アカウント名:
パスワード:
Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。感染してるかどうかどうやったら分かるんでしょう?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
確認方法は? (スコア:2, 興味深い)
Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
感染してるかどうかどうやったら分かるんでしょう?
サーバ側の確認方法は? (スコア:2)
当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
確認する方法って……言及しているトコロがないんですよ。
個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。
/.Jのアニキの皆さま、ご存じありませんでしょうか?
ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
PC側のウイルスチェッカーでスキャンしました。
一応驚異の検出は0件だったけどそれだけでOKなのだろうか?
ちなみにファイル転送にはずーっとWinSCPを使っています。
サーバのOSはlinuxです。
---- ばくさん!@一応IT土方
Re:サーバ側の確認方法は? (スコア:1)
Gumblarの亜種によって追加されるJavaScriptの記述が異なるため、容易な検出の方法がないということだと思います。
私が調べた限りですが、ウェブサーバ上に存在するバイナリ以外のファイルのリストを作成し、Gumblarが記述するJavaScriptにある、'function'、'eval'、'unescape'が1行に存在するファイルを検索して見つけ出しました。
具体的には、
$ find "ウェブコンテンツファイルへのパス" -type f -iname '*.html' -o -iname '*.htm' -o -iname '*.php' |xargs grep 'unescape' |grep 'eval'|grep 'replace'
といったようなコマンドを実行しました。この手法で私は顧客に提供しているサーバを調査したのですが、2つほど発見することが出来ています。
もちろん、この方法では、Gumblar以外のJavaScriptもかかりますので、検索結果で得たファイルを目視する作業が発生します。
#特に".js"を対象とすると、確認が大変です。Xoops関連のjsは多く誤検知します。
上記で発見したGumblarウィルスによって書き換えれらたファイルに関するFTPログをみた所、海外のIPアドレスでFTPログインし、[index.html]などのファイルをダウンロードし、すぐにアップロードし直すという挙動が見られました。
このため、[xferlog]から、同一のファイルに対して、ダウンロード、直後にアップロードしているパターンを見つけ、対応しております。
Gumblarウィルスによって書き換えれらたファイルを発見出来たとはいえ、この手法の有効度も不透明で、不安はあります。
自分で管理しているサーバ、内容を把握しているウェブサイトであれば、FTPログインをIPアドレスで制限するとか、そもそもFTPを空けないとかもっと簡単な方法があるかと思います。
他の皆様は、特に自分で好きなように出来ない顧客のサーバを運用されている方は、どう対処されているのか気になります。