【緊急】Linuxサーバーがウイルスで壊滅。うち半数近くは管理者不在で被害拡大中。【停止】

過去2年で2万5000台以上のサーバがLinuxを狙うマルウェアの「Ebury」に感染し、Webトラフィックの
リダイレクトやマルウェアの大量送信に使われていたことが判明した。セキュリティ企業のESETが
3月18日のブログで伝えた。

同社はこの攻撃を「Operation Windigo」と命名し、詳細について解説したホワイトペーパーを公表。
攻撃に使われたインフラは全て、マルウェアに感染したサーバでホスティングされていたことが
分かったと報告している。

EburyマルウェアはOpenSSHのログイン情報を盗む機能を持ち、Linux、FreeBSD、OpenBSD、OS X、
WindowsなどのOSが影響を受ける。感染したサーバ2万5000台のうち、1万台以上はいまだに
マルウェアが駆除されていないという。

ESETによれば、感染サーバは1日当たり50万ものWebビジターを悪質なコンテンツにリダイレクト
しているほか、現在のインフラを使えば1日3500万通以上のスパムメールを送信できる状態にある。

同社は欧州原子核研究機構（CERN）など各国の組織と連携して被害に遭った組織に連絡を取り、
マルウェア感染の事実を知らせて対策を促してきた。

被害組織の中にはLinux Foundationが運営するkernel.orgやサーバ管理ソフトを提供するcPanel
などの大手も含まれていたが、ESETによれば、両組織ともマルウェア駆除を済ませたという。
http://www.itmedia.co.jp/enterprise/articles/1403/20/news040.html

EburyマルウェアはOpenSSHのログイン情報を盗む機能を持ち

OS関わらずopenssh使える環境なら全滅じゃないか

＞ 被害組織の中にはLinux Foundationが運営するkernel.org

総本山までやられたか
これはもうダメかもしれんね

XPを排除した後はこれか
えげつないな

だからFreeBSDにしとけと言ったのに

>Linux、FreeBSD、OpenBSD、OS X、
WindowsなどのOSが影響を受ける。

全滅やな

XP終了とは無関係か

Solaris最強ってことだな

ぶっちゃけWindows Update強制にしたWindows Serverの方が安全だよね
勝手に再起動するけど

被害組織の中にはLinux Foundationが運営するkernel.org

アカン

WindowsはOpenSSH関係ないんじゃないのか？

ジャップのサーバーこそ放置プレイだろうしやばそう

これだから無料OSはダメなんだよ

Linuxに感染
↓
OpenSSHでログインした奴のID/パス取得

だからサーバーにもウイルス対策ソフトを入れろと言ったのに

赤帽はどうなん

Linux鯖放置してたが仕方ない潰しておこう

ここ数カ月で408がやたら増えたけどこれのスキャンだったのか？

>>11
ESETによれば、両組織ともマルウェア駆除を済ませたという。

多くの企業のLinuxとかそもそも感染に気がついてなさそう

やべー週末はSSHの穴閉じやらされんのか、やめてくれよほんと

やっぱり金払ってwin8買うしかないわ〜
今から買いに行こ(´・ω・｀)

Linuxは最初にセットアップしたら基本放置だからな。
上に乗せたPHPアプリあたりが動かなくなったやだし。

あかんやんスマホとかのブラウザも

やはり、CERNが関係していたか・・・

サーバーは安全神話があるからな。
さくらVPSのIPエリアをスキャンするだけでもやばそうなのがゴロゴロ出てくる。

たぶんお前らの会社のLinuxサーバーも感染している。

カタカナ多すぎ

>>22
NEか何か？

具体的な対策を教えろハゲ

>>24
確かにWindowsと違って
「とりあえずアップデート全部自動で受け取っていればいいや」
という感覚では痛い眼に合う。

反映実態を加味した脆弱性対応度はどんなもんなんだろうね。

え、なにこれやばくね？

z/OS大勝利だな

655 Socket774 [sage] 2014/03/17(月) 12:32:38.66 ID:92JoUKNv
HDD死んだ型遅れノートをlinuxで動かしたら普通に使えるレベルになった
linux結構使いやすい舐めてたわ

665 Socket774 [sage] 2014/03/17(月) 12:46:33.63 ID:92JoUKNv
沢山種類あるから目的にあう好きなOS落として
ブートメディアをつくる、DVD SD USBメモリがつかえる
あとはそれを突っ込んで起動して設定
アンチウイルスとか余計なソフトいれんでええから軽い

