2万5000台以上のサーバがLinuxを狙うマルウェアに感染
1 : ダイビングエルボードロップ(家)@転載禁止:
ソース: http://www.itmedia.co.jp/enterprise/articles/1403/20/news040.html
感染したサーバ2万5000台のうち、1万台以上はいまだにマルウェアが駆除されていないという。
過去2年で2万5000台以上のサーバがLinuxを狙うマルウェアの「Ebury」に感染し、
Webトラフィックのリダイレクトやマルウェアの大量送信に使われていたことが判明した。
セキュリティ企業のESETが3月18日のブログで伝えた。
同社はこの攻撃を「Operation Windigo」と命名し、詳細について解説したホワイトペーパーを公表。
攻撃に使われたインフラは全て、マルウェアに感染したサーバで
ホスティングされていたことが分かったと報告している。
EburyマルウェアはOpenSSHのログイン情報を盗む機能を持ち、
Linux、FreeBSD、OpenBSD、OS X、WindowsなどのOSが影響を受ける。
感染したサーバ2万5000台のうち、1万台以上はいまだにマルウェアが駆除されていないという。
ESETによれば、感染サーバは1日当たり50万ものWebビジターを悪質なコンテンツにリダイレクトしているほか、
現在のインフラを使えば1日3500万通以上のスパムメールを送信できる状態にある。
同社は欧州原子核研究機構(CERN)など各国の組織と連携して被害に遭った
組織に連絡を取り、マルウェア感染の事実を知らせて対策を促してきた。
被害組織の中にはLinux Foundationが運営するkernel.orgやサーバ管理ソフトを提供するcPanelなどの
大手も含まれていたが、ESETによれば、両組織ともマルウェア駆除を済ませたという。
|
|
|
2 : ダブルニードロップ(富山県)@転載禁止:2014/03/20(木) 19:58:56.72 ID:FCT5ZoDB0
ジャアアアアアアアアアアアアップwwwwwwwwwwwwwwwwww
3 : ローリングソバット(滋賀県)@転載禁止:2014/03/20(木) 19:59:42.79 ID:4SzC9umO0
で?
4 : デンジャラスバックドロップ(東京都)@転載禁止:2014/03/20(木) 19:59:44.12 ID:QHBhSb0E0
ちょおおおおおおおおおおおおおおおんwwwwwwwwwwwwwwwwwww
5 : ナガタロックII(愛知県)@転載禁止:2014/03/20(木) 20:00:44.09 ID:TSXTF57j0
6 : エルボーバット(千葉県)@転載禁止:2014/03/20(木) 20:13:43.30 ID:OHDwIOmH0
>Linux、FreeBSD、OpenBSD、OS X、WindowsなどのOSが影響を受ける。
すなわち、BeOS大勝利
すなわち、BeOS大勝利
7 : キャプチュード(東日本)@転載禁止:2014/03/20(木) 20:16:41.75 ID:aGZelSrr0
Linuxのどこをチェックすればいいの?
