Linuxを狙うマルウェア「BillGates」 65
ストーリー by hylom
次はLinusの出番だろうか 部門より
次はLinusの出番だろうか 部門より
あるAnonymous Coward 曰く、
Akamaiが「BillGates」というトロイの木馬について警告を出したそうだ(ZDNet Japan、AkamaiのSecurity/Threat Advisory PDF)。
このマルウェアはLinuxを標的とするもので、SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みるそうだ。このマルウェアに感染すると、ボットネット管理者の指示を受けてDDoS攻撃を行うようになるという。
このボットネットはかなり大きくなっており、100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっているとのこと。
Windows向けマルウェア (スコア:3)
linusの登場も近いな
Re: (スコア:0)
スクリーンいっぱいに罵倒の言葉が出るのか
SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
思わず二度見した
イマドキRSAAuthentication使ってるバカなんていないよね? PubkeyAuthenticationだよね?
えーマジDSA!? キモーイ! 無印DSAが許されるのは小学生までだよねー キャハハハ
時代は楕円曲線DSAっしょ? djb信者ならEd25519使っとけ
とか書き込んでやろうかと思ったらそれ以下の次元の話だった・・・
PasswordAuthenticationやChallengeResponseAuthenticationをnoにしとく以前に、PermitRootLoginがnoなのは常識でしょ
低次元すぎて話になんねーよ
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:5, 参考になる)
それ全部ダメな方に倒してたとしても
fail2ban 入れとくだけで総当たり攻撃に対する耐性は劇的に向上するけどね。
knockd も併用すれば、総当たり攻撃で攻略される可能性はほぼないと言える。
uxi
Re: (スコア:0)
公開鍵とパスワードの二段階認証にしてるんだけど、小学生からやり直してもいいですか?
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
元コメントは、公開鍵認証を使っちゃいけないとは書いてないよ。
RSAでも2048bit以上なら、しばらくは大丈夫なんじゃない?
Re: (スコア:0)
「PasswordAuthenticationやChallengeResponseAuthenticationをyesにしてるけど、noにした一段階認証より安全ですが何か」
っていう皮肉だろjk・・・
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
それじゃ皮肉になってねぇだろ。
Re: (スコア:0)
PermitRootLoginがnoなのは常識というか、まともなディストリビューションなら初期値になってないか?
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
まさかと思って以前にインストールしたCentOS(6.7)を調べたら、rootでloginできてしまいました。すぐに変えたけど。
一応、ファイアウォールの中だから、同一組織内から攻撃されない限り大丈夫なはずだけど。
こんなのデフォルトで禁止にしておいてほしい。
Re: (スコア:0)
sshとしてのデフォルトはnoじゃないんですか?
ディストリ怖い。
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
まあ、ディストリビューションの責任で「PermitRootLogin no」にしとけ、ってのは、一つの見識で、比較的賛成。
でも、
sshとしてのデフォルトはnoじゃないんですか?
とか今頃気づくのはダメダメ。
そのあたりは、真っ先に調べとくもんでしょ。
ちなみに、いつも使うAnaconda Kickstartファイルには、「PermitRootLogin no」にするスクリプトを仕込んである。
しかしながら、実務では、利便性とかお客様の要望とかでデフォルトのまま(「PermitRootLogin yes」と同じ)で引き渡しちゃうことはあるなあ。
せめて公開鍵暗号にしとけよ、と思うんだけど、「PasswordAuthentication yes」だったりね。
さすがに、ファイアウォールの内側の話だけどね。
Re: (スコア:0)
sshd_configのわかりづらさもあるのでは。#PermitRootLogin yesって書いてあったら、コメントアウトされているんだから、rootログインは許されていないんだと思ってしまわないかな?実はこのコメントを消して、PermitRootLogin noって書き換えないといけないなんて、歴史的経緯でこうなったのかもしれないけど、罪なデフォルト値を採用してしまったものよ。
Re: (スコア:0)
sshがバージョン上げる時に「デフォルト no にするよ」と一言入れればよかろう。
(安全側に倒すのだから反対する人は少ない)
Re: (スコア:0)
まあ「ビル・ゲイツ悪者にすればヒーローになれる」って厨二病を発現させた、スクリプトキディ未満の馬鹿が作ったんじゃね?
Re: (スコア:0)
えー、作者が決めた名前じゃないよ
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
マルウェアが勝手に作成するディレクトリ名がビルゲイツなんだよ、それはどう考えても作者の意図だ
そういった理由なしにセキュリティー会社がこんな名前つけるわけないしな
Re: (スコア:0)
そうだとしても、名前の由来はなんだろう?
セキュリティベンダーが勝手にそんな名前を付けたら、さすがに苦情が来て、最悪だと裁判だ。
ファイル名がbillgatesだったとか、画面表示に"We are BillGates. You will be assimilated."が出るとか、
そういうのがあったんじゃないの?
