Corsi on-line

Linux/Cdorked.A il malware che colpisce i Web server Open

Quando il malware denominato Linux/Cdorked.A venne individuato per la prima volta, gli analisti avevano ipotizzato che esso potesse rappresentare una minaccia per il solo Web engine Apache; l’idea era che l’infezione fosse possibile a causa di una vulnerabilità a carico del Hosting Manager System CPanel, ora quest’ultimo sarebbe stato sollevato da qualsiasi responsabilità proprio a causa dell’attuale livello di diffusione del malware.

In pratica, quella che sembrava essere una preoccupazione riservata agli amministratori di Apache, sarebbe diventata di recente (tramite varianti) anche una minaccia per le soluzioni concorrenti nginx e Lighttpd che sono anch’esse delle applicazioni rilasciate sotto licenza Open Source; ad oggi sarebbero circa 400 i server Web compromessi da  Linux/Cdorked.A, un numero non particolarmente elevato che però andrebbe riletto considerando il fatto che circa una cinquantina di essi farebbero riferimento ad alcuni dei siti Internet più trafficati della Rete.

Il malware si caratterizzerebbe in particolare per la sua capacità di insidiarsi all’interno di un sistema e di agire senza lasciare nessuna traccia visibile, gli esperti sarebbero stati però in grado di individuarlo grazie ad un processo HTTP che verrebbe alterato in seguito alla sua attività; esso è stato confezionato per effettuare il redirect dei browser verso URL collegate a siti Web progettati per effettuare payload, cioè l’estensione a runtime delle funzionalità di un malware.

E’ da segnalare che Linux/Cdorked.A non sembrerebbe essere dotato di un sistema autonomo per la sua diffusione (da qui il numero relativamente basso di terminali coinvolti), la propagazione dell’infezione sarebbe invece affidata all’exploit kit Blackhole e si verificherebbe solo in seguito alla redirezione effettuata tramite server DNS compromessi.

Fonte: WeLiveSecurity

Post correlati
I più letti del mese
Tematiche