パスワードを忘れた? アカウント作成
76949 story
セキュリティ

mipsel搭載ルータやモデムを狙い、ボットネット形成するワーム 9

ストーリー by mtakahas
最近のPCよりも攻撃しやすい? 部門より

あるAnonymous Coward 曰く、

Mipsel-based-linuxなマシンを狙ったワーム「psyb0t」により、10万台規模のボットネットが形成されているらしい(DroneBLのブログPC Magazineの記事)。

感染条件は

  • mipsel搭載のデバイスであること
  • WAN側からアクセス可能なtelnet、SSHもしくはWebベースのインターフェイスがあること
  • ユーザー名とパスワードの組み合わせが脆弱であるか、搭載ファームウェアが利用しているデーモンが脆弱であること

ボットネットに組み込まれたものの90%は、ユーザー側のミスによるとのこと。

また別のAnonymous Coward 曰く、

本家/.にタレこまれていますが、DSLモデムやルータ(OpenWRT/DD-WRTも含む)などの脆弱性をついてボットネットを構築しているワームがあるようです。

雑誌やブログで、市販ルータの搭載ファームウェアをOpenWRT/DD-WRTに書き換える方法が紹介されていますが、その多くは、セキュリティやファイアウォール設定に関する情報が不足しています。ファームウェアのメンテナンスがされていない市販ルータも同罪でしょう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • MIPSel (スコア:2, 参考になる)

    by elderwand (34630) on 2009年03月27日 14時08分 (#1539114) 日記

    MIPS running in little-endian mode (?)

    le なので、順番が違うような、、、

    embedded Linux (?)

    #求む、解説

    このPDF文書 [adam.com.au]には、製品についての情報もあるようです。

    • by Kazsa (25846) on 2009年03月27日 15時39分 (#1539176) 日記

      コンパイラのバイトオーダーを切り替えるオプションで-EBと-ELというのがあってですね、-ELを使うMIPSだからmipselなんじゃないかと思ってます。

      親コメント
    • by gf1e (33031) on 2009年03月27日 21時50分 (#1539384) 日記

      > MIPS running in little-endian mode, this is what the worm is compiled for

      little endian限定なのはどうしてなんだろう。
      big endianで動いているMIPSデバイスが少ないから? それとも、little endianに固有の攻撃方法になっている?

      親コメント
      • by nakatomo (8819) on 2009年03月28日 1時40分 (#1539480) 日記

        私も似たような疑問を持ったのですが、mipsel固有なのは単にボット自体がリトルエンディアンでコンパイルされているからのようです。確かに、リトルエンディアン環境でビッグエンディアンのバイナリは普通動かせませんよね。ビッグとリトルのバイナリをそれぞれ用意しといて、実行できるほうを使うとかしておけば済む気もしますが、そこまでしなくても良かったのかもしれません。

        親コメント
      • WiFiルータはmipselが圧倒的に多いんです。なぜかARMとかはあまり見かけません。 あとOpenWRT/dd-wrtがそれしかないです。
    • by Anonymous Coward

      iLttelE dnain でleんなすで。よ

      # ごめんなさい

  • by Anonymous Coward on 2009年03月27日 9時26分 (#1538906)
    一度使った名前でもリートにすれば使えるのか
  • by Anonymous Coward on 2009年03月27日 14時47分 (#1539144)
    そろそろ、DD-WRTとかOpenWRTの派生と称して、バックドア仕込んだファームウェアが配布されても
    驚かない。
  • by Anonymous Coward on 2009年03月29日 12時58分 (#1539850)

    LAN内のWindowsPCを狙ったワームとタイアップすればかなり効きそうだと思う。
    運用先ではデフォルトのユーザ名、パスワードを変えてないケースがままあるので。

    # 変えるべきとはわかってるけどね...

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...