Linuxはアップデートすると壊れるからな

(´･ω･`)･ω･`)　ｷｬｰ
/　　つ⊂　　＼　　ｺﾜｰｲ

かなりやばい
関係の仕事してる人は週明けが怖い日々が暫く続きそう

感染拡大のペースを見ていると週明けまで持たんだろ

MSの罠かと疑ってしまう

@wikiよりあかんやん

とりあえず
ClamAVとchkrootkitは入れる癖つけた

Macはウィルスにかからないから！

>>35
linux舐めてんな

リナックス神話崩壊？

実際問題、専任の管理者なんて置いていない企業ばかりだろ。
自社のホームページも放置しておいて大丈夫だと勘違いしている馬鹿が多い。

たとえホームページだけでもサーバーは常に監視している奴がいないと危険。

神話なんてあったのか

2ちゃんねるっていう掲示版のmaguroサーバーにアクセスしたらウイルスかかるの?

コストダウンと手軽さの弊害。
「Linuxで低コスト」とやった結果、管理者の人件費までケチりだしてクビにしまくった。

何時かハードレベルで破壊とかあり得ないレベルの致命的なウイルス作る阿呆が出てきて大混乱起きそう。

>>39
過去2年で2万5千台のペースだと多くて5台/日だよね・・・

何が持たないの？

最後は人だよなぁ

Linuxとかmacとかって単に攻撃しがいがないから攻撃されないだけで
仮にこれらが今のセキュリティでWindows並みのシェアがあったら
もっとずっと悲惨なことになる気がする

>>51
50台

>EburyマルウェアはOpenSSHのログイン情報を盗む機能を持ち
やべーな

何の脆弱性使うウイルスなんだ？

Linux や FreeBSD って、日本語入力どうしてるの？
Wnn や Canna ？

Solaris みたいに ATOK が入ってると良いのに…

Linuxが安全とは何だったのか

>>30
被害が無いことを祈ろう、Firewallが頑張ってくれていることに期待しよう、そのレベルの人間

windwosxpサポーチきれたからぃぬｘにしたけど、なんかパソｋンの調子おかしいとおもったらｒそういうこｔか

毎月アップデートのwindowsが一番安全w
オープンソースは機密情報までオープンなんやでw

2chでこの手の話題が出ると90年代のPC-UNIX時代で知識止まってるようなのばかり湧いてくる
なぜなのか

UNIX板に助けを求めるしか無いな

Linuxってアップデートするとなんかすぐおかしくなるから
ある程度安定したら手を加えない

だからこういうことがあると一切合切入れ直しになって、結構泣ける

>>35
どういう理由でアンチウイルス入れなくていいと思ってるのかが謎い

Linuxサーバのウイルスチェックってどうやるんだ？
ClamAVでスキャンして終わりってわけにいかんだろ

>>58
Linux 等は、Windows に対し自由に設定とかできるから、
それはそれで売りだけど、万一乗っ取られた場合、
やりたい放題されるから、その面では危険って言えるのかも。

他の使わないといけないとか無理やんスマホのブラウザLinux多いし

>>62
おっさん速報だから

そういえばjavaアプデきてたな(´・ω・`)

>>70
仕事で使うのは仕方ないけど、個人用のパソコンはアプデうざくて入れてないわ

セキュリティに関する考え方とかアプローチは今じゃマイクロソフトの方がはるかに優秀だからなあ
さすがあれだけ標的にされて攻撃されまくって鍛えられただけのことはある

>>66
消せばいいんじゃね？
まあ正直俺もよくわからんが

公開鍵にしてiptablesで塞げば基本的に問題ないと思ってたりするが

>>66
アンチウィルス製品はI/Oフックしてリアルタイムスキャンするためのカーネルモジュール入れる

トモヨが居れば大丈夫

>>71adobe切ったからjavaもそろそろ切ろうかな(´・ω・`)

