Websteder inficeres via cPanel

Artiklen blev oprindeligt publiceret den 29/4/2013

Hundredvis af webservere er inficeret med skadelige programmer via en version af Apache, der er udstyret med en bagdør. Infektionen rammer webservere, der kører cPanel.

Det vides ikke, hvordan den inficerede udgave af Apache-programmet kommer ind på webserveren.

Når en server er inficeret, vil den indimellem placere kode i de sider, den viser besøgende. Koden omdirigerer dem til webservere, der indeholder skadelig programkode.

Et lignende angreb har ramt webservere for nylig. Men hvor det såkaldte Darkleech-angreb udnyttede ekstra moduler til Apache, bruger det nye en modificeret version af selve Apache-programmet. Det gør det sværere at opdage.

Ifølge sikkerhedsfirmaet Sucuri kan man søge efter "open_tty" i httpd-mappen. Hvis man finder det, kan det være tegn på infektion.

Der er yderligere råd til at opdage truslen i et blogindlæg fra sikkerhedsfirmaet ESET.

Anbefaling
Administratorer af cPanel-baserede servere bør tjekke deres system for infektioner.

Links