パスワードを忘れた? アカウント作成
8809477 story
インターネット

Web サーバーに不正なモジュールを組み込むマルウェア、nginx や lighttpd にも対応 11

ストーリー by reo
マルチプラットフォームって大事 部門より

ある Anonymous Coward 曰く、

先日、Apache HTTP Server に不正な拡張モジュールを仕込むマルウェアが話題になっていたが、今度は Apache HTTP Server だけでなく nginx や lighttpd にも対応する、不正モジュール組み込み型のマルウェアが発見された模様 (ITmedia ニュースの記事We Live Security の記事より) 。

新たに発見されたマルウェアは「Linux/Cdorked.A」というもので、どのようにして Web サーバーを攻撃するのかはまだ分かっていないという。nginx や lighttpd も狙われるようになるほどシェアが増えているということだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年05月10日 22時36分 (#2378325)

    自己増殖するわけではないし、root権限等必要だと思うし
    可能性が高いのは、Webサーバーの管理者のパソコンかな?

    以前もあったし、Windowsのマルウェアって可能性が高いのかな。
    韓国を攻撃したのも、Windowsに感染して、ローカルのファイルを検索してサーバーのパスワードを探る機能があったようだし
    こういう攻撃方法が今の主流なのかも

  • 4月のNetCraft調べ [netcraft.com]だと、Nginxのシェアは第3位。

    --
    iida
    • by Anonymous Coward

      たったの13%というべきでは?

      • by Anonymous Coward
        「13%」はそれなりにおいしい数字だと思うよ。もしも攻撃側にリスクやコストがないならば、だが。
  • by ksiroi (24990) on 2013年05月10日 11時07分 (#2377974) 日記

    アタック対象となるのにシェアの多寡は関係ないんじゃないかな。
    利用しているエンドユーザ数で測るべきかもしれん。
    nginxもlightyも俗にいう市民権を得てると思うよ。用途が一般向けじゃないだけで。

    // うちはsquidとapacheかなぁ。新コンテンツでnginxだわぁ(:>^

  • これのことかな。>「Darkleech Apache Module」に感染した日本のサイトにIEでアクセスするとマルウェア感染サイトに飛ばされる
    http://srad.jp/journal/564512/ [srad.jp]

  • by Anonymous Coward on 2013年05月10日 14時41分 (#2378115)

    cPanelやPleskのようなWebベースのサーバ管理ツールを使っているサイトの被害が多いようだ。
    このツールのセキュリティホールではなくて、単純に管理者のIDとパスワードが抜かれて、悪用されているだけかもしれないが。

    ログにも痕跡を残さず、ファイルに何も残さないため、見つけにくいらしい。

    .co.krなドメインの情報がチラホラ見えるが、朝鮮半島の何かに関係しているのだろうか。

    PC(Windows)よりMacは安全、WindowsよりLinuxは安全、とされていた時代は既に終了したという証だな。
    最近は逆にWindows Serverのほうが安全なんじゃないだろうか。

    • by Anonymous Coward on 2013年05月11日 23時17分 (#2378765)

      ネットワーク上のWinがやられてそこからサーバーがやられるというパターンが増えてるから、デスクトップを非Windwosにするという流れじゃないの?
      管理ツールが非Win対応なら無駄なリスク抱え込む必要ないんだし。

      親コメント
    • by Anonymous Coward

      最後のパラグラフがどうつながってるのかわからない・・・
      文章の最初から読むと

      サーバー側の問題じゃなくクライアント側の問題でウェブ管理ツールのIDとPASSが抜かれたんじゃ?

      ってご意見のようだけど、それだと、クライアント側で圧倒的シェアであるWindowsがやられた可能性が高いことになるけど、最後の文章はどう解釈すればいいの?

  • by Anonymous Coward on 2013年05月10日 19時20分 (#2378252)

    今回のは不正モジュールを組み込むタイプではなく、実行ファイル自体を変更するタイプ。
    なので実行ファイルの同一性チェックで確認できる。

    リンク先にはモジュールとかどこにも書いてない。

    • by Anonymous Coward

      Gentoo「実行ファイルの改変… また勝ってしまった。敗北を知りたい。」
      Arch「いや、やっぱりボクは鳥でも獣でもないよ。コウモリはコウモリなのさ。」
      他所ディストリ「\(^o^)/」

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...