サイト管理者はご用心―Appacheサーバーにマルウェアを仕込む新しいスパム手口発見

次の記事

Facebookの'フレンド'の非現実性を指摘したPaul AdamsがFacebookに移籍–Googleからの異様な頭脳流出

セキュリティー・スキャン・サービスを提供するSucuri.netからの通報によると、Apache上のウェブ・サーバの多くがある条件の下でGoogle検索に対してスパム・リンクを返すモジュールを仕込むマルウウェアの被害を受けているという。私としては、この種のマルウェアが現実に活動しているのを知ったのはこれが初めてだ。

仕組みのあらましはこうだ。ハッカーはSSHあるいはCMSの脆弱性を利用してサーバのルート権限を奪い、ウェブトラフィックを常時監視する小さいモジュールをインストールする。ユーザーがサイトを直接訪問した場合には別に何の不都合も発見できない。サイトのソースコードを点検しても不審な点は見つからない。たとえば、University of the Westのウェブサイトだが、下のスクリーンショットのように正常に表示される。ところが、uwest.edu とviagraというキーワードで検索すると改竄されたページが表示される。つまり信用されているサイト(uwest.edu)をスパマーのURLに恒久的にリンクさせてしまう仕組みだ。

Sucuri.netのDavid Dedeが提供してくれた情報によると、汚染されているサイトの一部は次のようなものだ。

http://www.jchs.edu
http://www.jmkac.org
http://www.legal-library.co.uk
http://www.linnean.org
http://www.master-photonics.org
http://www.menshealthnetwork.org
http://www.moc.edu
http://www.mulchblog.com
http://www.no-fuel.org
http://www.oecs.org
http://www.prairiepublic.org
http://www.projectapproach.org
http://www.renewable-energy-watch.org
http://www.savethewildup.org
http://www.thedigest.com
http://www.tumenprogram.org
http://www.uinteramericana.edu
http://www.umoncton.ca
http://www.unionsportsmen.org
http://www.uwest.edu
http://www.wcwonline.org

被害にあっているサイトの大部分は.eduドメインで、最近メンテナンスないしアップデートが実施されていないようだ。

もしこの被害にあっていることが判明したらどう対処すればよいのか? 残念ながら完全な再インストールしかない。まずすべての管理用パスワードを更新し、サーバとCMSを再インストールする。また、サイトが感染しているかどうかはviagraのようなスパマーの使いそうなキーワードと共に自サイトをGoogle検索してみるしかない。この手口で別のマルウェアがインストールされる(最近CrunchGearがやられたのもこれらしい)可能性もあるので厄介だ。

このマルウェアを仕掛けようとするハッカー(個人かグループか分からないが)はかなり勤勉だ。SucuriのDavidが見せてくれたスクリプトのソースコードによると、連中はそれぞれのサイトで20以上の脆弱性を次々に試していた。ひとたび中に入り込むのに成功すると、シェルを作り、バックドアを仕掛けるなどの悪事を開始する。クリスマス休暇を控えて、ここ数日はサーバをロックダウンし感染の生むを確かめるなどの措置を取るのが賢明かもしれない。

〔Sucriの無料スキャンで感染が判定できるとのコメントあり。スキャンは管理者でなくても実行可能〕

[原文へ]

(翻訳:滑川海彦/namekawa01