Linux+ApacheのWebサーバを標的とするルートキット 68
ストーリー by morihide
rootパスワードは大切に 部門より
rootパスワードは大切に 部門より
Open Tech Pressより。
セキュリティ調査会社のFinjanが今月14日に出したプレスリリースによると、Linux+Apacheをプラットフォームとする一群のWebサーバが、Windowsを標的とするJavaScript型のマルウェアをまき散らしているという。問題のWebサーバにはある種のルートキットが仕込まれているものと思われるが、感染経路が不明で、Apache Software Foundationのセキュリティ対策チームに属するMark Cox氏は「現状で攻撃者側がサーバ群のルートアクセスを得た方法の詳細はつかみ切れていませんが、同時にApache HTTP Serverに潜む脆弱性に起因していることを示す証拠も得られていません」とのコメントを寄せている。どうやら、犯人はパスワードクラッキングでroot権限を奪取したのではないかというのが記事の論調である。
ちなみに、件のルートキットに感染すると数字で始まる名前のディレクトリが作成できなくなるという。また、以下のtcpdumpコマンドでも感染していないかどうかをチェックできるそうだ。
tcpdump -nAs 2048 src port 80 | grep "[a-zA-Z]\{5\}\.js'"
感染確認 (スコア:5, 参考になる)
感染していないかどうかは「mkdir 1」をやってみる事で調べた方が良いと思います。
もっとも、「数字で始まる名前のディレクトリが作れない」というバグが修正されたrootkitが登場していたらわかりませんけど。
Re:感染確認 (スコア:1)
そんなことやられちゃう状況なら、もう何をされててもおかしくないですね。極端な話、違うOSで再起動されたりとか。
認識を改めるべき (スコア:2, 参考になる)
すぐに思いつくのはクレジットカード番号など即お金に
つながりそうなものですが、今ではある種の backdoor
を仕掛けられた Unix マシンや bot 化した Windows マ
シンのアドレスなども取引の対象になっています(ソー
スは海外のニュース)。なので
> 極端な話、違うOSで再起動
のように仕掛けられたことが発覚するような事は絶対に
しません。
rootkit の実際についてはrootkit の紹介と対処法 [hawkeye.ac]
がわかり易いかも。
Re:感染確認 (スコア:1)
rootkit により数字ディレクトリが見えなくなるのでは?
改竄サイト増加中 (スコア:5, 興味深い)
最近多いのがLinux+Apacheで運用しているサイトの改竄です。
普通の企業やオンラインショップサイトで、妙なJavaScriptが
埋め込まれていたりします。
ソースを見ると、document write('3A5142524950443E77696E646F....
というような16進数で表されたアスキーコードが書いてあり、一見しては
何なのか分かりませんが、アンチウイルスソフトは検知してくれます。
普通のテキストに直してみると、iframeで中国やロシアからTrojanを
ダウンロードさせるサイトへジャンプさせるスクリプトでした。
アンチウイルスを使っていれば閲覧時に検知するので気づくはずですが、
放置しているサイトの管理者が多すぎますね。
ここからは想像ですが、アンチウイルスも使っておらず、WindowsやIEや
QuickTimeの脆弱性も修正していないサイトの管理者が、このような改竄
サイトを閲覧してトロイの木馬型スパイウェアに感染。
そしてサーバのIPアドレスやログイン情報を盗み出されて、それを利用して
自分のサイトにも侵入され、ソースに不正スクリプトを埋め込まれる
のではないかと。
犯人は中国国内を中心に活動している模様。
スパイウェアで情報を集めるサーバが長期間動作したままなのですが、
中国政府が放置しているだけなのか、それとも…。
Re:改竄サイト増加中 (スコア:1, すばらしい洞察)
Re: (スコア:0)
Re: (スコア:0, フレームのもと)
>最近多いのがLinux+Apacheで運用しているサイトの改竄です。
本当に最近多いんですか?
最近というのはどれくらいの期間を指していますか?
最近といいつつLinux+Apacheのサイトの侵入・改竄は昔から多いんじゃないんですか?
侵入・改竄を受けたサイトの比率がWindows+IISと比較して多いんですか?
もしくは多くなってきているんですか?
比較問題レベルではWindows+IISは大丈夫なんですか?
Re: (スコア:0)
Re: (スコア:0, 余計なもの)
Windows+IISはどうなのかってのは蛇足だったかも。
とりあえずあとは、
Linux+Apacheの構成のサイトの数の増加率と、その中で
侵入・改竄されていたサイトの増加率がほぼ同じなのかそうでないのか
という点が分からないことには何ともいいようがない話ですね。
Re:改竄サイト増加中 (スコア:1, 参考になる)
これは、明らかに改竄などの攻撃被害数が多いのがWindowsサーバではなく
Linuxだという情報をどちらかで見かけたんですかね?
