Googleで検索してphpBBを狙うSantyワーム

Googleで検索してphpBBを狙うSantyワーム 34

ストーリー by Oliver 2004年12月22日 16時02分
より効率良く部門より

ex曰く、"F-SecureのWeblogによると、日本でも多くのサイトで使われているphpBB（日本語版はphpBB JAPANにて配布）の2.0.10以前のバージョンを狙ったWormが出現している。以前にもphpBBの2.0.10以前のバージョンの穴を狙ってクラックする事件（もじふぉの事例、phpBB JAPANのフォーラムでの報告事例など）があったが、今回はWormとの事なので、各phpBB管理者は早急に対処されたし。
なお、このセキュリティホールはphpBB2.0.11で修正されている。もしくは、セキュリティホールmemo経由phpBB.comのフォーラム記事に、一応ソースの修正点が示されている。"

Santyと名付けられたこのワームはPerlで書かれており、セキュリティホールを突いてphpBBが動作するサイトに侵入し、サイトを改竄すると同時にGoogleを使って新たなる侵入先を探し始める。ピンポイントでターゲットを狙うこともあり、既に4万以上のサイトが感染している様だ。Googleが既にこのワーム固有の検索リクエストに答えないように対応したため、拡散スピードは大幅に落ちているが、変種の登場は時間の問題だろう。phpBB管理者はいますぐ対策を。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索34コメント Log In/Create an Account

Googleも万人に便利すぎ (スコア:2, 興味深い)

by wanwan (45) on 2004年12月22日 16時33分 (#669201)

MovableTypeのCommentSpamも結構ひどいです。
これも検索エンジンとRSSとの併用により簡単にサイトのmt-comment.cgiを見つけることができ、かつ、簡単にSPAMを実行できます。
現状で日本のサイトでは2バイト言語を使用しないとコメントを投稿できないようにする等の局地的な対策しか取れておらず、本体のMovableType側も有効な対策が取れずじまいという事になってるみたいです。

私のサイトでも一晩に数百というSPAMらしいアタックがきていましたが、一応上記に上げた対策を取っていたため、問題にはなりませんでした。
- Re:Googleも万人に便利すぎ (スコア:2, 参考になる)
  
  by Inetpub (20077) on 2004年12月22日 16時50分 (#669208)
  
  Googleは直接セキュリティホールを探すのにも使われます。 [onlamp.com]
  
  しかも直接ターゲットを叩くわけではないので
  詮索した痕跡も残りません。キケン。
  
  シェア
  
  親コメント
- Re:Googleも万人に便利すぎ (スコア:1)
  
  by Elbereth (17793) on 2004年12月22日 18時44分 (#669241)
  
  >現状で日本のサイトでは2バイト言語を使用しないとコメントを
  >投稿できないようにする等の局地的な対策しか取れておらず、
  >本体のMovableType側も有効な対策が取れずじまいという事に
  >なってるみたいです。
  
  ここでつっこむようなことでもないですけど、日本語(とか他の
  2バイト言語)でSPAMしてくる輩が現れたらおしまいなんですね。
  
  コメントのSPAM判定にベイジアンフィルタ使うとか、コメントSPAM
  の兆候を検出したらアクセスを制限するとかしたらええんちゃうかなー
  などと思ったりしますが、何か問題あるんですかね(＜言うだけなら楽)。
  
  シェア
  
  親コメント
  - Re:Googleも万人に便利すぎ (スコア:2, 参考になる)
    
    by wanwan (45) on 2004年12月22日 19時23分 (#669250)
    
    毎回IPを変えてくるので、IPの制限はなんら解決にはならないようです。
    ベイジアンフィルタも実はMTにもあるんですが、これもなかなか・・・・
    
    一番よさそうなのは、ランダムに文字列をTIFFで生成するPLUGでもあると結構役立ちそうなんですが・・・
    
    まぁ、コメント投稿の段階で簡単な質問事項を追加する方法を公開している方 [uwan.net]もいらっしゃいますので、こういった方法がMTに導入されれば一定の効果がありそうです。
    
    シェア
    
    親コメント
    - Re:Googleも万人に便利すぎ (スコア:2, 興味深い)
      
      by tmiura (6268) on 2004年12月23日 16時49分 (#669546) 日記
      
      エログリッドコンピューティング [bulknews.net]
      
