■昨年猛威を振るった、Gumblarウィルスに似た、8080系による
webサイト改ざんがまた、再燃しているようです。
- 感染チェックと予防
- 利用FTPクライアントのチェック
- FTPからFTPS、認証キー使用など、接続方法の見直し
Gumblarおよび8080系に関する詳細はJPCERTで最新情報をご確認ください
<以下JPCERTより引用:2010/01/31 >
– Web サイトの更新ができるコンピュータを制限する。(IP アドレスなど)
– Web サイトで公開しているコンテンツに不正なプログラムが含まれてい
ないこと、を確認。
– コンテンツが改ざんされていないことを確認する。
– 多くの改ざんされたサイトでは不正な script タグが挿入されています。
HTML ファイル
外部 .js (Javascript) ファイル
「/*GNU GPL*/ try」
「<script>/*CODE1*/ try」
「/*LGPL*/ try」
– FTP サーバのログを確認し、アクセス元IPアドレス、アクセス日時などに
不審な点がないか確認する。
– Web サイトの更新ができるコンピュータがマルウエアに感染していないか
確認する。Web サイトの管理を外部に委託している場合は、委託先のコン
ピュータがマルウエアに感染していないかなど、委託先に確認の依頼を行
う。
1)FFFTPはアンインストール
今までお世話になった感謝をしつつ、作者様の指示に習い、一旦アンインストール。
(有志の方が改良版をリリースされていますが、ここではFTP送信時のリスクを考慮して様子見とします。)
アンインストール時に、保存されているパスワードや各種情報は、
別途パスワード管理ツール(Roboform / ID Manager / 1Password など)に
MEMOしてあるか、確認しておくこと。念のため、運用時には変更しておくこと。
2)セキュリティソフトの対応が追いついていないケースがありますので、
セキュリティソフトをインストールしているから、大丈夫、という過信にご注意ください。
オンラインスキャンと、手動確認の二重確認のあと、
次の、3)の予防対策が必要です。
2-1 )オンラインスキャン(自動)
・ カスペルスキー(2010年1月31日現在:体験版で確認可能)
http://www.kaspersky.co.jp/virusscanner
・nifty (カスペルスキー)
2-2)手動確認
windowsをセーフモード起動>コマンドプロンプトから、regedit で、レジストリエディタ起動
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
“sysgif32″=”C:\WINDOWS\TEMP\~TMD.tmp”
“~TM6.tmp”=”C:\WINDOWS\TEMP\~TM6.tmp”
等の登録があれば感染済
[感染後の削除方法]
サイト管理者の場合、OSのクリーンインストール後に
サイトへのアクセス・パスワード変更をお薦めします。
念のため、削除すべきファイルは、
C:Documents and Settingsユーザー名スタート メニュープログラムsiszyd32.exe
■ 1:Adobe Flash Player の更新
http://get.adobe.com/jp/flashplayer/
■ 2:Java(JRE)の更新
http://java.com/ja/download/manual.jsp?locale=ja&host=java.com
※ 一般の方は問題ないと思いますが、
Java を最新に更新した場合、未対応のアプリが動かない可能性があります。
■3:Microsoft 関連を最新版に更新
https://www.update.microsoft.com/
■4:Adobe Readerを最新版に更新
http://www.adobe.com/jp/products/acrobat/readstep2.html
■5:ウイルス対策ソフトの定義ファイルを最新の状態に更新する。
※ 現状、カスペルスキーの対応が最速だが、過信には注意ください。
■6:Acrobat JavaScriptの無効化
Adobe Reader の 編集 > 環境設定 > 分類 > JavaScript > [Acrobat JavaScriptを使用]のチェックをはずす > 「OK」
※ レジストリ等にパスワードを保存するタイプはすべて対象なので、FFFTPを利用していなくても
上記の3)の作業は必須になります。※FFFTPだけでなく、Dreamweaverなども可能性があります。
4)FFFTPが、直接狙われている可能性もある、と
FFFTPの作者さまのサイトに記載がありますので、一旦、1)でアンインストールしました。
上記3)の感染しないための予防手順を施したあとの、代替え品としては
を、暫定的にパスワードを保存しない方法で利用して、
FTPS環境への乗り換えを検討が必要かと思います。
(これらのツールが、今回の攻撃に対して、安全ということではありません。
「パスワードを保存せずに、FTPSで接続できる環境」へ移行するまでの、暫定的な対処法です。
# あるいは、各クライアント側でパスワードの保存方法が改善されるのを待つか。)
(2010/01/31現在)
2:利用クライアントについて
FFFTPの作者がアンインストールを推奨されています。
h
ttp://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html
また、作者様もご指摘のとおり、
FTPSに対応していないサーバ環境の場合は、
今後、それ自体を見直す必要があるかもしれませんが
