Новый вредоносный код атакует Apache

Александр Панасенко 25 Декабря 2013 - 13:47

...

Новое вредоносная программа, функционирует как модуль для веб-серверов Apache и Nginx продается на подпольных хакерских форумах, говорят в ИТ-компании IntelCrawler. Новый вредонос получил название Effusion и согласно описанию он может вставлять код в реальном времени в веб-сайты, размещенные на скомпрометированных веб-серверах. Инъекции кода могут создать условия для переадресации на хакерские сайты, кроме того атакующие могут встраивать разные социально-инжениринговые тактики для обмана пользователей.

IntelCrawler сообщает, что Effusion работает с сервером Nginx 0.7 и старше, вплоть до текущей версии 1.4.4, а также с 32- или 64-битной версией Apache под Linux или FreeBSD. Маскируется вредонос под модуль, расширяющий базовую функциональность веб-сервера. Сам по себе вредонос может вставлять заданный контент в различные MIME-типы, в частности в JavaScript, HTML или PHP либо вначале страницы, либо по специальным тэгам в разметке. Атакующие могут также обновлять конфигурацию вредоноса и удаленно контролировать модификации кода, пишет cybersecurity.ru.

В коде также есть возможность фильтрации, которая ограничивает события при наступлении инъекции кода. Effusion поддерживает фильтрацию по заголовкам, источникам заходов пользователей, пользовательским агентам, IP-адресам или их диапазонам. Одновременно с этим, вредонос также старается заполучить root-доступ к системе, чтоы оператор кода смог проводить другие деструктивные действия с зараженным сервером.

Андрей Комаров, генеральный директор IntelCrawler, рассказал, что авторы Effusion просят на форумах за скомпилированный вариант вредоноса 2500 долларов, что является довольно высокой ценой даже по меркам функциональных вредоносных кодов и может указывать на то, что авторы этой разработки намеренно ограничивают круг пользователей их продукта.

Отметим, что вредоносные модули для Apache появляются не впервые , однако до сих пор серверу Nginx удавалось избежать этой участи. Впрочем, сейчас доля Nginx на мировой арене преодолела 14%, согласно данным Netcraft, и злоумышленники начали обращать внимание в том числе и на этот продукт.

Следующая главная новость »

Самые свежие новости ИТ и ИБ. Обзоры, аналитика, анонсы главных ивентов отрасли.
Подписывайтесь на телеграм-канал!

Екатерина Быстрова 29 Апреля 2026 - 21:33

Уязвимости программ Домашние пользователи Корпорации

В GitHub нашли критическую дыру: можно было получить доступ к репозиториям

Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.

Суть уязвимости была в ошибке обработки пользовательских параметров при git push.

Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.

Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.

GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.

Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.

Новый вредоносный код атакует Apache

Читайте также