Re: (スコア:0)
スクリプトキディ未満の馬鹿に侵入を許し大規模なボットネットを作成させてしまうLinuxユーザーたち…
# LinuxユーザーでもSSHサーバーは管理していないのでAC
Re: (スコア:0)
不公平だな。
SteveJobsも誰か作るべき。
Re: (スコア:0)
ストールマンやケントンプソンも作るべきだな。
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
初期のUnixには、管理者ユーザーにデニス・リッチー、ケン・トンプソンが有ったとか。
FreeBSDで、dmrとか見た記憶が。
https://ja.wikipedia.org/wiki/Charlie_Root_%28%E3%82%AA%E3%83%9A%E3%83%AC%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%29
Re: (スコア:0)
ジョブズなんてビルゲイツに比べたら取るに足らない小物だってことでしょ、ウイルス作者的には。
さあAppleファンよ、怒りのあまり犯人を特定して晒し上げてしまえ(あれ
Re: (スコア:0)
100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっている
わけだから。簡単な手法で絶大な効果を上げるのが優れたハッカーだと私は思う。
Re: (スコア:0)
こういうのは見つけづらいようにこっそりやるのがうまいやり方で、
こんなトラフィック発生させて発見を容易にするなんてバカのやり口だよ。
だいたいトラフィック増やすなんてべつにたいして難しいことじゃない。
OSやハードウェアの制限に達するまでは増やせるんだから難しいことじゃない。
Re: (スコア:0)
簡易かつ古典的な手口でボットネットの構築に成功しているってのがポイントでしょう。
大昔からある簡単な手口でボットネットを構築できるわけです。
未だにこの手口が有効ならでどうせこの先も有効なままでしょう。
どうせ簡単に作れるのだから潰されるまでおおっぴらに使って潰されたらまた作ればいい。
Re: (スコア:0)
標的は造り込みの甘いアプライアンスやIoT時代の諸々かもな
Re: (スコア:0)
Rootログイン許してるってことは、わざわざそう設定したわけで、わざとこのマルウェアに感染しようとしているグループがいるとか?
Re:SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる (スコア:1)
>>Rootログイン許してるってことは
いるんだなぁそれが
Port22のままPermitRootLogin yesになっているサーバ
レンサバとか半数以上は基本設定のまま使ってるんじゃない?
Re: (スコア:0)
花粉症大丈夫か
Re: (スコア:0)
それが
100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっている
ってことだから、実態がどれだけ酷いかよくわかる。
Re: (スコア:0)
それのエロ漫画に出てくる童貞君って象並みの巨根なんだよね。
馬並みでは足りない。
Re: (スコア:0)
個人なら sshd_config に AllowUsers か AllowGroups を設定しておけば大丈夫だよね? ね?
設定をミスるとツモるので要注意!
Re: (スコア:0)
某基幹系がyesだったぞ。
♯呆れたのが私が初だった(無論変な奴扱い)ので、そっち系は避ける事を決意
Re: (スコア:0)
いくら何でもビルゲイツに失礼だと思いました(棒
ビル・ゲイツ曰く、「Linux の脅威は OS/2 ほどでない」 (スコア:1)
http://usatoday30.usatoday.com/tech/news/2003-06-29-gates-linux_x.htm [usatoday.com]
# ゲイツ君に Linux と聴いて、思い出しちゃっただけなのでID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
この「〜〜だけなのでAC/ID」ってどんな基準で決まるんだろう
# それだけなのでAC
Wikipedia にあるよ (スコア:1)
https://ja.wikipedia.org/wiki/ [wikipedia.org]スラッシュドット#.E3.82.B9.E3.83.A9.E3.83.89.28.E6.97.A5.E6.9C.AC.E8.AA.9E.E7.89.88.29.E3.81.AE.E7.94.A8.E8.AA.9E
# だけなのでAC
Re: (スコア:0)
AC/DCがなぜ突然出てきたのかと戸惑ってしまった…。
Re: (スコア:0)
SSHを無効にしておけばいいの? (スコア:1)
Re:SSHを無効にしておけばいいの? (スコア:1)
わけがわからないよ (スコア:0)
>Akamaiが「BillGates」というトロイの木馬について
>SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みる
どっかから送り込まれたゲイツ君がlocahost:22にアクセスしてrootアカウントを攻撃?
これってトロイにする必要あるんかいな??
Re: (スコア:0)
侵入経路がsshに対するアタックなんて、サーバー動かしてれば必ずやってくるよね主に中国から
この点において何のニュース性もない。
名前だけだよね、しかも発見者側がつけた名前なんであってさ。
これをネタで取り上げる意図は、うーん、荒れてくれってことですかね
この名前でなければ取り上げられることもなかっただろうが (スコア:0)
> この名前が付けられたのは、このマルウェアの作者が、WindowsではなくLinuxを標的にしているためであるようだ。
理由それだけかよ!
Re:この名前でなければ取り上げられることもなかっただろうが (スコア:2)
ということは
次はLinusの出番だろうか 部門より
既に世の中Linus(あるいはSteve)だらけだ。
Re:この名前でなければ取り上げられることもなかっただろうが (スコア:1)
外部敵を必要としてるコミュニティだから仕方ないんだよ。敵が見つからないと内ゲバ起こして崩壊しちゃうからね。
#最近のMicrosoftの懐柔策は巧妙な策略かもしれん。
このマルウェアの狙いは (スコア:0)
このマルウェアのターゲットって、これから爆発的に増えるであろうIoT機器にインストールされたLinuxなんじゃないかな?
組み込みLinuxって、アップデートもしないセキュリティホールだらけの状態のものが今ですら多いのに、数十億台も普及したIoT機器の管理を作ったメーカーがするとも思えないんだが……
Re: (スコア:0)
こいつの前身と考えられてるXORボットネットにはLinux内蔵ルータが多数含まれていたようだから、今回のもIoTなLinuxが含まれてる可能性はあるね。
なんだつまんない (スコア:0)
感染したら勝手にWindows10にアップグレードされてしまうぐらいやってほしいものだ。