Sur le Blog d’Eset, un autre billet de blog, à prendre au sérieux semble-t-il, car exploité dans la nature par quelques outils de hack. Cette alerte concerne les serveurs Web Apache, ou plus exactement le remplacement du binaire d’Apache par un autre contenant une porte dérobée. La vérification du binaire par les moyens classiques ne peut s’appliquer, seule la présence d’un « open_tty » dans /usr/local/apache laisse deviner qu’il y a eu compromission. Outre l’infection locale, ce malware baptisé Linux/Cdorked.A utilise d’autres techniques de camouflage, et ne laisse pas de trace disque en rapport avec son C&C. Une fois le serveur compromis, tout visiteur peut être aiguillé vers un autre site à son insu, sur simple et unique envoi d’un cookie, et le serveur est placé sous le contrôle d’un serveur d’exploits BlackHole. Un autre article sur le sujet a été rédigé, par l’équipe de Sucuri qui est à l’origine de la découverte et qui a contribué à l’analyse d’Eset.