オペレーション・ウェンディゴってかっけーな
ウェンディゴってカナダとかアラスカら辺のイヌイットやインディアンが伝わる妖怪だろ

よく分かんないんだけどこのマルウェアそのものが常駐するの？
それともなんらかのサービスが乗っ取られるの？

OS/11の俺に隙はなかった

>>58
今回のはLinux関係ないだろ

AndroidとiOSは大丈夫なの？

Windowsは適当にアップデートすれば何とかなるが
Linuxはちゃんと技術が分かる人じゃないと扱いきれない

つまり扱える人間が少ない欠陥OSってことか

＞被害組織の中にはLinux Foundationが運営するkernel.org
おっ

Googleが感染したら凄い事になりそうなのにｗ

Linuxの更新はよく何かが動かなくなるから、
なるべくやりたくないって管理者多いだろうな

まあWindowsUpdateでもそういうことあるけど…VS2008のマクロ早く動くようにしろよMS

SSHのキー認証も破られたの？

CodeRedやnimdaも経緯は同じだな

Linux最大の欠点露呈だな
これだから普及しない
亜種が多すぎるうえに
完璧に管理できる奴がいないと
デバイスの導入もアップデートすらもまともにできない
まだまだマニアの道具レベル

msysとか使えばWindowsでOpenSSH使えなくもない
Unix系のOSは全般的にセキュリティ意識が薄い
GitとかでもすぐにSSH経由にさせたがるけど、認証情報乗っ取られたら終わり
極力シェルは解放すべきじゃない
sudoでパスワード入力連発指せるのも、キーロガーを考えれば危険、WindowsのUACみたいにサンドボックス上で意思確認だけする方が優れてる

>>4
kernel.orz

SPARCのSolarisが最強ってことだな

>>30
SEの間違い

うちのマギは大丈夫でしょうねぇ？

>>70
実機にはJava入れてない
Flashも入れてない
仮装PCを作ってそこにだけ入れてる

>>78
最近の亜種は共有ライブラリを差し替えてフックしてしまうらしい

トロイの木馬だから感染方法は別にある、他のアプリの脆弱性やらユーザーが実行してしまったりとか

Linuxはオワコン

apache killerより強烈か？

つまりどういうこと？

OpenSSHの問題か

あちゃ〜
先日ウチのFreeBSDのサーバに久々にログインしたら、261日ぶりだったのでﾜﾛﾀところだった。
完全放置しちゃうからなあ。

unix systen-Vが最強ということだな

Linuxは無料で安全とはなんだったのか

>>89
お前こそ何言ってんだ
コンパイルオプションが違うだけでカーネルは同じだろ
カーネルモジュールはあとから追加できるしな

>>57
Googleのmozcがええよ

どうなってしまうん？

>>90
しぐうぃんじゃあかんの？

>>53
そもそもWindowsはゲストモードがデフォルトで無効になっている上
Administratorで起動している人が多いというセキュリティ意識が低い利用者が多いだろ

Windows以外のOSはroot権限で起動する人なんて先ずいないし
ソフトをインストールするにしても基本的にリポジトリからパッケージからインストールするから
ウイルスには感染しにくいという訳（iOSがApp Storeからしかアプリがインストールできないイメージ）

このEburyというウイルスはSSHをスパイウェアに置き換えてSSHコネクションからパスワードとユーザー名を取得していたようだが
どうやってSSHを置き換えたのが気になる

>>90
UACってsudoみたいなもんじゃねーか

てかこんな騒ぎだと
月曜から会議になりそうでもうヤダ
他の構築案件進んでないのに

とりあえずSystem cleanだった

どうやって確認するんだ

>>112
ttps://www.cert-bund.de/ebury-faqによれば
# ipcs -mをして3MB以上でアクセス権限が666のsegmentsが１つ以上あれば感染しているとのこと