8 : ボマイェ(大阪府)@転載禁止:2014/03/20(木) 20:18:13.26 ID:ND0XREWU0
なんともない
9 : サッカーボールキック(北海道)@転載禁止:2014/03/20(木) 20:22:13.09 ID:BN9hHDKK0
XPをUbuntuにしたばかりなのに
10 : カーフブランディング(東日本)@転載禁止:2014/03/20(木) 20:28:50.06 ID:eAPqcaKk0
Winを捨ててLinuxにした奴ら涙目?w。
11 : 膝靭帯固め(愛媛県)@転載禁止:2014/03/20(木) 20:33:59.79 ID:WdKifTZX0
えー
xpどうしよう
xpどうしよう
12 : フェイスクラッシャー(東日本)@転載禁止:2014/03/20(木) 20:43:17.33 ID:o0CqHtPN0
サーバじゃねーからいいわ
13 : ボ ラギノール(大阪府)@転載禁止:2014/03/20(木) 20:45:17.59 ID:wpNOpi0l0
もうOS自作したらいいんじゃないかな
14 : ナガタロックII(WiMAX)@転載禁止:2014/03/20(木) 20:54:11.17 ID:xZ9qTkYX0
地味にヤバくねコレ?DNSとかHTTPサーバとかほとんどLinuxだろ
15 : 急所攻撃(栃木県)@転載禁止:2014/03/20(木) 20:55:26.44 ID:dwezvyRx0
まさかこれでAlpariのサーバが止まっているわけじゃないよな
16 : トペ スイシーダ(東京都)@転載禁止:2014/03/20(木) 21:07:02.28 ID:iJdgJEHy0
>>7
sshのバイナリを上書きするマルウェアらしいので、それぞれのディストリビューションの方法で、
バイナリが書き換えられていないことを確認すればいい。
deb系(debian, ubuntuなど)ならdebsums、
rpm系(redhat, centos, opensuseなど)ならrpm -Vで確認できる。
もちろんこのチェック自身の正当性を担保するため、ライブCDなどで起動して実施する必要があることに注意。
sshのバイナリを上書きするマルウェアらしいので、それぞれのディストリビューションの方法で、
バイナリが書き換えられていないことを確認すればいい。
deb系(debian, ubuntuなど)ならdebsums、
rpm系(redhat, centos, opensuseなど)ならrpm -Vで確認できる。
もちろんこのチェック自身の正当性を担保するため、ライブCDなどで起動して実施する必要があることに注意。
17 : フルネルソンスープレックス(東日本)@転載禁止:2014/03/20(木) 21:34:52.52 ID:2Tu4KJzd0
タクティカルロアで自作OS出てきたな・・・あんなのほしい
18 : ニールキック(愛知県)@転載禁止:2014/03/20(木) 23:38:56.09 ID:RGNhXRqj0
>>16
なるほどよくわからん
なるほどよくわからん
19 : マシンガンチョップ(神奈川県)@転載禁止:2014/03/21(金) 00:10:15.88 ID:rlwSmZC80
>>7
"$ ssh -G" とかで怒られなければとりあえずOK(sshで-Gオプションはない
"$ ssh -G" とかで怒られなければとりあえずOK(sshで-Gオプションはない
20 : ネックハンギングツリー(やわらか銀行)@転載禁止:2014/03/21(金) 01:25:45.44 ID:2jY9UAJJ0
ubuntuちゃんはどうなの?
21 : キン肉バスター(長屋)@転載禁止:2014/03/21(金) 06:12:52.99 ID:UIXDcdHo0
>>19
なるほど。サンクス!
なるほど。サンクス!
22 : サソリ固め(関東・甲信越)@転載禁止:2014/03/21(金) 06:17:06.92 ID:3BZbIEuS0
Linuxなんて一般人は使わんだろ
23 : テキサスクローバーホールド(家)@転載禁止:2014/03/21(金) 06:20:51.78 ID:8v85qhty0
NetBSDが勝ち組ってこと?
24 : サッカーボールキック(群馬県)@転載禁止:2014/03/21(金) 06:22:18.02 ID:rhjFSgJm0
スパイウェア入りの「Tor Browser」がなぜ今でもApp Storeからインストール可能なのか?
http://gigazine.net/news/20140320-tor-brower/
http://gigazine.net/news/20140320-tor-brower/
25 : キャプチュード(新潟県)@転載禁止:2014/03/21(金) 06:24:54.12 ID:+VLdldDq0
26 : キングコングニードロップ(東日本)@転載禁止:2014/03/21(金) 06:26:40.79 ID:LRNVu6Fp0
27 : アトミックドロップ(西日本)@転載禁止:2014/03/21(金) 06:27:13.22 ID:sMrAmLQP0
犯人は
28 : 垂直落下式DDT(埼玉県)@転載禁止:2014/03/21(金) 06:27:17.74 ID:QuJVbXbn0
侵入経路どこよ・・・
29 : フェイスロック(東日本)@転載禁止:2014/03/21(金) 06:34:17.47 ID:mO6SwH6k0
ssh動いてない
ssh -Gでは文句言われてオプションのリストがでる
ssh-agentってのが動いているがこれは無関係?
ssh -Gでは文句言われてオプションのリストがでる
ssh-agentってのが動いているがこれは無関係?
