PHP 版 Gumblar ウィルスも登場

Posted by
ぴろり
Posted at
2010/02/26 23:07
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
電算室 カテゴリ

Gumblar Breaks WordPress blogs and other complex PHP sites
So what happens if both index.php and wp-config.php are infected with the gumblar backdoor scripts? Since Gumblar injects identical backdoor scripts into files on the same site, they’ll have declarations of identically named functions, which PHP doesn’t allow.

 どうやら、PHP で構築された WordPress などのサイトに感染するタイプの Gumblar ウィルスの亜種が出現しているようです。影響を受けるのは WordPress や Joomla, Drupal などの PHP ベースで書かれたシステムの他にも、PHP を複合的に使用しているサイト全てとのこと。MovableType は Perl ベースですが、動的生成処理は PHP で書かれています。また、サイドバーの共通化などのために、PHP ファイルを生成している場合があるので注意が必要です。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  

感染確認の方法

 今回、PHP を感染経路に利用する Gumblar の亜種は、base64_decode 関数で復号化された PHP コードを eval 関数で発火させるタイプのようです。そして、実行された不正な PHP コードは、サーバ上の JavaScript ファイルにウィルスの実行コードを注入します。結果的に、ウィルスに感染させられた JavaScript が先の脆弱性を突いてマシンに感染するようです。ただし、参照元の記事によると、PHP コードのバグによって、ウィルスは機能していないとありますが、今後登場する亜種では改善(?)されているでしょう。

 PHP として動作するファイルは多岐に渡ります。拡張子が .php のファイルだけでなく、サーバ設定によっては .html などのファイルも PHP スクリプトとして動作することがあります。公開されているファイルだけでなく、require される全ての PHP スクリプトファイルに対して、検査を行う必要があります。
 簡単なシェルコマンドで今回の Gumblar の亜種を簡易的に検出するには次のようにします。

grep -r 'base64_decode' ./* | grep 'eval'

今後、更に登場する亜種では別の暗号化・発火方法が採用されることも考えられます。その場合、上のコマンドでは検査できません。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  



関連記事/トラックバック

関連記事/トラックバックはまだありません

この記事にトラックバックを送るには?

コメントを投稿する

 
 (必須, 匿名可, 公開, トリップが使えます)
 (必須, 匿名可, 非公開, Gravatar に対応しています)
 (必須)
スパム コメント防止のため「投稿確認」欄に ランダムな数字 CAPTCHAについて を入力してから送信してください。お手数ですがご協力のほど宜しくお願いいたします。