Сам механізм зараження не був ясний, але уразливості піддавалися сервера під керуванням панелей адміністрування cPanel і Plesk.
І ось буквально днями, команди Sucuri Security і ESET вивчали методику впровадження backdoor Darkleech, виявили що на Linux серверах під управлінням cPanel відбувається підміна виконуваного файлу демона httpd на скомпрометований файл.
Тому найбільш правильним шляхом виявлення служить команда пошуку "open_tty" в директорії веб-сервера:
# Grep -r open_tty / usr / local / apache /
якщо дана команда знаходить open_tty в бінарниках сервера, то найімовірніше він є скомпрометованим, так як оригінальна версія httpd не має виклику open_tty. При цьому в разі якщо ви спробуєте замінити скопрометірованний файл чистим, то отримаєте помилку доступу, так як файлу присвоюються спец.атрібути, так що перед видаленням їх необхідно зняти:
# Chattr -ai / usr / local / apache / bin / httpd
Заражений бінарник не змінює нічого на сайті, але один раз на добу для кожного IP відпрацьовує редирект на різні домени, звідки запитується скрипт віддає браузеру зашифрований редирект на amazingtubesites.org.
Фахівці Eset кажуть про сотні заражених веб-серверах і тисячах потенційних загроз. Причому виявити зловмисну активність вкрай складно, так як backdoor не залишає ніяких слідів, не пише редіректи в логи, не змінює дати файлу, а також управляється через спеціальним чином конфігурований HTTP GET запит до веб-сервера.
Після чого зловмисник вже може отримати повний root доступ до скомпрометованому сервера і виконувати на ньому будь-які дії.