それまでは、まずは、下記の対応になると思います。
レジストリなどにパスワードを保存しているFTPツールであれば
感染すれば、webサイト改ざんの可能性があります。
可能な限り、FTPSで接続できるクライアントを利用して、
かつ、パスワードは保存せず、
パスワード管理ツールなどを活用してアクセスする必要があります。
注)その他のFTPツールを使ったり、パスワードを手入力していても
FTPである以上、パスワードは平文(暗号化されていない)なので、
通信中に悪意のあるプログラムに傍受される可能性がありますので、
また、キーロガー的な振る舞いをされることも想定すると、完全とはいえません。
本来、サーバへのIP制限や、FTPSやSSH接続が必要ですが、
SSHポートは開放しない、など、サーバ会社によって様々なので、
セキュリティご担当者やサーバ会社さまと相談されてみてください。
いずれにせよ、以下の3)の手順でしっかりと予防をおこなう必要があります。
一般ユーザも、注意が必要ですので、以下ご確認ください。
自社サイトを外部の制作会社に依頼されている場合も、下記のチェックが必要です。
今回に関わらずですが、
今まで通り、使用するコンピュータの OS やインストールされているソフトウエアを
常に最新の状態に維持することに、一層注意を払ってください。
3:接続方法の検討
パスワードを保存しない、FTPSクライアントを利用。
また、FTPSや、認証キーなどを利用。
例:winSCPによるFTPS接続とpuTTYの併用 http://fedorasrv.com/winscp.shtml
例:Dreamweaver では サイト > サイトの管理 > 詳細設定 > リモート情報
で、
SFTPを使用 にチェック
パスワードは保存しない
.STE ファイルなどは完全に削除
サーバ側で、IP制限を設ける
(鍵方式の認証はDWの場合、ハードルが高そう)
などの方法が考えられると思います。
このあたりは、くどくて申し訳ないのですが、
いろいろと情報が錯綜していますので、ひとつのガイドライン程度になれば、と投稿しています。
ポリシーや、ビジネススピード、規模などから「これ」という正解はでないと思います。
社内セキュリティご担当者様、サーバご担当者様、あるいは、サーバ管理会社様とご相談の上、
最終的に方法を決めていただくのが、最良の方法と思います。
security forcus -Mailing Lists-
ガンブラーウイルスについての誤った情報にご注意ください。
http://blogs.yahoo.co.jp/noooo_spam/59368027.html
wikipedia - Gumblar
http://en.wikipedia.org/wiki/Gumblar
Gumblar .cn Exploit – 12 Facts About This Injected Script
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-…
Inside Gumblar: Looking for the trigger
http://blog.fortinet.com/inside-gumblar-looking-for-the-trigger/
so-net 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
Thanks and Farewell FFFTP
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-…
JPCERT
http://www.jpcert.or.jp/
インジェクション GNU GPL/CODE1
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF…
インジェクション GNU GPL/CODE1 2
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF…
Gumblarと類似したWebサイト改ざんを利用する攻撃【Tokyo SOC Report】
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333966?c…
8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
http://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html
ガンブラー(/*Exception*/) vs Norton Internet Security 2010
http://www.smilebanana.com/archives/2010/01/23-2158.php
slashdot サーバ側の確認方法は?
http://slashdot.jp/comments.pl?sid=481462&cid=1702491
twitterの皆様
FFFTPの更新言及についてのご指摘をいただいた jstclg氏
説明部でご指摘をいただいた Kosuke_BM氏
FFFTPの件について、RTでおしらせくださった tyto_style氏
検証情報等、FFFTPへの注意喚起を第一報をいただいた @fujista氏
tyto_style氏へのRTをhubしていたいだ72kh氏—————————————
MEMO 8080系ウイルスについて
Gumblar系とは似ていますが、厳密には別種で、埋め込むスクリプトが異なります。
ただ、おおまかな感染経路はGumblarと似ています。
—————————————