När attacken uppdagades i måndags, trodde säkerhetsföretaget Scansafe att ett hundratal sajter hackats och för att sprida skadlig kod till besökare. Nu menar dock ett annat säkerhetsföretag, Secure works, att så många som 10 000 sajter kan ha hackats. Alla på servrar med operativsystemet Linux körandes Apache, skriver Computerworld.

Servrarna har blivit infekterade med filer som genererar ett skadligt JavaScript. När besökarna hamnar på någon av sajterna, drar skriptet igång en attack som riktar in sig på svagheter i Quick time, Windows MDAC-bugg och en lucka i Yahoo messenger. Den som inte skyddat sin dator ordentligt riskerar att råka ut för trojanen Rbot, vilken kan förslava datorn och göra den till en del av ett bot-nät.

Don Jackson på Secure Works tror inte att attackerna kommer från Ryssland eller Kina, utan snarare från Nordamerika eller Västeuropa. Att han drar den slutsatsen beror på att koden till de filer som använts för att hacka och ladda upp andra filer på servrarna saknar ryska eller kinesiska kommentarer, något som är vanligt när attacker kommer från den delen av världen.

Säkerhetsföretaget är inte säkra på hur sajterna hackats, men tror att det rör sig om stöld av log in-uppgifter. Något som tyder på detta är att servrar som blivit av med infektionen, och i vissa fall till och med ominstallerat Linux, har blivit smittade snabbt igen.

– Alla lösenord måste bytas, inte bara ftp- och Cpanel-lösenord, säger Don Jackson på Secure works till Computerworld.

Användare kan förutom att byta lösenord, även skydda sig från attackerna genom att se till att all mjukvara är patchad och att säkerhetsprogrammen är uppdaterade. Administratörer bör enligt Secure Works stänga av funktionen ”dynamic loading” i Apache-konfigurationen.

Läs mer
Alla artiklar om it-säkerhet.