[Alert] Apache Web Server 사용하시는 분들은 Darkleech 아파치 악성 모듈 감염 여부 확인하시기 바랍니다.

[Alert] Apache Web Server 사용하시는 분들은 Darkleech 아파치 악성 모듈 감염 여부 확인하시기 바랍니다.

안녕하세요. SecurityPlus입니다.

최근 전 세계적으로 2만여개 이상 아파치 웹 사이트를 감염시킨 Darkleech 아파치 악성 모듈 감염 여부 확인하시고, 감염된 웹 서버 발견 시에는 서버 자체가 탈취된 것이므로 모듈 삭제만 하지 마시고 전반적인 사고 조치하시기 바랍니다. 

Darkleech 아파치 악성 모듈 탐지 방법은

   - 아파치 구성 파일에서
     $ cat ../etc/../modules/[VARIOUS].conf| grep "mod_" 형태로 혹은 직접 구성 파일 내 내용을 검색하셔서 하기와 같이 악성 모듈 Loading 선언문이 삽입되어 있는지 확인하시기 바랍니다.

       LoadModule sec2_config_module modules/mod_sec2_config.so

   - 악성 모듈명은 여러가지 이름을 가질 수 있으며, Regex 표현으로 아래와 같이 표현될 수 있습니다.

       mod\_[a-z0-9]{3,}\_[a-z0-9]{3,}\.so

     현재까지 발견된 대표적인 악성 모듈명은 아래와 같습니다.

     mod_sec2_config.so
     mod_pool_log.so
     mod_chart_proxy.so
     mod_balance_alias.so
     mod_local_log.so
     mod_build_cache.so

그럼, 보안 업무에 참고하시기 바랍니다.

안녕히 계세요.