>>112
http://news.mynavi.jp/news/2014/03/20/398/

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
汚染されているかどうかを確認するコマンド

OpenSSH6.5なら大丈夫？

sshでしか接続できないレンサバは今sshで繋ぐとやばいから放置するしかないってこと？

なんかLinuxもウィルスに弱いんですよーという
印象操作な印象を受けるな

ネガキャンする位だったらXP無料化しろや

>>90
え？　sudoersでパスなし実行設定すればいい話だろ？
言ってることがよくわらかない

つうか標準ポートでSSH運用してしかもパスワード認証有効にしてる情弱は死ね

>>113
>>114
さんくす

こういうのに対処するのはセキュリティ担当のプログラマー？
サーバエンジニアやネットワークエンジニア？

一番弱い社畜が生贄だ

そもそもこれトロイの木馬だから
OpenSSHが破られたとかそういう話ではない
ウイルスをrootで実行させたアホがいる

問題は一度やられたら気づきにくいってことだな

いまだに
パスワード認証許可多いってことだよな

でも、鍵認証のみにしてる鯖の場合？
このウイルスって、どういう挙動見せるんだろ？

BSD最強

FAQ
https://www.cert-bund.de/ebury-faq

sshdを置き換えるってことはマシンのroot権限が必要だが・・・
普通そんな簡単に取れないよな？

そもそもroot権限が取れるんならsshdを置き換える必要もない気がするが

>>119
sudoのパスなし認証って危険じゃないの？
だってそしたら任意のプログラムがsudo実行できるじゃん

パスワードでサーバにログインするパスワード認証をやめて

・サーバには自分の公開鍵を登録する（これは公開しても構わない）
・手元に対応する秘密鍵がないとそのサーバにログインできない

という、SSHの公開鍵認証方式に変更する場合は
手元の秘密鍵ファイルをしっかり暗号化しないとだめだよ

アメリカで路上強盗グループにスマホを盗まれた日本人ITライターが
スマホの中に保存していた秘密鍵を使って数日後に自宅サーバに不正侵入されたって記事を読んだことがある

ログイン用のパスワードは未だにおかしな長さ制限がついてるところばかりだけど
秘密鍵ファイルの暗号化のパスワードはいくらでも長くできるから
長くて覚えやすい日本語の文章で設定するといい

ログイン用のパスワードもそうできるといいんだけどな
長くて意味がある文章の方が覚えやすいし、他人から推測されにくいものが作りやすいんだよ
Webサービスでも簡単に対応できそうなもんなのになあ・・・

Linuxはセキュリティバッチ当てないで放置運用が多いんだよ
windowsサーバはupdate当てないといろいろ狂うからしっかりやってるが

これはBSD厨の仕業だな

>>129
スマホや、デスクトップPCやノートPC等、デバイスが複数ある場合は、
クライアントデバイス毎に秘密鍵を作成しとく。
sshdは1つのユーザーに複数の公開鍵を登録できるので、必要な公開鍵を登録しとく・・・

まぁデバイスを紛失したら公開鍵を無効化していくしかないね

昨日WinのVPN鯖つけっぱにしておいたら
誰かが入ってきてビビって瞬時に鯖ソフトクローズしたけど間に合ったかな？

BSDも対象なんですが

だってwindowsサーバ定期的にリブートしなきゃなんないじゃん

Windowsが危険なのはアタッカーが沢山いるからであって
OS自体の安全性はWindowsの方が強固
LINUXはノーガード状態っていうのが証明されたな

オープンソースはセキュリティ脆弱だからなあ

うちの大学が証明書の秘密鍵をパーミッション644で置いててワロタ
どれだけシステムが強固でも運用する人間がこれじゃ

さすがマイクソ
汚い

>>114
感染するとGなんてオプションが出来るのか？
なんかいんちき臭いな

普通にアップデートしてるから大丈夫だろう

>>140
存在しないオプションを指定されたときの出力が違う

centos5.3のままだわ

>>121
そんな細かい線引きはないよ
ネットワークのお仕事なんて少ないから事実上なんでも屋
データセンターだったら担当SEとか

日本企業はシステム管理なんてお荷物としかみてねーからな
外注でも置いてるだけまだマシなレベルで
ちょっと気にらなきゃすぐ首挿げ替えるから
前々々・・・・の残したドキュメントで表層を管理するだけ
ってのも
一般企業だったらいわゆる情報課のお仕事

昔の開発はドキュメントを全然残してないし
今じゃありえん可読性の低いソース書いてるから、
なんかあったらリブートするしかなくなる

>>113
大雑把過ぎるw

こういう時の責任追及が怖いからPaaSしか使えないわ
IaaSいうても管理は自分だしな

セーフ
*****@*****:ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System clean

Ubunutuで cron で sudo apt-get update & upgrade & dist-upgrade を
定期的に自動実行じゃ駄目なん？ 俺手動派だからやってないけど。

たまに上記のコマンド類で、既存ファイルを置き換えますか？とか選択メニューがでちゃうから
駄目なんかね。

>>149
まぁ上書き確認はyesと答えることにするっていうオプションが大抵あるからいいけども
サーバーとかではそうやって盲目的にアップデートしてるとアップデート時の非互換で不調に陥る

>>149
100%適用できるわけじゃねえし、突然非互換で動かなくなるから結局管理者は要る
とはいえ、手動でやってると忙しいと後回しになるから自動でやってトラブル時の対応を高プライオリティでやるのがウチの運用