      画像に描かれた文字を読ませることによる防壁も破られてゆくようです。
      
      簡単な質問に答えるテストはだいたい同じ手法が使えそうです。
      
      シェア
      
      親コメント
    - スパムとか（オフトピ） (スコア:1)
      
      by kitsune.info (18329) on 2004年12月22日 21時16分 (#669264) ホームページ
      
      画像を動的に生成してワンタイムパスワードにする手法はいろんなところでみかけるようになりました。
      それだけ同種のスパムが多いんでしょう。
      ただ、これをやると視覚障害者へのアクセシビリティが落ちるんだよな。
      
      最近多くなってるタイプのスパムは毎回言い回しを替えてくるやつが出てきているので、ベイジアンフィルタじゃなきゃ防げないでしょうね。
      フィルタを育てる手間が問題だけど。
      
      --
      [わかってもらうことは難しい。わかってあげることは、もっと難しい。]
      
      シェア
      
      親コメント
      - Re:スパムとか（オフトピ） (スコア:1)
        
        by DB-researcher (10541) on 2004年12月22日 22時22分 (#669276) ホームページ日記
        
        スパム対策技術については，この辺りに比較的よくまとめられていました．
        
        Anti-Spam Solutions and Security [securityfocus.com]
        
        Anti-Spam Solutions and Security, Part 2 [securityfocus.com]
        
        画像を動的に生成してワンタイムパスワードにする手法の類似手法で，パスワードを音声で読み上げる方法もあったような気がします．こちらは聴覚障害者だけでなく外国人にも辛いので，善し悪しですが．
        
        --
        _.. ._._._ _... ._._._ ._. ._._._
        物は試しだ。コメントのしきい値を2にしてごらん
        
        シェア
        
        親コメント
      - Re:スパムとか（オフトピ） (スコア:0)
        
        by Anonymous Coward
        
        >これをやると視覚障害者へのアクセシビリティ
        hotmailなんかでは読み上げをしますが、ALT属性に
        「ナンバーは0000です」みたいに出すようにすれば
        視覚障害者の方の使うブラウザならば、完全ではないでしょうが
        まあ我慢してもらえるレベルになるんじゃないかな。
        
        まあ、そういう方が関心を持たないサ
        
        Re:スパムとか（オフトピ） (スコア:0)
        
        by Anonymous Coward
        
        altにテキストで書いちゃうとどうせスクリプトSPAMの餌食になると思うんですけど...
        ってゆうかそのために画像にしてるんじゃ?
        
        ネタにマジレス、か...
2ch ブラウザがつかえたらなぁ (スコア:1)

by Livingdead (18685) on 2004年12月22日 16時32分 (#669200) ホームページ日記

phpBB ですか、海外のサイトでは良くフォーラムを作るのに使われているみたいですね。読み書きに 2ch ブラウザがつかえたら、便利なんだけどな。まぁ phpBB は専用ブラウザを使わなくても見やすいのでいいのかもしれませんが、各種 2ch ブラウザの巡回機能が使えたら便利かも、とか思った。

「MOD Name: RSS Content Syndicator」なんてのがあるようだから、巡回は RSS リーダでやればいいのかな。

--
屍体メモ [windy.cx]
恥ずかしながら、 (スコア:1)

by hifun (21883) on 2004年12月22日 17時38分 (#669224) 日記

phpBBをこの件で初めて知りました。
結構、メジャー、なんでしょうか.... ?　phpBB。
- 例えば@IT (スコア:1)
  
  by seoth (17664) on 2004年12月22日 18時18分 (#669233)
  
  @ITの会議室 [atmarkit.co.jp]が使ってるので今回のニュースには驚きました。
  1.4.2は大丈夫なのかな？
  
  シェア
  
  親コメント
- Re:恥ずかしながら、 (スコア:1)
  
  by Elbereth (17793) on 2004年12月22日 18時26分 (#669239)
  
  「phpBB」で(日本語のページで)ぐぐると1,210,000件ヒットする [google.co.jp]
  (2004年12月22日現在)くらいには有名なようです。
  