だから撤回したんでしょうか。
> とりあえずあとは、
> Linux+Apacheの構成のサイトの数の増加率と、その中で
> 侵入・改竄されていたサイトの増加率がほぼ同じなのかそうでないのか
> という点が分からないことには何ともいいようがない話ですね。
とりあえず、
http://www.zone-h.org/ [zone-h.org]
とか参考になるでしょう。
現在は被害サーバの65%がLinuxサーバですね。
これは先週分の統計しか見れませんが、私の記憶では1,2年前は、
Windows/IIS のシェアが30%くらいなのに被害数が50%くらいだったと思います。
ですから昔はWindowsサーバの被害率は高かったわけです。
しかし、最近はWindows/IISのシェアも伸びているので、シェアを落としている
Linuxサーバの被害数が65%に増えていることを考えれば、サーバとしては
LinuxはWindowsよりも狙われていて、危険であると言えると思います。
最近増えているというのは、私の管理しているネットワークからのアクセスで
検出された改ざんサイトの増加ぶりによるものです。
昨年末ごろから多くなっています。
同じような仕事をしている人なら気が付いていると思いますが。
被害が増えているという現実を受け入れたくないために、いろいろ面倒な
具体的数字を要求して目を背けるのは勝手ですが、セキュリティに
無頓着な管理者を増産させるのはやめてほしい。
Re:改竄サイト増加中 (スコア:1)
> Linuxだという情報をどちらかで見かけたんですかね?
> だから撤回したんでしょうか。
いや、Linux+Apacheが脆弱でやられてるよって話してるのに
Windows+IISはどうかってのは直接は関係ない話だから
ここで話題にしても意味ないかと思いまして。それだけで他意はないです。
関係ないものを持ち出して話をずらすのは詭弁云々という話もありますので。
>被害が増えているという現実を受け入れたくないために、いろいろ面倒な
>具体的数字を要求して目を背けるのは勝手ですが、セキュリティに
>無頓着な管理者を増産させるのはやめてほしい。
現実がどうかはともかくとして、身元不明者が具体的な数字を出さないで
断言すると、うさんくさく思えるものですよ。
まぁそれを言うなら私もID取ってるだけで身元不明ですが、
私はなるべく根拠となるソースを示すようにしています。
ソースは絶対的に信用できるものとも限らないのでこれまた吟味しないと
いけないんですけどね。根拠レスの妄想と取られるよりソース示した方がいい。
まぁ、根拠レスに見える発言にいちいちかみつく私もいかがなものかと
思われているんでしょうけども。ネタ発言とツッコミは芸風なので。
で、とりあえず最近のWebサーバーのシェアについての記事をぐぐってみたら
以下のものが出てきました。
IISのシェア拡大が加速、首位Apacheとの差は10% - Webサーバ活動状況 [mycom.co.jp]
1年3ヶ月前のスラドのストーリーで 米シェア調査でIIS 6がApacheを追い抜く [srad.jp]ってのもありました。
まぁ、調査の細かい部分の数字は測定方法がアレだとか、そもそもNetCraftは
昔MSから資金提供を受けて提灯記事な調査結果を出していたから
あまり信用できないんじゃないのとかWindows+Apacheというケースもあるよなとか
あるけどそれはそれとして、傾向としては確かにWindows+IISのがシェアが伸びていて
Linux+Apacheはシェアが落ちているっぽい、そして攻撃されるのもLinux+Apacheが
多くなっているみたい、と。はい、それは了解しました。
ただ、今多くなっているLinux+Apacheへの侵入のうち、今回報じられたrootkitなどに
よるものがどれくらいあるのか正確な数字は不明ですが、ニュースになるくらいだから
相当数が含まれていると推測します。あくまで推測だけど。
で。元発言の
>「Linux+Apacheは、Windows+IISより安全」という意識が強いのか、
>最近多いのがLinux+Apacheで運用しているサイトの改竄です。
というのは、ちょっと違うのではないかと。
結局のところ、今回話になっている新手の?攻撃が最近活発になっているので
Linux+Apacheでやられているところが増えているということは確かですが
「Linux+Apacheは、Windows+IISより安全」という意識が強いかどうかは
別問題そうですね。少なくとも現時点ではその2点に相関関係は
発見されていない。
確かにそう思っているだけで何もしていなかったり逆にセキュリティを
弱めるようなことをしている管理者はいるでしょうし、
無能な管理者を嫌うのは理解できます。またそんな管理者が増えるような
風潮をかもし出すのもよくないでしょう。
しかし私はそんなことはしていないですね。
Re:改竄サイト増加中 (スコア:1)
(原因が特定されていないから)別として、Linux+Apacheを侵入しやすい
ものにしている原因で大きいのは、あえて言うとL+Aという組み合わせ
(を使用するダメ管理者)ではなく、その先のLAMPという構成のうちの
P、すなわちPHPとそれを利用する初心者の存在じゃないかなー
#PerlとかPythonではないと思いたい
……などと書くとフレームの元かな。
あくまでPHPとそのユーザーについてそう言われることが多いような
気がするという印象レベルの話でしかないですが。
1/26のMatz日記 [rubyist.net]を読んでいてふとそう思った。
タイトルとタレコミ本文が… (スコア:4, すばらしい洞察)
リンク先などを読むと、「Linux+ApacheのWebサーバがクラックされ、Windowsを標的とするマルウェアを配布するように書き換えられた」という理解でよいのでしょうか?
