Web サーバの Gumblar ウィルスチェック

Posted by
ぴろり
Posted at
2010/01/16 17:46
Trackbacks
関連記事 (1)
Post Comment
コメントできます
Category
電算室 カテゴリ

 最近、あちこちで猛威を振るっている Gumblar(Gumbler) ウィルス。このサイトも感染していないかチェックしてみました。シェルコマンドで怪しいソースコードが紛れ混んでいないか調べるだけの手抜き版ですが、とりあえず今のところは大丈夫そうです。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  

 Gumbler ウィルスのブートストラップ(起動処理)は JavaScript で書かれていています。この手のウィルスのソースコードは unescape などで難読化されていて、最終的に eval で発火させるパターンが一般的です。Gumblar ウィルスには既にさまざまな亜種が出回っているようですが、動作的にはほぼ同じパターンのようです。
 というわけで、簡単なシェルコマンドを使って、管理しているウェブサイトが Gumbler ウィルスに感染していないか簡易的に確認することができます。

grep -r 'unescape' ./* | grep 'eval'
grep -r 'replace' ./* | grep 'eval'

 上記ではウェブサイトが「今のところ」感染していないことが確認できるだけです。もし貴方の他にも FTP アカウントを持っている人間がいて、その人が Gumbler ウィルスに感染してしまうと、今後、ウィルスが仕込まれる可能性があります。FTP アカウントのパスワードは変更しておくのが賢明です。
 また、Gumblar ウィルスは FTP のアカウントとパスワードを盗み出すと言われています。しかし、将来的に Gumblar ウィルスの亜種が発生し、SSH などのパスワードも標的になるかもしれません。そのため、Web サーバへ接触できるアカウントについては、プロトコルを問わず、全てのパスワードを変更しておくのが安全と思われます。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  



関連記事/トラックバック (全 1 件中、最新 5 件まで表示しています)

Open MagicVox.net のスクリーンショット
タイトル
PHP版Gamblarウィルスも登場
Trackbacked at
2010/02/26 23:08
from
Open MagicVox.net
概要
Gumblar Breaks WordPress blogs and other complex PHP sites So what happens i...

この記事にトラックバックを送るには?

コメントを投稿する

 
 (必須, 匿名可, 公開, トリップが使えます)
 (必須, 匿名可, 非公開, Gravatar に対応しています)
 (必須)
スパム コメント防止のため「投稿確認」欄に ランダムな数字 CAPTCHAについて を入力してから送信してください。お手数ですがご協力のほど宜しくお願いいたします。