  シェア
  
  親コメント
  - Re:恥ずかしながら、 (スコア:1)
    
    by hifun (21883) on 2004年12月22日 19時35分 (#669251) 日記
    
    resどうもです。
    「tDiary」で(日本語のページで)ぐぐると724,000件ヒットし、 [google.com]
    「slashdot」で(日本語のページで)ぐぐると374,000件ヒットし、 [google.com]
    
    あ、スラド負けてる。
    
    シェア
    
    親コメント
    - Re:恥ずかしながら、 (スコア:0)
      
      by Anonymous Coward
      
      スラドがそのへんの個人サイトに導入されてたら困るだろ
      - Re:恥ずかしながら、 (スコア:0)
        
        by Anonymous Coward
        
        。。。仰せのとおり。
        ただのリアクションなのでACで。 hifunでした。
    - Re:恥ずかしながら、 (スコア:0)
      
      by Anonymous Coward
      
      検索するならslashcodeじゃ?
Perl?? (スコア:0)

by Anonymous Coward on 2004年12月22日 17時05分 (#669212)

PHPじゃないの？
- Re:Perl?? (スコア:2, 参考になる)
  
  by ex (1307) on 2004年12月22日 17時20分 (#669216) ホームページ日記
  
  別にphpBBの穴を突くWorm本体がPHPでなければならない、訳じゃないですね。
  タレこみにも書きましたが、F-SecureのWeblog [f-secure.com]の、
  
  More on the new phpBB forum worm
  Posted by Mikko @ 15:46 GMT
  
  の項目を読むと、
  
  ＞This worm is written in Perl.
  
  と書いてます。実際に私はそのスクリプトを入手して検証したわけじゃないので本当に何で書かれてるのかはしりませんが、まぁ、別に疑うほどの事でもなさそうです。この部分の記述に関して言えば。
  
  シェア
  
  親コメント
  - Re:Perl?? (スコア:3, 参考になる)
    
    by tyuu (9154) on 2004年12月22日 18時34分 (#669240) ホームページ日記
    
    perl [k-otik.com] のようですね。
    # 試したわけじゃないけどね。
    
    というか、なんか
    色々公開 [k-otik.com]されているな。
    
    この辺りを組み合せると放置されている OS(Linux/Window) は
    www(apache/IIS) 経由で root(administrator) まで簡単に取れますね。
    
    シェア
    
    親コメント
    - Re:Perl?? (スコア:0)
      
      by Anonymous Coward
      
      初めてワームのコード見ました。
      
      意外に読みやすいコードでびっくり。もっとギチギチに詰めてファイルサイズを小さくした、読みづらいコードだろうと思ってました。
      ファイルサイズ小さい方が感染が見つかりにくいってのは過去の話なのかなあ。
      ＃ウイルスとワームの違い、って説明もつきそうだけど。
      - Re:Perl?? (スコア:1)
        
        by tyuu (9154) on 2004年12月22日 19時40分 (#669252) ホームページ日記
        
        > ファイルサイズ小さい方が感染が見つかりにくいってのは過去の話なのかなあ。
        
        程度の問題だと思います。
        数 TB の HD が個人で購入できる時代です。
        1MB ぐらいまでは、小さいファイルじゃないでしょうか。
        
        それにコードが読み易いのは当然で、
        これを作(れ)るのは、腕の良い人でしょうから、綺麗に書くかと。
        
        でも hacker != cracker [tohoku.ac.jp] は、理解してないとね。
        どんなに強力でも cracker は尊敬されない。
        
        シェア
        
        親コメント
        
        Re:Perl?? (スコア:0)
        
        by sakuya-m (14007)
        
        ＞数 TB の HD が個人で購入できる時代です。
        TBはしんどいです・・・ [apple.com]
        
        --
        ---にょろ～ん
        
        Re:Perl?? (スコア:0)
        
        by Anonymous Coward
        
        あえて太字なあたり、「GBの間違いだろ」と言いたげですが、
        「購入できる」なので間違いではないでそ。いまどき数GBなわけないし。
        書くほどの内容じゃないし↑の人でもないけど何となく。
        
        Re:Perl?? (スコア:0)
        
        by Anonymous Coward
        
        買いかぶりってモデ初めて見た
        
        # それだけなのでAC
        
        Re:Perl?? (スコア:1)
        
        by tyuu (9154) on 2004年12月23日 19時18分 (#669596) ホームページ日記
        
        1.6TB (\280,000) [iodata.jp]です。
        昔 20MB の SACI とかこのぐらいの値段だったよな (T^T)
        
