Бекдор Linux/Cdorked.A определение заражения сервера

crocked
Для определения заражения рекомендуют скачать и собрать dump_cdorked_config для дампов памяти данного бекдора

wget http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.c
gcc dump_cdorked_config.c -o dump_cdorked_config
chmod +x dump_cdorked_config
./dump_cdorked_config

если

No shared memory matching Cdorked signature was found.
To further verify your server, run "ipcs -m -p" and look for a memory segments created by your http server.

то все «ОК»
Почему в кавычках?
Да потому что нифига не ок, подтверждение тому
https://code.google.com/p/malware-lu/wiki/en_malware_cdorked_A

After its termination, the malware will send a 302 to the client, and serve google.com. This action will appear in Apache's logs.

т.е., при использовании ссылки вида
http://site.ru/favicon.iso
у Вас идет редирект на google, то примите мои поздравления, у Вас проблемка.
Лечится довольно-таки просто, переустановкой компонентов веб сервера.
Вдобавок, надо удалить сегменты памяти касающиеся apache

ipcs -m
------ Сегменты совм. исп. памяти --------
ключ   shmid      владелец права байты nattch     состояние
0x0000014c 0          root       600        384        20
0x00000000 9404417    root       600        524288     9          назначение
0x0000121f 6750210    root       600        463504     0
0x00004058 8323075    apache     600        6161712    0   

удаляем

ipcrm -m 8323075

«Бэкдор не имеет механизмов самораспространения и не использует уязвимость в ПО на сервере для своей установки.»

Очень интересное чтиво на эту тему
http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf

Поделись с друзьями:

Написать комментарий