根據(jù)安全公司ESET和Sucuri的研究員介紹，最近出現(xiàn)了一個(gè)針對(duì)Apache Web服務(wù)器的新威脅，Apache Web服務(wù)器是世界上使用最廣泛的Web服務(wù)器。這個(gè)威脅是一個(gè)非常高級(jí)且隱秘的后門，它可以將流量重定向到有Blackhole攻擊包的惡意網(wǎng)站。研究員將這個(gè)后門命名為L(zhǎng)inux/Cdorked.A，并且稱之為目前最復(fù)雜的Apache后門。

ESET安全情報(bào)項(xiàng)目經(jīng)理Pierre-Marc Bureau說(shuō)：“除了修改Apache后臺(tái)程序(或服務(wù))httpd文件，Linux/Cdorked.A后門并不會(huì)在硬盤中留下痕跡。所有與這個(gè)后門相關(guān)的信息都存儲(chǔ)在服務(wù)器的共享內(nèi)存中，因此很難檢測(cè)和分析。”此外，Linux/Cdorked.A還有其他方法可以逃避檢測(cè)，包括受攻擊的Web服務(wù)器和訪問(wèn)服務(wù)器的Web瀏覽器。

ESET高級(jí)研究員Righard Zwienenberg說(shuō)：“攻擊者使用HTTP請(qǐng)求發(fā)送后門的配置，這種方法很有欺騙性，而且不會(huì)被Apache記錄，因此也降低了被常規(guī)監(jiān)控工具檢測(cè)的可能。它的配置存儲(chǔ)在內(nèi)存中，這意味著后門的命令與控制信息都不為人知，因此增加了檢測(cè)分析的難度。”

Blackhole攻擊包是一個(gè)利用零日攻擊及已知漏洞的流行攻擊工具，當(dāng)用戶訪問(wèn)感染Blackhole病毒的網(wǎng)站時(shí)，病毒就會(huì)控制用戶系統(tǒng)。當(dāng)有人訪問(wèn)受感染的Web服務(wù)器時(shí)，他們不僅會(huì)被重定向到一個(gè)惡意網(wǎng)站，而且他們的瀏覽器也會(huì)有一個(gè) Web Cookie，這樣后門就不需要給他們發(fā)第二次。

Web Cookie不會(huì)在管理員頁(yè)面上。后門會(huì)檢查訪問(wèn)者的來(lái)路(Referrer)域，如果他們重定向的網(wǎng)站URL包含特定的關(guān)鍵字，如“admin”或“cpanel”，那么就不插入惡意內(nèi)容。

ESET已經(jīng)讓系統(tǒng)管理員檢查他們的服務(wù)器，確認(rèn)他們沒(méi)有受到這個(gè)威脅的攻擊。ESET的WeLiveSecurity.com網(wǎng)站上有一篇Linux/Cdorked博客文章，其中有一個(gè)免費(fèi)工具、詳細(xì)介紹了如何檢查后門和Linux/Cdorked.A的全面技術(shù)分析。