mipsel搭載ルータやモデムを狙い、ボットネット形成するワーム 9
ストーリー by mtakahas
最近のPCよりも攻撃しやすい? 部門より
最近のPCよりも攻撃しやすい? 部門より
あるAnonymous Coward 曰く、
Mipsel-based-linuxなマシンを狙ったワーム「psyb0t」により、10万台規模のボットネットが形成されているらしい(DroneBLのブログ、PC Magazineの記事)。
感染条件は
- mipsel搭載のデバイスであること
- WAN側からアクセス可能なtelnet、SSHもしくはWebベースのインターフェイスがあること
- ユーザー名とパスワードの組み合わせが脆弱であるか、搭載ファームウェアが利用しているデーモンが脆弱であること
ボットネットに組み込まれたものの90%は、ユーザー側のミスによるとのこと。
また別のAnonymous Coward 曰く、
本家/.にタレこまれていますが、DSLモデムやルータ(OpenWRT/DD-WRTも含む)などの脆弱性をついてボットネットを構築しているワームがあるようです。
雑誌やブログで、市販ルータの搭載ファームウェアをOpenWRT/DD-WRTに書き換える方法が紹介されていますが、その多くは、セキュリティやファイアウォール設定に関する情報が不足しています。ファームウェアのメンテナンスがされていない市販ルータも同罪でしょう。
MIPSel (スコア:2, 参考になる)
MIPS running in little-endian mode (?)
le なので、順番が違うような、、、
embedded Linux (?)
#求む、解説
このPDF文書 [adam.com.au]には、製品についての情報もあるようです。
Re:MIPSel (スコア:2)
コンパイラのバイトオーダーを切り替えるオプションで-EBと-ELというのがあってですね、-ELを使うMIPSだからmipselなんじゃないかと思ってます。
Re:MIPSel (スコア:1)
> MIPS running in little-endian mode, this is what the worm is compiled for
little endian限定なのはどうしてなんだろう。
big endianで動いているMIPSデバイスが少ないから? それとも、little endianに固有の攻撃方法になっている?
Re:MIPSel (スコア:1)
私も似たような疑問を持ったのですが、mipsel固有なのは単にボット自体がリトルエンディアンでコンパイルされているからのようです。確かに、リトルエンディアン環境でビッグエンディアンのバイナリは普通動かせませんよね。ビッグとリトルのバイナリをそれぞれ用意しといて、実行できるほうを使うとかしておけば済む気もしますが、そこまでしなくても良かったのかもしれません。
一番メジャーだからでは? (スコア:0)
Re: (スコア:0)
iLttelE dnain でleんなすで。よ
# ごめんなさい
Psyb0t (スコア:0)
サードパーティファームウェア (スコア:0)
驚かない。
WANから狙えるものは少ないけど (スコア:0)
LAN内のWindowsPCを狙ったワームとタイアップすればかなり効きそうだと思う。
運用先ではデフォルトのユーザ名、パスワードを変えてないケースがままあるので。
# 変えるべきとはわかってるけどね...