だとすると、「ルートキット」が標的としているのはWindowsなのでは?と思ったのですが、私が誤解しているのでしょうか?
どなたか解説いただけると助かります。
Re:タイトルとタレコミ本文が… (スコア:5, 参考になる)
> 「ルートキット」が標的としているのはWindowsなのでは?
「攻撃者の」最終的な標的はWindowsクライアントですね。
ただ、ルートキットが組み込まれるのはあくまでも(ぜい弱な?)Linux+Apacheサーバなので、
注意しなければならないのは一次標的であるLinuxサーバの管理者、ということになります。
難しいところですが、タイトルの付け方としては妥当なのではないでしょうか。
Re: (スコア:0)
*BSD+Apacheなサイトは安心してよろしいんでしょうか?
Re:タイトルとタレコミ本文が… (スコア:2, すばらしい洞察)
一般論ですが、リンク先の記事 [opentechpress.jp]を読んだうえで…
・「ウチは*BSD+Apacheなサイトだから安心だ!」と考える→管理者として危険
・「ウチは*BSD+Apacheなサイトだけど危険かも」と考える→管理者として安心
という判断でよろしいのではないでしょうか :) 。
Re:タイトルとタレコミ本文が… (スコア:3, 参考になる)
揚げ足取りの書き込みかと思ってつれなくしちゃった。素直じゃなくてごめんなさい。
以下、「しらない、わからない」と言うのが悔しいので :) 書いてみます。
当該記事からのリンク先 [servertune.com]の説明だと、このRootkitは/sbin/ifconfigなどのバイナリを
ひそかに置き換えることで、カーネルがJavaScript型マルウェアを自動生成するように仕組むものなので、
*BSD+ApacheなサイトがそのままこのRootkitを仕込まれることはないと思います。
(*BSD対応のRootkit亜種が開発できるのかどうかまではわかりません)
また、謎とされている侵入方法ですが、こちらの記事 [servertune.com]によれば、感染しているサーバの
多くが1つのデータセンターに集中しているため、個々のサーバに対するブルートフォース攻撃などではなく、
データセンターのrootパスワードデータベース(?)から大量のパスワードが盗まれたのではないか、と分析されています。
(これはOTPの記事にも書いてありますね)
今北一行 (スコア:2, おもしろおかしい)
Re:今北一行 (スコア:4, おもしろおかしい)
Re: (スコア:0)
言及の対象が「マルウェア」から「ルートキット」にすげ替えられてますし、open tech pressの日本語記事を読む限り、そのrootkitがapacheを対象しているのかLinuxサーバ一般が対象なのか未確定なのにWebサーバを標的、とするのもどうかと思います。表現が下手か、わざとなら悪質なミスリードでしょうね。
元タイトルの情報を入れた上で書き換えるなら、「Apacheからマルウェアを送信する、Linuxサーバを標的としたルートキット」あたりでしょうか。rootkit自身がマルウェアを送信しているか不明なので、これでも不正確ですけど。
Re: (スコア:0)
> と思ったのですが、私が誤解しているのでしょうか?
?
リンク先を読むと、ルートキットが標的としているのはLinux+Apache環境で、
Windowsへの攻撃に使う踏み台にしているというようにしか読めない文が
書いてありましたが、なぜこのような誤解確認のコメントが「すばらしい洞察」
として次々とプラスモデレートされていくのか不思議です。
どなたか解説いただけると助かります。
今回の場合、ルートキットの標的はLinuxサーバです。
ルートキットとは、そのシステムに侵入し、存在を隠したり、管理者権限を
奪取したりするツールのことですよね。
その結果得たリソースを使って悪者がWindowsへのマルウェアばらまきを
しているという話です。
ルートキットの目的は、Linuxサーバの管理者から隠匿することですよ。
大変だ! (スコア:3, おもしろおかしい)
やってみた。
not foundって事は、トロイは見つからなかったって事ですね!
