投稿日:2002年09月18日 作成鷹の巣

No.5328 Linux を狙ったワーム



Linux を狙ったワーム

No.5328 投稿時間:2002年09月18日(Wed) 23:27 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

先週末より、Linux OpenSSL の脆弱性を狙ったワームが、大量に飛び交っています。

JPCERT からも、緊急報告が出ています。
http://www.jpcert.or.jp/at/2002/at020006.txt

タイマーを備えているかのごとく、先週13日金曜に一斉に DDoS が仕掛けられたようです。
SSL を設置してる方、特に RedHat 7,1, 7.2, 7.3 を使用している方は緊急対策が必要です。
Windows の方にも、スキャンが行くかもしれません。

十分に注意してください。


ご連絡、ありがとうございました。

No.5332 投稿時間:2002年09月19日(Thu) 02:33 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 先週末より、Linux OpenSSL の脆弱性を狙ったワームが、大量に飛び交っています。
>
> JPCERT からも、緊急報告が出ています。
> http://www.jpcert.or.jp/at/2002/at020006.txt
> 十分に注意してください。


帯鯖さん、ご連絡、ありがとうございました。対処方法がやっかいですね。

-------------------対処方法の引用開始-------------------
III. 対処方法

Apache/mod_ssl ワームに感染したことが確認された場合は、まずそのホス
トをネットワークから切り離すことをご検討ください。これによりワームの増
殖を防ぐことができます。

Apache/mod_ssl ワームに感染したホストでは、攻撃者が Web サーバの実行
権限 (一般的には nobody もしくは www) を取得している可能性があります。
また、その上で更に別の脆弱性を使って root 権限を取得している可能性もあ
ります。そのため、侵入の痕跡である /tmp/.bugtraq などのファイルを削除
するだけでは、完全には復旧しない場合があります。したがって、システムを
復旧するには、まず必要なファイルのバックアップを取り、ハードディスクを
フォーマットした上で、OS を再インストールすることをお勧めいたします。
その上で、OpenSSL をバージョン 0.9.6g もしくはそれ以降に更新する、また
は各ベンダや配布元が提供するパッチを適用するなどの再発防止策を講じてく
ださい。

なお、システムの改竄が行われたと考えられるホストからのデータの移行や、
そのホストの OS の再インストールの際にバックアップテープ等を使用される
場合は、バックアップされた情報自体に、ワームなどによって置き換えられた
ファイルやインストールされたプログラム等が記録されていないか、充分にご
注意ください。
-------------------対処方法の引用終了-------------------


Linux ワーム追記

No.5353 投稿時間:2002年09月20日(Fri) 03:29 投稿者名:帯鯖 URL:

帯鯖@名古屋です。

> Apache/mod_ssl ワームに感染したホストでは、攻撃者が Web サーバの実行
> 権限 (一般的には nobody もしくは www) を取得している可能性があります。

今回のワームは、感染すると Apache 権限を奪うらしいです。
httpd が落ちるほか、最悪の場合、DoS の発信源として処理オーバー(メモリオーバー)を起こし、結果的に named、ftpd、mail などすべてのサービスが落ちます。

転ばぬ先の杖として、必ず対処してくださいね。特に RedHat 7.x の方。

何を言おう、近所のサーバが見事に感染しましたので。。。
# ログを記念にもらっておきました。機会あれば公開します。


|目次|掲示板|過去ログ目次|▲頁先頭|