В Nginx пробита дыра, которую не заметил ни один антивирус

В Nginx пробита дыра, которую не заметил ни один антивирус

24.07.2020
Китайские исследователи выявили бэкдор для Nginx, использовавший модифицированный код оригинала. Прямых подтверждений этот вредонос получил очень мало. Теперь его видят как минимум девять антивирусов. Изначально не видел ни один.

Бэкдор-лабиринт
Исследователи обнаружили бэкдор для веб-сервера Nginx, который до недавнего времени не обнаруживал ни один антивирус. Эксперты китайской компании Anheng Threat Intelligence Center загрузили подозрительный файл на VirusTotal, и ни один защитный движок на тот момент не заметил ничего подозрительного.

Позднее стало ясно, что кто-то модифицировал функцию ngx_http_header_filter в оригинальном Nginx. Судя по приведенным скриншотам, модифицированный сервер проверяет входящие запросы на наличие определенной последовательности символов (lkfakjf), и если она присутствует, сервер устанавливает стабильное соединение с адресом, посланным хакером в том же запросе.

Эксперты Anheng отметили, что есть два способа проверить наличие бэкдора. Первый —локально мониторить порт 9999 ($ nc -lv 9999) и с помощью команды curl ($ curl "127.0.0.1" -H "Cookie:lkfakjfa0.0.0.0:9999") выявить установленный хакерами шелл.

backdoor600.jpg
Бэкдор для Nginx не обнаруживал ни один антивирус

Второй способ — использовать команду $ whichnging |xargsgrep "/bin/sh" -la для выявления подозрительной строки ("/bin/sh").

Девять антивирусов
Пока единственное «второе мнение» об этом бэкдоре поступило от экспертов компании Ptrace Security GmbH, которые, впрочем, просто дали ссылку на публикацию Anheng.

С другой стороны, сейчас бэкдор уже детектируют 9 из 60 антивирусных движков, представленных на VirusTotal, в частности, антивирусы «Доктора Веб», «Лаборатории Касперского», Symantec, TrendMicro, Sophos и нескольких других компаний маркируют этот файл как троянскую программу. Остается надеяться, что в скором времени обновятся базы и других антивирусов.

«Доступных подробностей о бэкдоре очень немного, и вопросов больше, чем ответов: из исходной публикации может сложиться впечатление, что кто-то скомпрометировал исходники nginx на стороне разработчиков, но судя по всему, ничего подобного не произошло, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Тем не менее, многое остается непроясненным. Возможно, поэтому реакция на известие о бэкдоре в Nginx очень вялая, хотя угроза может быть очень велика, учитывая распространенность этой разработки».


CNews
 
В японце и не сомневался, а вот Sophos удивил. Надо попробовать как-то их бесплатный продукт хотя бы.
тоже грузилово по нагрузке что и японец,только вот у тебя комбайн,а там фришник так работает,так что не стоит...
 
тоже грузилово по нагрузке что и японец,только вот у тебя комбайн,а там фришник так работает,так что не стоит...
Если так и дальше пойдёт. У нас просто все перейдут в разряд фришников, а взамен пользователи утратят личную безопасность данных.
 
Назад
Сверху Снизу