        シェア
        
        親コメント
感染例 (スコア:0)

by Anonymous Coward on 2004年12月22日 18時24分 (#669235)

Googleで「This site is defaced」で検索する [google.com]と結構な数がありますねえ。
- Re:感染例 (スコア:1)
  
  by LSD (18955) on 2004年12月22日 19時52分 (#669253)
  
  ニュースとして扱っているサイトが相当数有るので
  感染の実数とは結構違うみたいです。
  
  シェア
  
  親コメント
  - Re:感染例 (スコア:0)
    
    by Anonymous Coward
    
    え、ニュースとして扱ってるサイトってそんなにあるんですか？
    ぱっと見では実際に感染したサイトの方が断然多そうですが。
対応開始 (スコア:0)

by Anonymous Coward on 2004年12月22日 18時45分 (#669242)

米Google，「Santy」ワームが“標的”を探せないようにフィルタリングを開始 [nikkeibp.co.jp]

記事だけなのでえーしー。
もじふぉがエロサイトに変わったのもこれが原因？ (スコア:0)

by Anonymous Coward on 2004年12月23日 0時51分 (#669333)

もじふぉ [skillup.jp]もphpBBですね。
中国人にハッキングされて卑猥なサイトに変えられていましたけど、これが原因なんですかね。
- Re:もじふぉがエロサイトに変わったのもこれが原因？ (スコア:2, 参考になる)
  
  by Elbereth (17793) on 2004年12月23日 9時09分 (#669403)
  
  もじふぉも同じセキュリティホールが原因ですが、それは今回のネタの
  ワームによるものではないですね。
  
  シェア
  
  親コメント
  - Re:もじふぉがエロサイトに変わったのもこれが原因？ (スコア:2, 参考になる)
    
    by Elbereth (17793) on 2004年12月23日 15時27分 (#669526)
    
    とまぁ、そうじゃないですよってだけだと不親切っちゃ不親切なんで
    (でも参考になるモデもらっちゃったなぁ)
    一応もじふぉのこの件に関するトピック [skillup.jp]をば。
    
    #もじふぉ見ればすぐ見つかるので、あえて書かなかったし
    #(とか言い訳)、聞く前にこれぐらい調べろよとか思いますけど。
    #ぐぐるまでもない話ですし。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Googleで検索してphpBBを狙うSantyワーム More ログイン

Googleも万人に便利すぎ (スコア:2, 興味深い)

Re:Googleも万人に便利すぎ (スコア:2, 参考になる)

Re:Googleも万人に便利すぎ (スコア:1)

Re:Googleも万人に便利すぎ (スコア:2, 参考になる)

Re:Googleも万人に便利すぎ (スコア:2, 興味深い)

スパムとか（オフトピ） (スコア:1)

Re:スパムとか（オフトピ） (スコア:1)

Re:スパムとか（オフトピ） (スコア:0)

Re:スパムとか（オフトピ） (スコア:0)

2ch ブラウザがつかえたらなぁ (スコア:1)

恥ずかしながら、 (スコア:1)

例えば@IT (スコア:1)

Re:恥ずかしながら、 (スコア:1)

Re:恥ずかしながら、 (スコア:1)

Re:恥ずかしながら、 (スコア:0)

Re:恥ずかしながら、 (スコア:0)

Re:恥ずかしながら、 (スコア:0)

Perl?? (スコア:0)

Re:Perl?? (スコア:2, 参考になる)

Re:Perl?? (スコア:3, 参考になる)

Re:Perl?? (スコア:0)

Re:Perl?? (スコア:1)

Re:Perl?? (スコア:0)

Re:Perl?? (スコア:0)

Re:Perl?? (スコア:0)

Re:Perl?? (スコア:1)

感染例 (スコア:0)

Re:感染例 (スコア:1)

Re:感染例 (スコア:0)

対応開始 (スコア:0)

もじふぉがエロサイトに変わったのもこれが原因？ (スコア:0)

Re:もじふぉがエロサイトに変わったのもこれが原因？ (スコア:2, 参考になる)

Re:もじふぉがエロサイトに変わったのもこれが原因？ (スコア:2, 参考になる)