根據安全公司ESET和Sucuri的研究員介紹，最近出現了一個針對Apache Web服務器的新威脅，Apache Web服務器是世界上使用最廣泛的Web服務器。這個威脅是一個非常高級且隱秘的后門，它可以將流量重定向到有Blackhole攻擊包的惡意網站。研究員將這個后門命名為Linux/Cdorked.A，并且稱之為目前最復雜的Apache后門。

ESET安全情報項目經理Pierre-Marc Bureau說：“除了修改Apache后臺程序(或服務)httpd文件，Linux/Cdorked.A后門并不會在硬盤中留下痕跡。所有與這個后門相關的信息都存儲在服務器的共享內存中，因此很難檢測和分析。”此外，Linux/Cdorked.A還有其他方法可以逃避檢測，包括受攻擊的Web服務器和訪問服務器的Web瀏覽器。

ESET高級研究員Righard Zwienenberg說：“攻擊者使用HTTP請求發送后門的配置，這種方法很有欺騙性，而且不會被Apache記錄，因此也降低了被常規監控工具檢測的可能。它的配置存儲在內存中，這意味著后門的命令與控制信息都不為人知，因此增加了檢測分析的難度。”

Blackhole攻擊包是一個利用零日攻擊及已知漏洞的流行攻擊工具，當用戶訪問感染Blackhole病毒的網站時，病毒就會控制用戶系統。當有人訪問受感染的Web服務器時，他們不僅會被重定向到一個惡意網站，而且他們的瀏覽器也會有一個 Web Cookie，這樣后門就不需要給他們發第二次。

Web Cookie不會在管理員頁面上。后門會檢查訪問者的來路(Referrer)域，如果他們重定向的網站URL包含特定的關鍵字，如“admin”或“cpanel”，那么就不插入惡意內容。

ESET已經讓系統管理員檢查他們的服務器，確認他們沒有受到這個威脅的攻擊。ESET的WeLiveSecurity.com網站上有一篇Linux/Cdorked博客文章，其中有一個免費工具、詳細介紹了如何檢查后門和Linux/Cdorked.A的全面技術分析。