（確認コマンド有） ２万５千台超のLinux/*BSDサーバが乗っ取り！　あなたのサーバは大丈夫？

ESETは3月18日(米国時間)、「Over 500,000 PCs attacked every day after 25,000 UNIX servers hijacked by
Operation Windigo」において「Operation Windigo」によって25,000台を超えるLinux/*BSDサーバが乗っ取られて
おり、結果として1日あたり3500万通のスパムメール送信に使われていると伝えた。詳細な報告書にはLinux
FoundationやcPanelもこの攻撃を受けたという説明がある。ただちに管理下にあるサーバをチェックするとともに、
クラッキングを受けた形跡がある場合にはシステムの再インストールとSSHパスワードの変更、秘密鍵の削除と
変更などが推奨されている。

乗っ取られたWebサーバはほかのマルウェアの感染に使われたり好ましくないサイトへのリダイレクトといった
行為にも活用されているという。また、UNIXシステムの管理者やWebサイトの管理者向けに、次のコマンドを
実行することでサーバが汚染されているかどうかを確認できるという説明も掲載されている。感染していれば
「System infected」が、感染していなければ「System clean」が表示される。

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
汚染されているかどうかを確認するコマンド

「Operation Windigo」の感染活動はオペレーティングシステムやWebサーバに対してポータブルな作りになって
おり、感染したオペレーティングシステムはLinuxのみならずMac OS X、OpenBSD、FreeBSD、Windows(Cygwin
経由)なども含まれるとされている。WebサーバではApache HTTP Server、Nginx、Lighttpdでのバックドア設置が
確認されていると説明がある。スパム送信モジュールもポータブルな作りになっておりどのオペレーティング
システムでも動作しているほか、SSHバックドアについても単一のオペレーティングシステムではなくLinuxと
FreeBSDサーバの双方で確認されたとしている。

「Operation Windigo」と呼ばれる活動の詳細は「OPERATION WINDIGO - The vivisection of a large Linux
server-side credential stealing malware campaign [PDF]」にまとまっている。
http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_windigo.pdf

★ソース
2500台超のLinux/*BSDサーバがマルウェア感染 - 1日3500万通のスパム送信中
http://news.mynavi.jp/news/2014/03/20/398/

記事タイトル間違ってる

自鯖厨死んだ

ローカル鯖だから余裕(`・ω・´)

2万5000台超って大量な数からすると
普通に考えて作為か不作為か知らんがどこかのLinuxディス鳥が配布しちゃってそうだNE

>>1
sshでGオプションが使えるかどうか見るだけでなんでこんな長いコマンド打つんだよ

top
ps

どっちか

System cleanだった

MacOSは大丈夫

>>6
数千台数万台規模の対象OSサーバを全て 同一の判定結果文字列
で検査する為だと思うよ

たぶん専門業者の人だと思う

>>6
長いって…結果を出力してるからだろよくみろよ。

まあ、単に ssh -Gとだけやって結果は人間が見たほうが良いってことじゃない？

sshが無いって言われるんだけど

sshがないって…