الخبيثة الخبيثة خادم ويب ينتشر أكثر

برنامج خبيث خبيث يترسخ في بعض من خوادم الويب الأكثر شعبية ، ولا يزال الباحثون لا يعرفون السبب. في الأسبوع الماضي ، عثرت شركتا الأمن Eset و Sucuri على خوادم Apache مصابة بـ Linux / Cdorked. في حالة تشغيل هذا البرنامج الضار على خادم ويب ، تتم إعادة توجيه الضحايا إلى موقع ويب آخر يحاول اختراق أجهزة الكمبيوتر الخاصة بهم.

قال Eset يوم الثلاثاء إنه عثر الآن على إصدارات من Linux / Cdorked تم تصميمها لخوادم الويب Lighttpd و Nginx ، تستخدم عبر الإنترنت.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

كتب مارك إيتيين إم. ليفيل من إيسيت أن الشركة عثرت على 400 خادم ويب مصاب حتى الآن ، منها 50 مصنفة وفي أكثر من 100 ألف موقع إلكتروني لشركة "أليكسا" ، لا يزال لا نعرف على وجه اليقين كيف تم نشر هذه البرامج الضارة على خوادم الويب ، "كتب ليفيل. "شيء واحد واضح ، هذه البرمجيات الخبيثة لا تنتشر من تلقاء نفسها ولا تستغل وجود ثغرة في برنامج معين."

كان Linux / Cdorked نشطًا منذ ديسمبر على الأقل. فهو يعيد توجيه الزائرين إلى موقع ويب آخر تعرضه لاستضافة مجموعة Blackhole exploit ، وهو برنامج خبيث يقوم باختبار أجهزة الكمبيوتر بحثًا عن نقاط ضعف البرامج.

يتم استخدام إعادة التوجيه فقط على أجهزة الكمبيوتر التي تستخدم Internet Explorer أو Firefox على أنظمة التشغيل XP أو Vista أو 7 الخاصة بـ Microsoft ، كتب ليفيل. لم يتم توجيه الأشخاص الذين يستخدمون جهاز iPad أو iPhone إلى مجموعة أدوات استغلال ، ولكن بدلاً من ذلك إلى مواقع إباحية.

يشير نمط أسماء النطاقات حيث تتم إعادة توجيه الأشخاص إلى أن المهاجمين قد قاموا أيضًا بتهديد بعض خوادم DNS (نظام أسماء النطاقات) ، كما كتب ليفيل.

كما أن البرمجيات الخبيثة لن تخدم الهجوم إذا كان الشخص في نطاقات IP معينة أو إذا "تم تعيين لغة مستعرض الإنترنت للضحية إلى اللغة اليابانية ، الفنلندية ، الروسية ، الأوكرانية ، الكازاخستانية أو البيلاروسية" ، كتب ليفيل.

وكتب ليفيل: "نعتقد أن المشغلين وراء هذه الحملة الخبيثة يبذلون جهودًا كبيرة للحفاظ على عملهم تحت الرادار وإعاقة جهود المراقبة قدر الإمكان". "بالنسبة لهم ، لا يبدو أن كشفهم يمثل أولوية على إصابة أكبر عدد ممكن من الضحايا."

لينكس / كدوركيد مخفي ولكن ليس من المستحيل اكتشافه. فهو يترك ملفًا ثنائيًا تم تعديله على القرص الصلب ، والذي يمكن اكتشافه.

ولكن الأوامر المرسلة من قبل المهاجمين إلى Linux / Cdorked لم يتم تسجيلها في سجلات Apache العادية ، وإعادة التوجيه التي ترسل الأشخاص إلى موقع ويب ضار - يعمل فقط في الذاكرة وليس على القرص الصلب ، كتب Eset الأسبوع الماضي.