30 : クロイツラス(大阪府)@転載禁止:2014/03/21(金) 06:38:25.65 ID:9bdTxasI0
へぇNetBSDは無害なのか
31 : 垂直落下式DDT(家)@転載禁止:2014/03/21(金) 07:45:03.78 ID:cp/SlkO20
> 被害組織の中にはLinux Foundationが運営するkernel.orgや
やっぱカーネルもアカンのか
やっぱカーネルもアカンのか
32 : デンジャラスバックドロップ(やわらか銀行)@転載禁止:2014/03/21(金) 08:33:57.98 ID:zPBNIjMw0
>>16
rpmも書き換えられてたら?
rpmも書き換えられてたら?
33 : デンジャラスバックドロップ(やわらか銀行)@転載禁止:2014/03/21(金) 08:37:54.80 ID:zPBNIjMw0
34 : マスク剥ぎ(東京都)@転載禁止:2014/03/21(金) 08:57:28.45 ID:LLCbni7b0
>>32
gpgの電子署名チェックに引っかかる。
gpgの電子署名チェックに引っかかる。
35 : レッドインク(新潟県)@転載禁止:2014/03/21(金) 09:04:01.31 ID:HkYeQDN20
36 : 足4の字固め(空)@転載禁止:2014/03/21(金) 14:38:54.92 ID:BfqGKAwe0
マイクロソフトめえ
37 : キャプチュード(新潟県)@転載禁止:2014/03/21(金) 14:54:19.99 ID:+VLdldDq0
マイクロソフトうめえ
38 : ツームストンパイルドライバー(やわらか銀行)@転載禁止:2014/03/21(金) 16:28:05.75 ID:lG2ShS550
39 :.(新疆ウイグル自治区)@転載禁止:2014/03/21(金) 20:32:17.93 ID:/4Kya69K0
ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
汚染されているかどうかを確認するコマンド
汚染されているかどうかを確認するコマンド
40 : トペ コンヒーロ(沖縄県)@転載禁止:2014/03/21(金) 21:02:10.21 ID:N+0r9HJr0
$ sudo rpm -V openssh-server
S.5....T. c /etc/ssh/sshd_config
こういう結果になったけど、sshd_configだけだったら問題無いよね。
S.5....T. c /etc/ssh/sshd_config
こういう結果になったけど、sshd_configだけだったら問題無いよね。
41 : ニーリフト(神奈川県)@転載禁止:2014/03/21(金) 23:00:47.44 ID:EpUtrbzn0
お前が糞な設定してる可能性あるから危ないぜ
42 : デンジャラスバックドロップ(やわらか銀行)@転載禁止:2014/03/21(金) 23:59:40.17 ID:zPBNIjMw0
>>40
オリジナルとのdiffとか取っとらんの?
オリジナルとのdiffとか取っとらんの?
43 : ファイヤーバードスプラッシュ(東京都)@転載禁止:2014/03/22(土) 05:27:23.57 ID:nj9hvWXS0
>>16
sshのバイナリを光学メディアに焼いてマウントしとけばよくね?
sshのバイナリを光学メディアに焼いてマウントしとけばよくね?
44 : ファイヤーバードスプラッシュ(東京都)@転載禁止:2014/03/22(土) 05:32:09.70 ID:nj9hvWXS0
ライトワンスの安価で高速なSATA,PCIeインターフェイスをもったストレージ需要ある?
45 : ファイヤーバードスプラッシュ(東京都)@転載禁止:2014/03/22(土) 05:36:49.51 ID:nj9hvWXS0
>>17
OS作らず自作CPUかマイナーCPUでいいんじゃない?
OS作らず自作CPUかマイナーCPUでいいんじゃない?
46 : スパイダージャーマン(東日本)@転載禁止:2014/03/22(土) 10:02:09.24 ID:rLCvpkIV0
>>43
なにげに良い解決策かもしれん
なにげに良い解決策かもしれん
47 : トペ コンヒーロ(やわらか銀行)@転載禁止:2014/03/22(土) 10:26:24.49 ID:YnNrHecA0
mountが改変されているかも
48 : ビッグブーツ(東京都)@転載禁止:
自宅鯖立ててそのまんまの場合とか