Hunderte Apache-Server gekapert

Linux/Cdorked.A, der neue Apache-Schädling, sorgt dafür, dass Internet-Anfragen an Apache-Server nicht in Logs aufgenommen werden. Die gesendeten http-Anfragen, die in Wirklichkeit einen Trojaner steuern, sind für den Administrator nicht ersichtlich. Der Rest des Angriffs läuft im Speicher ab. Einen Bugfix gibt es noch nicht.

Die Malware Linux/Cdorked.A ist eine raffinierte Hintertür, die alles tut, um den Internetverkehr auf schädliche Webseiten umzuleiten, schreibt Sicherheitsanbieter Eset in einer aktuellen Warnung. Der Schädling sei so gut, dass er laut eigener Analysen schon hunderte von Webservern unter seine Kontrolle gebracht habe.

Er tarne sich, indem er alle gefährlichen Codes verschlüssele und den http-Code so verändert habe, dass Requests gar nicht mehr aufgezeichnet würden. Zudem allokiere er 6 MByte Speicher (als sei er eine Apache-Subroutine), um darin mit allen verfügbaren Rechten sein Schindluder zu treiben. Um von Sicherheits-Software erkennbare Wiederholungen zu vermeiden, setzt die Software Cookies, die alles schon Dagewesene speichern und ihr dabei helfen, nicht noch einmal das Gleiche zu tun.

Eset hat auf seinen Seiten Links für Admins veröffentlicht, die zu Software führen, die entdecken kann, ob der eigene Server infiziert ist. Doch das reicht noch nicht, um den sich verändernden Schädling unter Kontrolle zu bringen oder zu beseitigen. In den kommenden Tagen werde man mehr Informationen über das Ausmaß und die Komplexität des Operation veröffentlichen, verspricht der Security-Anbieter.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.