- Door
- Jeroen Mulder
- geplaatst op
- 9 mei 2013 08:05 uur
Het aantal besmettingen door Linux/Cdorked.A die via Apache webserversoftware wordt verspreid, neemt snel toe. Dat meldt securityspecialist Eset. Maar de malware beperkt zich niet alleen tot Apache. Ook webservers die gebruikmaken van nginx of Lighttpd kunnen worden geïnfecteerd. En dat is nog niet eerder voorgekomen.
Zeer populaire websites die door miljoenen mensen wereldwijd worden bezocht, zijn geïnfecteerd met het zogeheten Linux/Cdorked.A. Inmiddels zijn ruim 400 webservers getraceerd waarop het lek is aangetroffen. Ruim vijftig hiervan horen bij de populairste websites ter wereld.
Het lek zorgt ervoor dat er geen andere trucs nodig zijn zoals phishing-mails of nepwebsites om malware te verspreiden onder internetgebruikers. Bezoekers gaan nietsvermoedend naar een ‘vertrouwde’ site en worden met dat bezoek geïnfecteerd. De malware laat nauwelijks sporen na op de harddrives van computers, niet anders dan een minieme wijziging in binary-bestanden. De ‘configuratie’ van de malware en de handelingen die het moet uitvoeren, worden in het geheugen bewaard. Via http-requests worden configuraties aangepast op geïnfecteerde webservers.
Hoe de malware zich verspreidt, is niet duidelijk. Aanvankelijk leek het gebruik van cPanel verdacht, maar dat wordt inmiddels ontkracht door Eset. Slechts een klein deel van de geïnfecteerde servers maakt gebruik van de cPanel-managementsoftware. Linux/Cdorked.A is een backdoor die bijzonder moeilijk is op te sporen en daarmee uiterst gevaarlijk, aldus Eset. Op Welivesecurity.com is inmiddels een uitgebreide analyse te vinden van de malware en de gevolgen na een infectie.