今は1ヶ月に1回定期アップデートすることになってて、来週にスケジューリングされてるが
さすがに年度末で糞忙しいんでもう一週ずらしたいなぁと思いつつ原則どおり上げる予定

iptablesくらいはやっておけよ・・・

kernel.orgて暫く前にやられてた気がするがまたやられたのか

>>149
dist-upgradeってubuntuとdebianで違ってたっけ
debianのはメジャーバージョンアップグレードする危険コマンドなんだが

>>150
つい最近debianでdist-upgradeに失敗して涙目になったわ
バックアップしてたからリストアで事なきを得たけど
squeezeがサポート切れる前にクリーンインスコして環境作らないと

>>32
最近増えてきた個人のVPSとかはそんな感じで運用してるところも多そうだけどな

シェアが猫の額みたいに小さいから狙う価値すら無かっただけだからなあ
まさか情強ぶってこんな産廃使ってた池沼はいないよね

kernel.orgがハクられるとどうゆうリスクがある？Yumアップデートしてたらウィルスかかったぞ！とかなる？

仕事のメールに強壮剤の勧誘メールくるんだが最近カナダやアメリカの公的機関もまじっててわろうた
こういうウィルスにやられてるんだろな

>>157
カーネルソースの片隅に誰も知らないバックドアが作られるとかあるかもな
一応やられた後は精査して復旧したらしいけど

そういやubuntuもかなり前にやられてたっけか
その場合はそういうこともありうる

あとopensshもちょっと前にバックドア仕込んだったわwwwとか暴露されてソースの全精査とかやってたな
結局何も出て来なかったみたいだが

>>4
これはひどい

>>155
個人のVPSはなんかそのうちウイルス配布やスパムメール発信の温床になりそう
もう既になってるかもだが

じゃぁ企業保有のサーバーだからってちゃんとしてるかっていう必ずしもそうでもない

マイナーなのが安全だけどソフトウェアが少ないというジレンマ

今はLinuxカーネルを始めとするプロジェクトは、
ソースコード管理に分散型システムを使っているので、
仮に中央のサーバーだけを改ざんしても、次の同期時に開発者が持っているコピーと不一致が出て検出される

開発者のPCにもまんべんなくウイルスを感染させてから一斉に改変すればパスできるかもしれないけど

wineでもウィルスは動くからな
当たり前だけど

標的型に使われる手の込んだマルウェアのコネクトバック先はいまどき国内IaaSやVPS、ホスティングが主流
木を隠すなら森

そういえばiPhoneにもOpenSSH入れられるな(´・ω・｀)
大惨事の予感

>>154
Ubuntu10.04⇒Ubuntu1204とかのメジャーバージョンアップデートは、
Ubuntuだと /usr/bin/do-release-upgrade だあね。

apt-get dist-upgradeは、カーネルのver-upとかまで。
まあこれも事前に -s オプション付けて内容確認してから本チャン実行するけど。

Linuxでもウイルスソフトいるの？？

スマートカードで認証してるわ

@wikiの鯖は大丈夫かね？（すっとぼけ）

だからせめてサポートから連絡が来るであろうRed Hatにしとけと……。

>>163
あーなるほど
分散型バージョン管理ってそういう利点もあるのか

NetBSD最強という事か

感染経路知りたい

Linuxじゃなくてsshじゃん

自鯖なんてセキュリティーとか知らんがなで放置だからな

＞被害組織の中にはLinux Foundationが運営するkernel.org

うわぁわぁわああああん！（＞△＜）

おわた、おわたよ！

完全におわたよ!（Ｔ△Ｔ）

>>129
強盗インテリすぎﾜﾛﾀ

>>129
秘密鍵には一応パスワードかけてるけど、
12文字以上とかの長さがないと総当りで現実的な時間で解かれてしまうとのこと

sudoとuacは違う
sudoに相当するwindowsのコマンドはrunas
uacが優れてるのはサンドボックス上でユーザーの意思確認だけ行えること
多分ほとんどのlinuxユーザーやwindowsユーザーはそれを理解してない

リモートでrootログイン許可してるなんてバカじゃねぇの（真顔）

UAC 無効化
selinux 無効

↑こんなもんよ

とりあえず自分のとこは感染してなかったけど、
そもそもどうやって感染するんだ？
サーバアプリの脆弱性で任意のコードが〜か？
https://www.cert-bund.de/ebury-faq

ここのレス、スレタイ速報を笑えないぞ

これマズくね？

まじかー