Выявлена атака по внедрению бэкдора на web-серверы с lighttpd и nginx

Александр Панасенко 14 Мая 2013 - 14:01

...

Специалисты антивирусной компании ESET выявили около 400 серверов, поражённых бэкдором Cdorked, из которых 50 серверов обслуживают сайты, входящие в список 100 тыс. наиболее популярных ресурсов по рейтингу Alexa. Примечательно, что кроме ранее встречавшихся случаев внедрения данного бэкдора в исполняемый файл http-сервера Apache, новая информация свидетельствует об использовании варианта Cdorked, поражающего серверы на базе lighttpd и nginx. В качестве способа проверки внедрения бэкдора, рекомендуется оценить целостность исполняемых файлов httpd, nginx и lighttpd по контрольной сумме (например, "rpm -Va" или "debsums -ca").

Методы работы вредоносного ПО Cdorked схожи с методами ранее выявленных атак, манипулирующих руткитом для ядра Linux или поражающих установки Apache с целью незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Во всех случаях в отдаваемый клиентам трафик выполняется подстановка эксплуатирующих браузеры iframe- или JavaScript-блоков, предназначенных для массового поражения клиентских систем и их подключение к работе ботнетов. Для скрытия своего присутствия в бэкдоре используется несколько методов, от хранения конфигурации в разделяемой памяти (Cdorked поддерживает удалённое управление), до выборочной отдачи вредоносных вставок (вредоносный iframe показывается клиенту только один раз, игнорируются подсети с которых были зафиксированы входы по SSH на сервер и запросы от поисковых систем), пишет opennet.ru.

Неясным пока остаётся метод внедрения бэкдора на Linux-системы. Ранее в качестве наиболее вероятного варианта рассматривалась эксплуатация уязвимости в панели управления хостингом Cpanel или утечка параметров входа пользователей данной системы. Но среди поражённых серверов выявлены и системы без Cpanel, разительно отличающиеся по программной начинке, поэтому как актуальная гипотеза рассмаривается проникновение на основе индивидуальных атак на серверы, используя различные незакрытые уязвимости или получая доступ через перехват паролей путём сниффинга в локальных сетях.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Апреля 2026 - 12:19

Корпорации Системы мониторинга событий безопасности SIEM-системы Яндекс

Yandex B2B Tech выходит на рынок SIEM с собственным продуктом Yandex SIEM

Yandex B2B Tech объявила о запуске Yandex SIEM — системы для мониторинга событий безопасности и обнаружения киберугроз. Новый сервис должен помочь компаниям централизованно собирать и анализировать логи и данные о событиях безопасности, чтобы быстрее замечать атаки и другие риски.

Решение рассчитано как на облачную инфраструктуру, так и на собственный контур заказчика. Использоваться оно будет по подписке, без необходимости сразу вкладываться в развёртывание большой собственной системы.

Как следует из описания, Yandex SIEM построена на внутренних технологиях Яндекса. В компании утверждают, что эти механизмы уже используются в собственной инфраструктуре и в сервисе YCDR, который связан с SOC-моделью и услугами мониторинга безопасности для внешних клиентов.

Отдельный акцент сделан на автоматизации: в систему встроены инструменты, которые помогают анализировать инциденты, формировать гипотезы и подсказывать возможные действия по реагированию. Идея в том, чтобы сократить время обработки алертов и снизить нагрузку на команды ИБ.

Запуск Yandex SIEM укладывается в общий тренд: рынок SIEM-систем и облачных сервисов безопасности продолжает расти, а компании всё чаще смотрят в сторону моделей, где инфраструктуру не нужно полностью строить у себя с нуля.

Для самого Яндекса это ещё один шаг в сторону расширения портфеля ИБ-решений для корпоративного рынка. В компании прямо говорят, что хотят усилить своё присутствие как поставщика продуктов в области информационной безопасности.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!