Via aanvallen op Apache-servers zijn de afgelopen weken 20.000 websites besmet geraakt met malware, meldt Ars Technica. Het is nog onbekend of de mysterieuze aanvallers een bestaand gat misbruiken of een hele nieuwe exploit gebruiken.

Al maanden aanvallen

De aanvallen zijn als sinds augustus aan de gang, maar welke kwetsbaarheid de Apache-kapers gebruiken is nog altijd niet bekend. “Kwetsbaarheden in Plesk, Cpanel of andere beheersoftware voor websites zijn een mogelijkheid, maar onderzoekers sluiten niet uit dat er gebruik wordt gemaakt van wachtwoordkraken, social engeneering of aanvallen via onbekende bugs in applicaties en OS'en", meldt Ars Technica.

Een toolkit genaamd Darkleech wordt ingezet om een iframe te injecteren die websitebezoekers koppelt aan een landingspagina met malware. De kit gebruikt schadelijke Apache-modules om dit soort malafide content af te leveren.

Deze malafide modules duiken vaker op om Apache-servers in te lijven voor sinistere doeleinden. De modules die door Darkleech worden gebruikt, kapen SSL-binaries om aanvallers toegang te geven tot de server.

Toolkit verbergt zich

De toolkit Darkleech negeert IP-adressen van slachtoffers die reeds zijn besmet en de adressen waarvan bekend zijn dat ze bij beveiligingsbedrijven horen. Deze methodes om langer onopgemerkt te blijven zijn ook in opkomst.

Ook een eerder ontdekte module die Linux-servers op de korrel neemt, plaatst na besmetting een cookie bij slachtoffers. Zo wordt er geen tweede keer malware op de besmette machine afgevuurd, als bijvoorbeeld een week later een bijgewerkte virusscanner dit wel opmerkt.

Cisco meldt dat er 2000 aanvallen met Darkleech plaatsvonden van februari tot half maart, voornamelijk in de VS, het Verenigd Koninkrijk en Duitsland. De grootte van de totale aanval is lastig in te schatten, omdat de malware op de servers verhuld is en het aantal besmette pc's niet te meten is.

Onduidelijkheid over bescherming

Omdat nog altijd onduidelijk is hoe de modules zich aan Apache-servers hechten, is er ook nog geen advies hoe hosters maatregelen kunnen nemen om de aanvallen te voorkomen. Daarnaast kan het zijn dat er door een rootkit een backdoors opengezet kan worden die aanvallers ook na opschoning van het systeem nog toegang geeft tot de server.