Darkleech je jeden z nejzákeřnějších malware jaký se kdy masově rozšířil. Infikuje servery na úrovni root, takže se s ním na běžné sdíleném webhostingu nesetkáte. Tedy pokud si nechal napadnout provozovatel své servery, tak byste měli vážně zauvažovat nad změnou. Problém tak způsobuje spíše majitelům VPS, kteří si dostatečně svůj server neochrání.
A v čem vlastně tkví zákeřnost Darkleech? Podobně jako většina malware vkládá do stránek iframe, který pomocí CSS zobrazí mimo viditelnou obrazovku. Vtip je v tom, že tak dělá pouze pokud zrovna není přihlášený administrátor serveru a webu. Takže jeho detekce je poměrně náročná. Navíc dokáže mást i samotné uživatele. Škodlivý obsah totiž uvidíte jen jednou za den anebo u jiné verze dokonce jedenkrát za týden. Omezení platí na IP adresu. Nasimulovat jeho přítomnosti tedy vyžaduje odhlášeného administrátora serveru, webu a nepoužitou IP adresu, která nejméně týden nebyla na stránkách.
Možná si říkáte, že by detekci mohl zvládnout nějaký automatický software, který prochází weby. Darkleech se jednak chrání proti detekci vygenerováním náhodné CSS třídy, čísel absolutní pozice a rozměru div a také umí ignorovat běžné roboty.
Příklad náhodně vygenerovaného kódu:
<style>.tlqvepxi { position:absolute; left:-1648px; top:-1752px} </style> <div class="tlqvepxi">
<iframe src="hxxp://example.com/21234443.html" width="581" height="476"></iframe></div>
Návrat Darkleech?
Darkleech napadá servery už od roku 2012. Jeho iframe se však začal v trochu pozměněné formě objevovat na webech postavených na redakčním systému WordPress. Oproti předchozím verzím přibyl pouze parametr k URL utm_source.
Tento iframe se objevil i na IIS serverech, na kterých bylo PHP. Je tedy otázkou zdali se nejedná pouze o využití backdoor a iframe původního Darkleech.
Kde jej najdete
Nebezpečí se skrývá v souboru nav-menu.php
Podle článku na blog.sucuri.net se zdroj iframe nachází v wp-includes/nav-menu.php, což je soubor samotného jádra WordPress. Samotný škodlivý kód je zašifrovaný. Obsahuje backdoor, který umožňuje spouštět nebezpečný PHP kód.
Právě díky pozměněnému obsahu jádra souboru jej lze snadno detekovat pomocí bezpečnostních pluginů, jako je například Wordfence. Ten také dokáže přepsat infikovaný soubor. Samozřejmě je nutné se také porozhlédnout po dalších souborech, které mohl útočník umístit do instalace, zkontrolovat databázi jestli tam nepřibyl nový uživatel a provést další bezpečnostní opatření (změna hesla atd.).
Tento článek byl byl přečten 3322 krát