パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Gumblarウイルスの被害広まる、Yahoo! Japanでも改ざん発覚 」記事へのコメント

  • by Anonymous Coward on 2010年01月13日 18時03分 (#1702230)

    Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
    感染してるかどうかどうやったら分かるんでしょう?

    • Re:確認方法は? (スコア:2, 参考になる)

      by Rodin (28411) on 2010年01月14日 7時40分 (#1702450)

      (1) 導入済のセキュリティソフトで検査。
      (2) 他社のオンラインスキャンで検査。
      (3) (1)(2)で駆除できない怪しいファイルが見つかったらVirus Total [virustotal.com]で検査。
      (4) (3)で検出した他社メーカーが無料版・体験版(駆除機能付)を提供していたら、それで駆除を試みる。
      (5) (1)のメーカーが信用できなければ乗換を検討。

      セキュリティソフトメーカーの真価が試されています。

      --
      匠気だけでは商機なく、正気なだけでは勝機なし。
      親コメント
      • by Anonymous Coward

        エフセキュアブログ : 間違いだらけのGumblar対策 [f-secure.jp]
        > Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
        > A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウンロードされてないのですから検知しないのは当然です。)しかし、Webページには変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソフトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者としては変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になっています。

    • それに付随して、
      当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
      確認する方法って……言及しているトコロがないんですよ。

      個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。

      /.Jのアニキの皆さま、ご存じありませんでしょうか?

      ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
      PC側のウイルスチェッカーでスキャンしました。
      一応驚異の検出は0件だったけどそれだけでOKなのだろうか?

      ちなみにファイル転送にはずーっとWinSCPを使っています。
      サーバのOSはlinuxです。
      --
      ---- ばくさん!@一応IT土方
      親コメント
      • > 驚異の検出は0件

        大自然の驚異っつーか (^^)

        --
        みんつ
        親コメント
      • by TIO (10391) on 2010年01月14日 13時51分 (#1702677)
         PCに関する対策や感染した結果についての情報はたくさんありますが、Gumblarによってコンテンツファイルを書き換えられた確認手段は見つかりませんでした。
         Gumblarの亜種によって追加されるJavaScriptの記述が異なるため、容易な検出の方法がないということだと思います。

         私が調べた限りですが、ウェブサーバ上に存在するバイナリ以外のファイルのリストを作成し、Gumblarが記述するJavaScriptにある、'function'、'eval'、'unescape'が1行に存在するファイルを検索して見つけ出しました。
         具体的には、

         $ find "ウェブコンテンツファイルへのパス" -type f -iname '*.html' -o -iname '*.htm' -o -iname '*.php' |xargs grep 'unescape' |grep 'eval'|grep 'replace'

         といったようなコマンドを実行しました。この手法で私は顧客に提供しているサーバを調査したのですが、2つほど発見することが出来ています。
         もちろん、この方法では、Gumblar以外のJavaScriptもかかりますので、検索結果で得たファイルを目視する作業が発生します。
         #特に".js"を対象とすると、確認が大変です。Xoops関連のjsは多く誤検知します。

         上記で発見したGumblarウィルスによって書き換えれらたファイルに関するFTPログをみた所、海外のIPアドレスでFTPログインし、[index.html]などのファイルをダウンロードし、すぐにアップロードし直すという挙動が見られました。
         このため、[xferlog]から、同一のファイルに対して、ダウンロード、直後にアップロードしているパターンを見つけ、対応しております。

         Gumblarウィルスによって書き換えれらたファイルを発見出来たとはいえ、この手法の有効度も不透明で、不安はあります。
         自分で管理しているサーバ、内容を把握しているウェブサイトであれば、FTPログインをIPアドレスで制限するとか、そもそもFTPを空けないとかもっと簡単な方法があるかと思います。

         他の皆様は、特に自分で好きなように出来ない顧客のサーバを運用されている方は、どう対処されているのか気になります。
        親コメント
      • by Anonymous Coward

        私も知りたいです、サーバのコンテンツのチェック法。
        こんなのはどうでしょう?
        もっと権威あるチェックサービスが見つかるといいのですが。
        特に三番目のunmaskparasitesは信頼できるのか?

        「Gumblar(ガンブラー)ウイルス」による企業ウェブサイトの改ざん被害が拡大セキュアブレイン が『gred セキュリティサービス』の無償トライアルによるウェブサイト検査を呼びかけ [securebrain.co.jp]

        あな [me.land.to]

      • by Anonymous Coward
        ガンブラー型はデータでなくWebページのソースコードを改ざんするので、単純に意図しない
        ソースコードの変更が行なわれていないか定期的に確認すればいいのでは?
        fcなりdiffなりで手元とサーバ上のファイルを比較すれば一発だと思いますが。
        (企業向けにそういう製品もありますね)
    • by denchu (6847) on 2010年01月14日 0時02分 (#1702376)

      感染してるかどうかどうやったら分かるんでしょう?

      亜種が多すぎて、感染しているかどうかの確認が難しい気がします。
      msconfig 等で起動時に走っているプログラムを調べるのがいいのかな?
      とは思っていますが、これも完璧じゃないですし。

      親コメント
      • by Anonymous Coward
        「*GNU GPL*/」もしくは「/*LGPL*/」なる文字列が含まれるそうなので、DocumentRootとUserDirの中でこの文字列を一斉に検索してみるというのはどうでしょう?
    • by Anonymous Coward
      >どうやったら分かるんでしょう?
      考えて調べれば判ると思います。
      • by Anonymous Coward

        いやそれが、亜種いっぱいで情報が錯綜しているので簡単には判らないのも問題です。
        もし判ったんだったら、その良いサイトを教えてもらえると流行終熄に役立つと思います。

        • by Anonymous Coward

          ちょっとググってみました。
          ここ [hatena.ne.jp]とかどうでしょう?

          • by Anonymous Coward

            おいおいちゃんと調べたのかよこれ
            ぜんぜん的をはずしてるじゃん

            これじゃ怪しいサイトは見ない様にしましょうと同じで対策にならない

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...