今、Gumblar(GENOウィルス)がヤバイ
Web全般 2010年1月8日,
なんか最近やたらGumblarウィルスの被害が激増してますね。
実際には実際にはGumblarではなく8080ウィルスといったほうがいいかもしれませんが
各雑誌などはすべてガンブラガンブラいってるので。
(実際にはGumblarウィルスとは違うものととらえたほうがいいと思う)
ぼくもWebの片隅で細々とやってるわけですが、
こんな片隅でもGumblarウィルスはやってきておりまして
いくつかのホスティングユーザーアカウントがヤられてHPが改ざんされたようです。
Gumblarウィルスってのは簡単に言うとトロイ系ウィルスで
このコンピューターウイルスに感染すると、
パソコンからFTPサーバーのアカウントやパスワードを収集し、攻撃者へ送信します。
攻撃者は、取得した情報を使ってFTPサーバーに不正アクセスし、サイトの改竄を行います。
①ウィルスが仕込まれたHPをブラウザで表示する事でアプリの脆弱性を突いて感染。
↓
②感染したウィルスは別のウィルスをダウンロードしてきてインストールする系のウィルス。
ユーザーのPCに入り込んだウィルスはそのPCのプロセスを監視するようになる。
んで、現在多発しているのはFFFTPが起動されるとID、パスワード等を取得し、
外部へ発信するというウィルス。
↓
③発信されたFTP情報を攻撃者が取得。IDとパスワードを使ってFTPで不正アクセス。
htmlを改ざんする
↓
④ ①に戻る
多分こんな感じ。
要は被害者がさらに被害者を生んでるわけです。
現在の所、攻撃者の目的がよくわからん状態らしいですが
②の所で任意のウィルスをダウンロードさせる事が可能なわけで
今はFFFTPのIDとパスを取得するウィルスですが別のウィルスをインストールさせる事も可能で・・・
つまり、なんでもできる状態といって過言ではなさそう。
鯖管としては対処のしようがない状態で
ユーザー様に言われたらパスワードを変更するくらいの対応しかできません。
でも、パスワードを変更しても結局ユーザーのPCが感染していれば
また筒抜け状態でいくら変更しても不正アクセスはされます。
鯖側でできる対策として考えられるのが
FTPの接続をドメインレベルで制限してしまう事かなーって考えています。
Gumblarによって改竄されたサーバーのFTPアクセスログを確認してみると
FTP不正アクセスのIPはすべて海外のもの。
FTPのアクセスなんて基本的には日本のドメインからおこなわれるわけで、
「.jp」が含まれないドメイン(逆引きできないドメインも含)を全部はじいてしまえば
たとえユーザーのPCが感染したとしても、不正ログインされる事はなくなります。
てわけで、自分のサーバー等はproftpをxinit.d経由で起動しているので~
vi /etc/hosts.deny
in.proftpd : all
vi /etc/hosts.allow
in.proftpd : .jp
としちゃえばほとんど問題はなくなります。
ただこうすると、.jpがつかないプロバイダ
(たとえばヤフーBBとかは.netだし、ドメインのないIPもある)
の場合はFTP接続できなくなってしまうので実際に仕事で使う事はできません・・・
ので、該当ユーザーへはVPNを用意してそこを接続したのちにFTP接続していただくようにしました。
こうするとIP制限もできて確実!
でも結局ユーザー自身のPCは感染しているわけで根本的な解決にはなってません。
…というわけで感染予防する為のTIPSをいくつか。
①ブラウザ、FlashPlayer、Acrobat、java、Windowsのアップデートは確実にやっておく
②面倒だが、信頼できるサイト以外のjavascriptは切る。
まぁ信頼できる、とされていたホンダやらJRやらアメブロのブログパーツやら
がヤられてるわけだからどれが信頼できるやらわからんけどw
FireFoxならNoScriptとかを入れてとりあえずは全てのサイトのjavascriptを切っておくべき。
ちなみに、HPを表示しただけで感染するウィルスは
FireFox+JavascriptOFF(NoScript)にしておけば感染する事ってまずないと思ってます。
③ウィルス対策ソフトを入れておく。
今回のガンブラ流行ではウィルス対策ソフトは反応しなかったが、ウィルス対策ソフトは必須。
ってわけで、次発見したら実際にかかってみたいですなー。
ちゃんとした詳細情報は
◆ JPCERT/CC : Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
http://www.jpcert.or.jp/at/2010/at100001.txt
こちらをどうぞ。
ちなみに感染しているかどうかのチェックは現状では方法が皆無。
GENOみたくregeditが開けないとかcmdでコマンドプロンプトが開かないとか
そういったわかりやすい症状は今回の新ガンブラにはないらしい。
うう検体がほしい。
