemlich ratlos ist und weiter forscht.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de