LinuxサーバにDDoS攻撃を行うボットネットが確認される 17
ストーリー by hylom
管理者の皆様ご注意を 部門より
管理者の皆様ご注意を 部門より
taraiok 曰く、
9月3日、オンライン・コンテンツ向けのクラウドサービスを展開しているAkamai Technologiesは、新たなサイバーセキュリティ脅威に対するリリースを出した。それによると、ElasticSearchやStruts、Tomcatに存在する脆弱性を悪用し、Linuxサーバーに侵入してマルウェアを設置するという攻撃が確認されているという( HELP NET SECURITY、Slashdot、CodeZine)。
問題のマルウェアは「IptabLes」と「IptabLex」というもので、これに感染すると、エンターテイメント関連業界に対してDDoS攻撃を仕掛けるという。攻撃者は適切にメンテナンスされていないサーバーに対し脆弱性を悪用してアクセス権を入手し、悪質なコードをシステムに潜伏させるという。このコードが仕込まれたマシンはDDoSを行うボットネットの一部としてコントロールされてしまうそうだ。詳細についてはAkamai TechnologiesのPLXsertでも公開(登録制)されている模様。
こういうド派手に動くbotは見つけやすいからいい (スコア:1)
こっそり悪いことしてるbotはトラフィックをチェックしてないと気がつかないこともあるからタチが悪い。最近のオススメのフリーの検知ツールがあれば教えてください。
そんなに影響あるの? (スコア:0)
感染後は、/bootディレクトリ内に.IptabLesまたは.IptabLexという名前のペイロードが作成され、これらのスクリプトファイルはリブート時に.IptabLesバイナリを実行する。
この時点で/bootはroでマウントしてるとか、そもそも必要になるまでマウントしてない。といったタイプの運用してる人には関係ないじゃない?
だいたいからして/bootなんてnosuid,nodev,noexecで全く問題ないもんねぇ。
一般ユーザに読み書き権限与える必要もないしgo-rwxしといても影響ゼロでしょ。
どれかやってりゃ、スクリプトファイルの実行もクソも・・・・。
仮に全てが単一パーティションみたいな運用してたとしても、/bootにsize=8kとかでtmpfsでもマウントしとくとか、ro,bindで/tmpと繋げとくとか、そんな程度の対策で十分でねえの?
それほど影響あるとも思えないんだけどな・・・・。
# Linuxのマルウェアって大半が、/tmpに利用してる場所をnosuid,noexecしとくだけで使い物にならなくなるよね。
# Windowsも${TEMP}をnosuid,noexecできるようになれば良いのに・・・。
# UACとかしょうもないことやって素人驚かせるくらいなら、そっちの方が効果的でしょ。
Re:そんなに影響あるの? (スコア:1)
これだけ無整備のお手軽サーバーが転がってて、「そんなの対策してればどぅってことないよね」とドヤ顔で言われても…
無知はネットに出るなと言ったところで、どんどん無防備で出てくる輩がいるからボットネットとかバカ発見器とか成り立つんじゃん
Re:そんなに影響あるの? (スコア:1)
世の中の、「Webサーバを立ててみよう、インターネットに公開してみよう」とかの入門記事が、そんな事までご丁寧に解説してると思っているのですか?
いっくらでも管理されてない、適当にやってみたっていうサーバはある訳ですよ
Re:そんなに影響あるの? (スコア:1)
それで思い出したが rhel だったか、外部メディアを自動マウントする際に
デフォルトで noexec オプションをつける挙動になっていて
そのせいで DVD 上のインストールスクリプトが実行できないという FAQ があったな。
/tmp である必然はないし、そう思わせておいて別の場所にドロップしていることもある。
Re: (スコア:0)
いくらなんでも認識が雑すぎないか。そんな知識で大丈夫か?
Re: (スコア:0)
「ちゃんと管理されてないサーバが多いのが問題」
→ 「管理されてりゃ平気なんだよ」
???
Re: (スコア:0)
>Windowsも${TEMP}をnosuid,noexecできるようになれば良いのに・・・。
インストーラーが困りますやん
>素人驚かせる
驚いて実行を考えてくれるだけで十分でしょ
いちいちパス入力しなきゃならんアホな仕様よりマシ
Re:そんなに影響あるの? (スコア:1)
>>Windowsも${TEMP}をnosuid,noexecできるようになれば良いのに・・・。
>インストーラーが困りますやん
お客様によっては、「いいから設定して」
というので、こういった設定もしていました。
しかし、アプリのアップデート時や、行儀が悪いアプリを
使う時に困るので、結局は設定を戻す感じですね。
自分で設定を解除しようとして、アクセス許可だけ弄り回すのは、やめて欲しかったです。
Unixならコマンドで簡単にできるのに、Windowsだと
レジストリ・ポリシー・フラグ環境変数・アクセス許可を
跨って設定しないといけないのが面倒くさいです。
Re: (スコア:0)
${TEMP}だけを使うインストーラーってだいたいそこにNon-Volatileなものを残してくんだよなぁ…
あれどうにかならんものか。
Re: (スコア:0)
これまで散々Windowsの脆弱性や危険性についてドヤ顔で批判しまくっていたのに、最近PSOやXbox Liveを攻撃しているbotnetとして無防備Linuxサーバが使われていたことが公表されたら、「影響ある?」みたいに開き直り。
> # Linuxのマルウェアって大半が、/tmpに利用してる場所をnosuid,noexecしとくだけで使い物にならなくなるよね。
その根拠は?
/tmp関係なく置かれているbotnetとかあるけど?
認識が浅すぎないか君?
> # Windowsも${TEMP}をnosuid,noexecできるようになれば良いのに・・・。
> # UACとかしょうもないことやって素人驚かせるくらいなら、そっちの方が効果的でしょ。
ま、UACやEMETなんかが整備されたおかげで、今ではWindowsはLinuxよりセキュリティが強いんだけどな。
ニホンゴ ムズカシイネ (スコア:0)
>LinuxサーバにDDoS攻撃を行うボットネットが確認される
WindowsサーバにはDDoS攻撃を仕掛けてこないのか、と空目した
またひとつLinuxの安定性が証明された (スコア:0)
敗北を知りたい
CentOS 7からは32bit CPU非対応になってしまった(´・ω・`) (スコア:0)
CentOS 6で2020年まで使えるけどさ。こんな感じで脆弱なPCは増えるだろうね。
Re: (スコア:0)
RHEL 7が非対応になったんだから当たり前だろ。Windows Serverもとっくの昔にx86を切り捨てたし
Struts、Tomcatって脆弱性多すぎ (スコア:0)
年がら年中な気が。
何世代かアップデートしないと起動しないようにとか出来ないんだろうか…
Re: (スコア:0)
コードが汚いのでバグが見つけにくい。
というか読む気がうせるw
デッカイ穴ならまだまだあるよ。あれ。