ってのは冗談として、結果がどうなったらダメで、どうだったら安心なの?
Re:大変だ! (スコア:1, 興味深い)
Re:大変だ! (スコア:1, おもしろおかしい)
「返事を書く」ってリンクをクリックしたら、うちでも再現しました。
Re: (スコア:0)
「パケットが飛んでなかったら安心」ってことでしょう。
上でも言及されてますが、まずは(ルートキットが更新されていない限り)
mkdir 1 をした方が手っ取り早そうです。
Re: (スコア:0)
Re: (スコア:0)
オプションについて (スコア:1, 参考になる)
存在するようですので、それ以前のバージョンをお使いの方は
オプションエラーが発生します。
ちなみにChangeLogには、
New -A flag -print ascii only
とありますので、無くても問題無いオプションかと思います。
Re:rootにパスワード (スコア:4, おもしろおかしい)
えーっと、我が社では
担当者が退社したためrootでログインできないマシンが大量にありますが・・・
# とか。
Re:rootにパスワード (スコア:2, おもしろおかしい)
Re:rootにパスワード (スコア:1)
透さんもだめなのですね.
Re: (スコア:0)
Re:rootにパスワード (スコア:1)
Re:rootにパスワード (スコア:1)
Re:rootにパスワード (スコア:1)
なぜ、Ubuntuでrootのパスワードを設定すべきなのか?
rootのパスワードを設定すべきなら、どうしてUbuntuはそうなって無いのか?
って所がよく分かりません。
singleでの起動を安全にするため (スコア:2, 参考になる)
1)一般ユーザは LDAP で管理している.
サーバこけたらみなこけた,というのは嫌.
とはいえこれは「管理者用の」一般ユーザを作ったり,
LDAP認証する uid の範囲を調整すればいいだけ.
2)root にパスワードを設定しないと,シングルユーザモードで
起動したときにパスワードの入力を求められることなく
root 権限でシェルが使えてしまう.
知らない人がコンソールに近づくことができる環境だと困る.
というわけで,主に2の理由によって root にもパスワードを設定
しています.ブートローダのレベルでそもそもシングルユーザモード
での起動ができないようにしてしまうという手もありますけど.
屍体メモ [windy.cx]
Re: (スコア:0)
なぜ、WindowsでAdmisntratorのパスワードを設定すべきなのか?
Adminstratorのパスワードを設定すべきなら、どうしてWindowsはそうなって無いのか?
って所がよく分かりません。
と同レベルです。ただ、rootパスワードに"root"というパスワードを設定するよりは、設定しない方がマシな気はする。
Re:rootにパスワード (スコア:1)
Ubuntuじゃrootにパスワード設定しようがすまいが
rootそのものではログイン出来ないんじゃなかった?
# 文字通り「触ったことがある」程度しかない俺が言うのもなんだけど。
Re: (スコア:0, 荒らし)
一般ユーザ≠root (スコア:1)
そんなバカな.
もしそうなら Linux を使っている普通のユーザは
root 権限持ってるも同然ということになるのでは?
パスワードクラックなら所詮その一般ユーザが
普通にログインしている状態と変わらない.
もし何らかのバックドアから入ってきているのであれば
確かに同様の穴がほかにもあって root 権限まで奪取されているかもしれない.
屍体メモ [windy.cx]
Re: (スコア:0)
MAC導入とか別権限でブラウザ等を実行してなきゃローカルログインは可能な訳だから。
# sccot/tigerみたいなもんだ。
Re:rootにパスワード (スコア:1)
普段使ってるユーザーで入られちゃったら、rootにならなくても大抵の事は出来る。
Re: (スコア:0)
パスワード取られたら root 取られたのと同じことなような。
実際には、sshd の permit root login はオフにされている場合が
多いだろうから、root のパスワードを取るというよりは管理者の
一般ユーザーアカウントのパスワードを取る、ということなんじゃ
ないかなぁ。
Re:rootにパスワード (スコア:1, 参考になる)
初期状態ではrootにはパスワードは設定されてないし、rootでのログインも出来ない。特定の一般ユーザ(通常は最初に作ったユーザ)に「必要な時に管理者権限を行使する権利」が与えられている。管理者権限が必要な処理を実行しようとしたら、その都度パスワードを求めてくる。(入力するパスワードはそのユーザのもの)
rootにパスワードを設定したり、ログイン出来るようにすることも可能だけど、普通に使っている分にはその必要はない。10.0の頃はrootでログインしたりもしてたけど、10.1以降はrootでログインしたことない。ターミナルでもsudoコマンドで十分だし。
#10.3.9使ってるので、10.4や10.5でどうなってるのか知らんけど、基本は同じだろう。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
そもそもログインの概念すら無かったですけど。