Ataque contra servidores Linux Apache ganha força

Um ataque em massa iniciado no mês passado contra servidores Linux Apache  ganhou força e êxito por utilizar um método de invasão que explora um processo automático de senha e instalação, de acordo com um pesquisador de segurança que monitora o progresso do ataque.

Don Jackson, pesquisador sênior de segurança da SecureWorks, diz que o ataque, que inicialmente teria comprometido algumas centenas de sites, atingiu pelos menos 10 mil endereços na web. Segundo o especialista, o ataque utiliza senhas roubadas de servidores Apache para, por meio de um processo automático de instalação, forçar as máquinas a atacarem as vulnerabilidades de clientes Windows.

“O servidor web explora falhas relacionadas a malwares do Windows de 2006”, diz Jackson. “O ataque como um todo é muito misterioso. Ele é baseado em um botnet, mas não tem origem nos grupos russos ou chineses, e deve ser europeu ou norte-americano.”

O ataque, que explora os já populares malwares Rbot e Sdbot, tem como alvo pelo menos nove vulnerabilidades de software associadas ao QuickTime, AOL SuperBuddy e Yahoo! Messenger. Por esses caminhos, ele tenta assumir o controle de desktops baseados no Windows. Segundo a SecureWorks, a maioria dos antivírus no mercado consegue detectar o malware.

A questão é que os hackers instalaram códigos que modificam a memória do Apache de forma a monitorar as solicitação e injetar ali tags e conteúdos de script ou o Rbot executável, de acordo com a SecureWorks. Alguns gerentes de redes Linux Apache estão tendo dificuldades para limpar o código do ataque de seus servidores, diz Jackson.

Ele diz que já existe um código de prova de conceito para um ataque semelhante baseado na instalação automática de senhas roubadas e de malware no Internet Information Server, da Microsoft. Mas ele não o viu ser tão explorada da forma como o ataque ao Linux Apache vem se disseminando.