Nach Untersuchungen von Cisco werden seit Sommer 2012 massiv Apache-Webserver ab Version 2.2.2 mit der Server Malware “Darkleech” infiziert. Betroffen sind hauptsächlich linuxbasierte Serversysteme in den USA, Großbritannien und Deutschland. Weiterhin sind infizierte Webseiten in weiteren 48 Ländern aufgetaucht.
Es wird vermutet, dass auf dem Apache-Webserver verschiedene Module geändert, bzw. ausgetauscht werden und somit alles, was den Webserver verlässt dynamisch infiltriert wird. Die Schadsoftware tauscht unter anderem den systemeigenen SSH-Server gegen eine präparierte Version aus, sodass über SSH der Server von Cyberkriminellen übernommen und kontrolliert werden kann.
Entdeckt wurden die Infektionen im August 2012 vom russischen Malware-Forscher Denis Sinegubko, der darüber in seinem Blog berichtete.
Was kann ich als Betreiber eines Apache-Webservers tun?
- Deinstallation und Neuinstallation des Apache Webserver
- Zurückspielen von Backups
- Alle Zugangsdaten des Servers ändern
- Werden Sie Mitglied beim kostenfreien Dienst der Initiative-S und lassen Sie Ihre Domain regelmäßig von unseren Systemen auf Schadcode überprüfen.
Was kann ich als User gegen “Drive-by-Downloads” unternehmen?
- Um das Risiko einer Blackhole Exploit Kit-Infektion zu verringern, sollten Sie immer die aktuellste Version Ihres Browsers installiert haben. Weiterhin sollten Sie darauf achten, dass die eingesetzten Plugins und Addons, wie Java, Adobe Flash und Adobe Reader immer Up-to-Date sind. Installieren Sie sinnvolle Erweiterungen für den Browser, wie z.B. NoScript oder FlashBlock.
- Wenn Sie Java nicht dringend benötigen, deinstallieren Sie es komplett vom Betriebssystem, bzw. deaktivieren Sie Java im Browser. Hier prüfen>>.
- Halten Sie Software und Betriebssystem immer aktuell, behilflich ist hier das kostenfreie Tool “CSIS Heimdal Security Agent“.
Fazit:
Im Grunde könnte jeder Apache Webserver ab 2.2.2 mit dem Darkleech infiziert sein und man würde es kaum bemerken. Noch trivialer ist aber, dass man die Lücke, also wie der Apache mit dem “Darkleech” infiziert wird, noch nicht gefunden hat. Interessant wäre eine Installation und Überprüfung des Systems mit einem Advanced Intrusion Detection Environment Checker (z.B. Aide). Dieses Programm überprüft die Integrität der Dateien über Checksummen und meldet alle Änderungen.