Поделиться
В Nginx пробита дыра, которую не заметил ни один антивирус
Китайские исследователи выявили бэкдор для Nginx, использовавший модифицированный код оригинала. Прямых подтверждений этот вредонос получил очень мало. Теперь его видят как минимум девять антивирусов. Изначально не видел ни один.
Бэкдор-лабиринт
Исследователи обнаружили бэкдор для веб-сервера Nginx, который до недавнего времени не обнаруживал ни один антивирус. Эксперты китайской компании Anheng Threat Intelligence Center загрузили подозрительный файл на VirusTotal, и ни один защитный движок на тот момент не заметил ничего подозрительного.
Позднее стало ясно, что кто-то модифицировал функцию ngx_http_header_filter в оригинальном Nginx. Судя по приведенным скриншотам, модифицированный сервер проверяет входящие запросы на наличие определенной последовательности символов (lkfakjf), и если она присутствует, сервер устанавливает стабильное соединение с адресом, посланным хакером в том же запросе.
Эксперты Anheng отметили, что есть два способа проверить наличие бэкдора. Первый —локально мониторить порт 9999 ($ nc -lv 9999) и с помощью команды curl ($ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999") выявить установленный хакерами шелл.
Второй способ — использовать команду $ whichnging |xargsgrep "/bin/sh" -la для выявления подозрительной строки ("/bin/sh").
Девять антивирусов
Пока единственное «второе мнение» об этом бэкдоре поступило от экспертов компании Ptrace Security GmbH, которые, впрочем, просто дали ссылку на публикацию Anheng.
С другой стороны, сейчас бэкдор уже детектируют 9 из 60 антивирусных движков, представленных на VirusTotal, в частности, антивирусы «Доктора Веб», «Лаборатории Касперского», Symantec, TrendMicro, Sophos и нескольких других компаний маркируют этот файл как троянскую программу. Остается надеяться, что в скором времени обновятся базы и других антивирусов.
«Доступных подробностей о бэкдоре очень немного, и вопросов больше, чем ответов: из исходной публикации может сложиться впечатление, что кто-то скомпрометировал исходники nginx на стороне разработчиков, но судя по всему, ничего подобного не произошло, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Тем не менее, многое остается непроясненным. Возможно, поэтому реакция на известие о бэкдоре в Nginx очень вялая, хотя угроза может быть очень велика, учитывая распространенность этой разработки».
Короткая ссылка
