Information ausblenden
Das Digital Eliteboard ist ein Kostenloses Forum. Wenn du alle Bereiche sehen möchtest oder Fragen hast, musst du dich zunächst Registrieren.

Jetzt Registrieren

Darkleech infiziert reihenweise Apache-Server

Dieses Thema im Forum "PC&Internet News" wurde erstellt von DocKugelfisch, 3. April 2013.

  1. DocKugelfisch
    Offline

    DocKugelfisch Moderator Digital Eliteboard Team

    Registriert:
    9. Mai 2008
    Beiträge:
    3.242
    Zustimmungen:
    2.792
    Punkte für Erfolge:
    113
    Eine Schadsoftware namens Darkleech soll seit mindestens einem dreiviertel Jahr tausende Webseiten mit unsichtbaren iFrames ausstatten, die auf verseuchte Webseiten verweisen. Der Schädling soll hierfür den Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren missbrauchen, allerdings wurde bisher das Einfallstor in die Software nicht gefunden. Auf den durch die Webserver verseuchten Webseiten sucht sich Darkleech seine Opfer genau aus. Nutzer mit IP-Adressen von Sicherheits- und Hosting-Firmen sowie die Seitenbetreiber werden beispielsweise nicht auf bösartige Webseiten gelenkt. Betroffen sollen vor allem Webseiten in den USA, Großbritannien und Deutschland sein.
    Wie Ars Technica Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren, sollen infizierte Webseiten in insgesamt 48 Ländern gesichtet worden sein. Der Netzwerkausrüster Cisco Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren Darkleech sechs Wochen lang zwischen Februar und März 2013 und stellte allein in diesem Zeitraum eine Infektion von 2.000 Webseiten fest. Da der gesamte Webserver infiziert ist und jeder Server im Schnitt zehn Webseiten hostet, wird mit einer Infektion von mindestens 20.000 Webseiten in diesem Zeitraum gerechnet.
    Darkleech verbirgt auf den betroffenen Webseiten unsichtbare iFrames, die auf verseuchte Seiten verweisen, über die sich Besucher mit dem Blackhole Exploit Kit infizieren können. Dieser nutzt wiederum gezielt Sicherheitslücken in Oracles Java, Adobes Flash und Reader und anderer weit verbreiteter Plug-ins aus – und davon gibt es reichlich. Laut einer WebSense-Untersuchung ist Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren.


    [​IMG]

    Besonders betroffen sind die USA. Darauf folgen allerdings schon Großbritannien und Deutschland.Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren
    Bild: Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren

    Bei der Auswahl seiner Opfer geht Darkleech sehr vorsichtig und intelligent vor; die iFrames werden dynamisch von einem Apache-Modul beim Seitenaufruf eingebettet. So kann der Webmaster den Schadcode nur schwer lokalisieren – der Quellcode der Webseite auf dem Server bleibt unberührt. Zudem werden einigen IP-Adressen keine iFrames zugedacht und geblacklistet – wie etwa von Sicherheits- und Hostingfirmen. Ebenso werden bereits angegriffe User nicht mehr auf infizierte Seiten umgeleitet.
    Die Manipulation der Webseiten wird über einen Angriff auf Apache-Webserver-Software ausgeführt. Wie Mitarbeiter von Cisco verifizieren konnten, sind alle Apache Versionen ab 2.2.22 betroffen, die meistens auf Linux-Systemen installiert sind – wie die Angreifer Darkleech einschleusen können, ist immer noch unklar. Möglicherweise sind Sicherheitslücken in Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren, Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrierenund anderer Software für die Manipulation genutzt worden. Plausibel ist aber auch, dass Passwörter geknackt wurden oder Social Engineering und andere Attacken den Zugang möglich machen.
    Zumindest haben die Entwickler von Darkleech auch der Reinigung der Webserver einige Steine in den Weg gelegt. Die Schadsoftware kontrolliert nach einer Infektion die Secure Shell (SSH) Mechanismen, da Darkleech den SSH-Daemon gegen eine manipulierte Version austauscht. Diese richtet eine Backdoor ein und speichert die Zugangsdaten. Administratoren müssen deshalb die Server mit Hilfe eines Backups neu einrichten und auch die Zugangsdaten ändern.
    Darkleech breitete sich während der Beobachtung von Cisco unter anderem auf den Webseiten der Los Angeles Times und von Seagate und anderen Unternehmen aus - auf diesen Webseiten blieben die schädlichen iFrames rund einen Monat unentdeckt, bis sie entfernt werden konnten.
    Die ersten Berichte zu der Schadsoftware waren auf dem Du mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren vonDu mußt dich Registrieren um diesen Link sehen zu können. Hier klicken und kostenlos Registrieren am 13. August 2012 erschienen. Laut Sinegubko erkennen Googles Malware-Scanner die iFrames – allerdings nicht alle.


    heise-security.de
     
    Zuletzt bearbeitet: 3. April 2013
    #1

Direkt Antworten

Überprüfung:
Der Entwurf wurde gespeichert Der Entwurf wurde gelöscht

Diese Seite empfehlen

OK Mehr information

Diese Seite verwendet Cookies. Mit Ihrem Klick auf OK stimmen Sie der Verwendung von Cookies zu. Andernfalls ist die Funktionalität dieser Website beschränkt.