2013年4月後半ごろから、Linuxで動作するApache HTTPd Serverが「Linux/Cdorked.A」と呼ばれるマルウェアに感染していることが報告されていた。このマルウェアはApache HTTPd Serverにバックドアを設け、外部から制御可能な状況を作り出す。最終的に、特定のアクセスに関して特定のサイトへリダイレクトを実施する。

当初Apache HTTPd Serverのみが影響を受けているものと考えられていたが、LighttpdおよびNginxも「Linux/Cdorked.A」に感染していることが確認された。これまでどのような経緯でマルウェアが観測されたのか、どのように動作してバックドアが動作しているのかの詳細が「Linux/Cdorked.A malware: Lighttpd and nginx web servers also affected」に掲載された。現段階ですでいくつもの感染が確認されているという。

説明によれば、「Linux/Cdorked.A」に感染したWebサーバは細工された特定のHTTPリクエストを受け取るとバックドアに関する処理をしてしまう。このマルウェアはよく工夫されており、検出されにくい構造になっている。ファイルに情報を書き出すこともなく、共有メモリを確保して状態の保存と設定の保存を実施するため、ファイルから判断することも難しい。

特定のIPからのアクセスの場合には不正な動きを見せず、さらにユーザの言語設定が日本語、フィンランド語、ロシア語、ウクライナ語、カザフ語、ベラルーシ語のいずれかに設定されている場合にも、不正な動きは見せないという。分析結果によると、少なくとも2012年12月の段階からこのマルウェアがWebサーバに影響を与えていたとされている。また、どのようにしてWebサーバにこのマルウェアを仕込んだのか(感染したバイナリへ入れ替えたのか、ほかの方法が使われたのか、どの経路で感染が広まったのか)は依然として明らかになっていないと説明がある。



続きを読む