近日，Sucuri和ESET公司结合研究，发现近期Blackhole在报复打击中利用了一种“精美”的apache后门—— Linux/Cdorked.A。

　　Linux/Cdorked.A后门除点窜了守护过程“httpd”外，不会在硬盘中留下任何线索，所有有关后门的信息都存放在办事器的共享内存中。报复打击者会经由过程HTTP要求来发送后门的建设信息，不单会颠末混合措置，并且不会被常规的apache日记记实，从而削减被传统监控东西发现的可能。而建设文件信息也是存放在内存中，这意味着后门的C&C办事器信息不成见，使得取证阐发加倍复杂。

　　当拜候被攻下的的web办事器时，它不是简单的就被重定向到歹意网站，还会设置一个cookie，从而第二次拜候的时辰不会再重定向到歹意网站。以此削减被思疑的风险。并且cookie对治理页面进行出格设置，不传染治理页面，后门会查抄拜候者的referrer字段，这个手艺手段跟Darkleech apache后门很近似，而事实上恰是Sucuri和ESET延续跟踪Darkleech木马时发现了它有了新的这个改变。

　　两个安然公司在比来几个月里，发现了一些基于cPanel的受传染办事器上，歹意软件手法不再是增加模块，或点窜apache建设文件，而是开端替代Apache的守护过程文件httpd，此前安然公司Sucuri曾建议利用“rpm -Va”、“rpm -qf”或“dpkg -S”来查抄Apache的模块是不是被点窜了。但是cPanel把apache安装在/usr/local/apache上，不成以用上面提到的包治理东西号令来进行查抄Apache二进制文件httpd是不是被点窜了。Sucuri公司跟踪到此类型报复打击，把被点窜的httpd提交给了ESET进行阐发。下面请看具体的阐发。

　　共享内存存储木马有关信息：

　　阐发被点窜的httpd发现，它会成立大年夜约6M的共享内存，以此来存放建设信息，这个共享内存不单可以被所有Apache的子过程利用，并且设计者没有做限制，任何其他过程都可以拜候到。以下图所示：

　　经由过程HTTP要求节制木马：

　　报复打击者有两种编制节制被植进后门的办事器。一个是经由过程反向连接的shell，一个是经由过程特别的号令。两个别例都是经由过程HTTP要求来触发。

　　经由过程特别的HTTP GET要求，便可以触发摆设了反向连接后门的http办事器。要求是一个特制的地址，包含查询特定格局的字符串，包含hostname和端口。而要求者的ip是用于解密要求字符串的key(一个4byte的XOR key)。别的，在http头信息里X-Real-IP或X-Forwarded-For字段内的ip地址会笼盖作为异或key(XOR key)的客户端IP地址。是以研究人员可以捏造一个 X-Real-IP头信息，作为解密的key如 “\x00\x00\x00\x00” key 。最后，所有要求查询的字符串城市颠末hex编码才发送给传染木马的web办事器。

　　而因为httpd被hook了，所以这个被修悔改的apache是不会把这类要求记实到log文件中。

　　重定向：

　　当用户拜候受传染的web办事器，被重定向的时辰，办事器的歹意软件会在返回的重定向内容中加进颠末base64编码的信息，好比原始拜候的URL，原始要求是不是来自javascript等，办事器(正在存放歹意内容的办事器)以此鉴定可供给响应的payload。例如：

　　Location: hxxp://dcb84fc82e1f7b01. ******gsm.be/index.php?j=anM9MSZudmNiaW11Zj1jY3

　　Zja3FqdSZ0aW1lPTEzMDQxNjE4MjctMzYwNDUzNjUwJnNyYz0yMzImc3VybD13d3cuaW5mZWN0ZWRzZXJ2

　　ZXIuY29tJnNwb3J0PTgwJmtleT0xM0Q5MDk1MCZzdXJpPS9mb3J1bS93Y2YvanMvM3JkUGFydHkvcHJvdG

　　9hY3Vsb3VzLjEuOC4yLm1pbi5qcw==

　　颠末解码后：

　　js=1&nvcbimuf=ccvckqju&time=1304161827-360453650&src=232&surl=www.infectedserver

　　.com&sport=80&key=13D90950&suri=/forum/wcf/js/3rdParty/protoaculous.1.8.2.min.js

　　此中surl参数显示来自哪个受传染的主机。suri显示原始的要求来历。

　　Sucuri公司的阐发发现会被重定向到一些***，有一些则重定向到Blackhole Exploit Kit。

　　设置cookie：

　　当重定向后，就会给来访的客户端设置一个cookie，以包管不会再被重定向。而疑似为治理页面的要求也会设置cookie，不会被重定向。木马会查抄URL，server name，referer，假定有关治理的字符串，就不会发送歹意内容到治理者的website。这些字符串包含：‘*adm*’, ‘*webmaster*’, ‘*submit*’, ‘*stat*’, ‘*mrtg*’, ‘*webmin*’, ‘*cpanel*’, ‘*memb*’, ‘*bucks*’, ‘*bill*’, ‘*host*’, ‘*secur*’, ‘*support*’。以下图所示：

　　应对：

　　ESET写了个脚本，让系统治理员可以查抄共享内存的内容，和把内容导出到一个文件中。因为病毒作者没有限制共享内存的拜候，任何过程都可对木马成立的那段共享内存进行拜候。

　　Sucuri则建议查抄httpd的地点目次是不是存在“open_tty”。

　　# grep -r open_tty /usr/local/apache/

　　假定在apache二进制文件中发现了open_tty则很可能已收传染，因为原始的apache二进制文件不会调用open_tty。

　　今朝查询拜访仍未能清晰这些web办事器是若何被进侵的。有多是SSH暴力破解。