アカウント名:
パスワード:
スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。
実行されないならどんな危険なコードでも構わないと思うのだが、何が問題なんだろう?
・crontabに、「定期的に実行するbashワンライナー」を登録、さらに、「悪意のある長大なスクリプトをgzip圧縮しbase64でテキスト化し、適度に分割したものをコマンドとして、2月31日指定で登録」しておく。
・bashワンライナーは、「crontabを読み込んで2月31日のものを抽出、結合し、gzip展開してからbashに流し込んで実行」するというもの。(このワンライナーそのものも、そういう処理を行う複数行スクリプトを、gzip/base64で1行にしてる。)
・以上により、悪意のあるシェルスクリプトが定期的に実行される
という流れです。ワンライナーは正しいbashスクリプト。本体の方はコマンド実行不可な文字列ですが、実行しようとすることはないので問題ない、ということで。
2月31日はバレなくするための工夫ではなく、スクリプトのサイズを増やすための工夫ということかな。
ということは2/31だけを気にしてもダメってこと?今回はわかりやすい日付(作った人の悪ふざけ?)だっただけで別の日付でも可能ってことかまぁ実際にある日付だとエラーメッセージが飛ぶ可能性があるから使わないだろうってだけなのね
独自のファイルを仕込むと、身に覚えのないファイルに怪しまれる恐れがあるけど、どうせ定期実行のためにcrontabに手を入れてる(crontabを見られたら一発でばれる)のなら、crontabだけで仕込みが完結するようにしとけば発覚するリスクは減らせる、という判断じゃないですかね。
「crontabに埋め込む」のが先で、あとは、2月31日指定なんて妙に回りくどいことしなくても、「#で始まるコメント」形式でも使えば自由にデータ埋め込みは出来ますけど、デコードの手間を考えると「2月31日指定を抽出」が、余計なものが混じる心配がない、ってあたりかと。
管理GUIツールで消えないとか?# 稀にコメントを消す困ったちゃんが。
人間がcrontabを見れば異様な長大なbase64で一発でばれるし、そういう手口があることが周知されればセキュリティ製品でも検知できると対処不可能な手口では全然ないわけね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
解せぬ (スコア:0)
実行されないならどんな危険なコードでも構わないと思うのだが、何が問題なんだろう?
Re:解せぬ (スコア:2)
・crontabに、「定期的に実行するbashワンライナー」を登録、さらに、「悪意のある長大なスクリプトをgzip圧縮しbase64でテキスト化し、適度に分割したものをコマンドとして、2月31日指定で登録」しておく。
・bashワンライナーは、「crontabを読み込んで2月31日のものを抽出、結合し、gzip展開してからbashに流し込んで実行」するというもの。(このワンライナーそのものも、そういう処理を行う複数行スクリプトを、gzip/base64で1行にしてる。)
・以上により、悪意のあるシェルスクリプトが定期的に実行される
という流れです。ワンライナーは正しいbashスクリプト。本体の方はコマンド実行不可な文字列ですが、実行しようとすることはないので問題ない、ということで。
Re: (スコア:0)
2月31日はバレなくするための工夫ではなく、
スクリプトのサイズを増やすための工夫ということかな。
Re: (スコア:0)
ということは2/31だけを気にしてもダメってこと?
今回はわかりやすい日付(作った人の悪ふざけ?)だっただけで
別の日付でも可能ってことか
まぁ実際にある日付だとエラーメッセージが飛ぶ可能性があるから使わないだろうってだけなのね
Re:解せぬ (スコア:1)
独自のファイルを仕込むと、身に覚えのないファイルに怪しまれる恐れがあるけど、
どうせ定期実行のためにcrontabに手を入れてる(crontabを見られたら一発でばれる)のなら、
crontabだけで仕込みが完結するようにしとけば発覚するリスクは減らせる、という判断じゃないですかね。
「crontabに埋め込む」のが先で、あとは、2月31日指定なんて妙に回りくどいことしなくても、「#で始まるコメント」形式でも使えば自由にデータ埋め込みは出来ますけど、
デコードの手間を考えると「2月31日指定を抽出」が、余計なものが混じる心配がない、ってあたりかと。
Re: (スコア:0)
管理GUIツールで消えないとか?
# 稀にコメントを消す困ったちゃんが。
Re: (スコア:0)
人間がcrontabを見れば異様な長大なbase64で一発でばれるし、そういう手口があることが周知されればセキュリティ製品でも検知できると
対処不可能な手口では全然ないわけね