29.04.2013 - Tausende Webserver gehackt durch schwere Sicherheitslücke in cPanel

Die Schadsoftware verwendet lediglich ein modifiziertes httpd-Binary und belegt nur 6MB Arbeitsspeicher. Damit aber noch nicht genug - die Malware hinterlässt keinerlei Spuren in den Logfiles, was das Aufspüren sehr erschwert. Die modifizierte Datei wird außerdem mit dem Immutable-Bit versehen, was den Zugriff zusätzlich erschwert. Der Administrator muss die Datei zuerst mit chattr bearbeiten, bevor er sie durch eine saubere Version ersetzen kann.

Auch die Analyse von außen wird erschwert, denn pro Tag und IP-Adresse veränderte der kompromittierte Server nur ein einziges Mal sein Verhalten. Ein Anwender, der die Website das erste Mal an einem Tag besucht, wird per Redirect umgeleitet. Weitere Requests und auch administrative Zugriffe werden nicht umgeleitet, wodurch es Tage bis Wochen dauert bis das Verhalten auffällig wird. Die umgeleitete Seite enthält weitere Schadsoftware (Würmer, Trojaner, Viren), welche automatisch auf dem PC des Seitenbesuchers gespeichert werden. Ein Virenscanner reicht als alleiniger Schutz häufig nicht aus.

Wir empfehlen allen Apache-Administratoren, die cPanel einsetzen, ihre Server auf eine Infektion durch die sehr fortschrittliche Schadsoftware zu untersuchen und ggf. entsprechende Schritte zur Systembereinigung durchzuführen.