В Nginx пробита дыра, которую не заметил ни один антивирус

Candellmans

Команда форума
Сообщения
4,057
Реакции
6,606
Баллы
473
В Nginx пробита дыра, которую не заметил ни один антивирус

24.07.2020
Китайские исследователи выявили бэкдор для Nginx, использовавший модифицированный код оригинала. Прямых подтверждений этот вредонос получил очень мало. Теперь его видят как минимум девять антивирусов. Изначально не видел ни один.

Бэкдор-лабиринт
Исследователи обнаружили бэкдор для веб-сервера Nginx, который до недавнего времени не обнаруживал ни один антивирус. Эксперты китайской компании Anheng Threat Intelligence Center загрузили подозрительный файл на VirusTotal, и ни один защитный движок на тот момент не заметил ничего подозрительного.

Позднее стало ясно, что кто-то модифицировал функцию ngx_http_header_filter в оригинальном Nginx. Судя по приведенным скриншотам, модифицированный сервер проверяет входящие запросы на наличие определенной последовательности символов (lkfakjf), и если она присутствует, сервер устанавливает стабильное соединение с адресом, посланным хакером в том же запросе.

Эксперты Anheng отметили, что есть два способа проверить наличие бэкдора. Первый —локально мониторить порт 9999 ($ nc -lv 9999) и с помощью команды curl ($ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999") выявить установленный хакерами шелл.

backdoor600.jpg

Бэкдор для Nginx не обнаруживал ни один антивирус

Второй способ — использовать команду $ whichnging |xargsgrep "/bin/sh" -la для выявления подозрительной строки ("/bin/sh").

Девять антивирусов
Пока единственное «второе мнение» об этом бэкдоре поступило от экспертов компании Ptrace Security GmbH, которые, впрочем, просто дали ссылку на публикацию Anheng.

С другой стороны, сейчас бэкдор уже детектируют 9 из 60 антивирусных движков, представленных на VirusTotal, в частности, антивирусы «Доктора Веб», «Лаборатории Касперского», Symantec, TrendMicro, Sophos и нескольких других компаний маркируют этот файл как троянскую программу. Остается надеяться, что в скором времени обновятся базы и других антивирусов.

«Доступных подробностей о бэкдоре очень немного, и вопросов больше, чем ответов: из исходной публикации может сложиться впечатление, что кто-то скомпрометировал исходники nginx на стороне разработчиков, но судя по всему, ничего подобного не произошло, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Тем не менее, многое остается непроясненным. Возможно, поэтому реакция на известие о бэкдоре в Nginx очень вялая, хотя угроза может быть очень велика, учитывая распространенность этой разработки».


CNews
 

Theriollaria

Активный пользователь
Сообщения
1,088
Реакции
3,462
Баллы
393
В японце и не сомневался, а вот Sophos удивил. Надо попробовать как-то их бесплатный продукт хотя бы.
 

Candellmans

Команда форума
Сообщения
4,057
Реакции
6,606
Баллы
473
В японце и не сомневался, а вот Sophos удивил. Надо попробовать как-то их бесплатный продукт хотя бы.
тоже грузилово по нагрузке что и японец,только вот у тебя комбайн,а там фришник так работает,так что не стоит...
 

Theriollaria

Активный пользователь
Сообщения
1,088
Реакции
3,462
Баллы
393
тоже грузилово по нагрузке что и японец,только вот у тебя комбайн,а там фришник так работает,так что не стоит...
Если так и дальше пойдёт. У нас просто все перейдут в разряд фришников, а взамен пользователи утратят личную безопасность данных.
 
Сверху Снизу