パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Gumblarウイルスの被害広まる、Yahoo! Japanでも改ざん発覚 」記事へのコメント

  • by Anonymous Coward

    Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
    感染してるかどうかどうやったら分かるんでしょう?

    • それに付随して、
      当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
      確認する方法って……言及しているトコロがないんですよ。

      個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。

      /.Jのアニキの皆さま、ご存じありませんでしょうか?

      ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
      PC側のウイルスチェッカーでスキャンしました。
      一応驚異の検出は0件だったけどそれだけでOKなのだろうか?

      ちなみにファイル転送にはずーっとWinSCPを使っています。
      サーバのOSはlinuxです。
      --
      ---- ばくさん!@一応IT土方
      親コメント
      • > 驚異の検出は0件

        大自然の驚異っつーか (^^)

        --
        みんつ
        親コメント
      • by TIO (10391) on 2010年01月14日 13時51分 (#1702677)
         PCに関する対策や感染した結果についての情報はたくさんありますが、Gumblarによってコンテンツファイルを書き換えられた確認手段は見つかりませんでした。
         Gumblarの亜種によって追加されるJavaScriptの記述が異なるため、容易な検出の方法がないということだと思います。

         私が調べた限りですが、ウェブサーバ上に存在するバイナリ以外のファイルのリストを作成し、Gumblarが記述するJavaScriptにある、'function'、'eval'、'unescape'が1行に存在するファイルを検索して見つけ出しました。
         具体的には、

         $ find "ウェブコンテンツファイルへのパス" -type f -iname '*.html' -o -iname '*.htm' -o -iname '*.php' |xargs grep 'unescape' |grep 'eval'|grep 'replace'

         といったようなコマンドを実行しました。この手法で私は顧客に提供しているサーバを調査したのですが、2つほど発見することが出来ています。
         もちろん、この方法では、Gumblar以外のJavaScriptもかかりますので、検索結果で得たファイルを目視する作業が発生します。
         #特に".js"を対象とすると、確認が大変です。Xoops関連のjsは多く誤検知します。

         上記で発見したGumblarウィルスによって書き換えれらたファイルに関するFTPログをみた所、海外のIPアドレスでFTPログインし、[index.html]などのファイルをダウンロードし、すぐにアップロードし直すという挙動が見られました。
         このため、[xferlog]から、同一のファイルに対して、ダウンロード、直後にアップロードしているパターンを見つけ、対応しております。

         Gumblarウィルスによって書き換えれらたファイルを発見出来たとはいえ、この手法の有効度も不透明で、不安はあります。
         自分で管理しているサーバ、内容を把握しているウェブサイトであれば、FTPログインをIPアドレスで制限するとか、そもそもFTPを空けないとかもっと簡単な方法があるかと思います。

         他の皆様は、特に自分で好きなように出来ない顧客のサーバを運用されている方は、どう対処されているのか気になります。
        親コメント
      • by Anonymous Coward

        私も知りたいです、サーバのコンテンツのチェック法。
        こんなのはどうでしょう?
        もっと権威あるチェックサービスが見つかるといいのですが。
        特に三番目のunmaskparasitesは信頼できるのか?

        「Gumblar(ガンブラー)ウイルス」による企業ウェブサイトの改ざん被害が拡大セキュアブレイン が『gred セキュリティサービス』の無償トライアルによるウェブサイト検査を呼びかけ [securebrain.co.jp]

        あな [me.land.to]

      • by Anonymous Coward
        ガンブラー型はデータでなくWebページのソースコードを改ざんするので、単純に意図しない
        ソースコードの変更が行なわれていないか定期的に確認すればいいのでは?
        fcなりdiffなりで手元とサーバ上のファイルを比較すれば一発だと思いますが。
        (企業向けにそういう製品もありますね)

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...