PEAK XOOPS - FTP経由サイト書き換え型ワームGumblar system in englishin japanese

Archive | RSS |
XOOPS
XOOPS : FTP経由サイト書き換え型ワームGumblar system
Poster : GIJOE on 2009-11-18 03:46:16 (20204 reads)

in englishin japanese
XUGJで話題になっていたこれ。
http://www.viruslist.com/en/weblog?discuss=208187897&return=1

Protectorで何か出来ないか考えてみましたが、やはり防犯ブザーのようなものが良いのではないかと結論づけました。

XOOPS_ROOT_PATHのmtimeと、index.phpのmtime、inodeを保存しておいて、それに変更があればサイト管理者にメールで通知する。まさに防犯ブザーです。

最初はファイルのmd5でも取ろうかと思ったのですが、原理的に毎回チェックすることの方がはるかに重要なので、負荷のかからないinodeをあえて利用しています。Windowsだとinodeは意味を持ちませんが、FTPでサイトを更新するなら、そのサーバは圧倒的に*nixが多いだろうという判断です。

FTPアカウントが盗まれている状態で、FTPで書き換え可能なファイルによって防御する、という時点でナンセンスな手法とも言えますが、こういう「防犯ブザー」であれば、ブザーのタイミングさえ間に合えば、サイト管理者が気付くことができるので、ワームの協力サイトとして運用し続けることだけは避けられるかもしれない、ということです。

この機能、Protector-3.50に実装しています。サイトをFTPでメンテナンスする度に通知メールが来ますが、「ちゃんと機能しているな」と思っていただけたら。

もちろん、サイトを更新する重要なクライアントマシンがこんなワームに感染しないようにすることこそが最優先ですし、サーバレベルで監視するとしても、「サイト相互の監視システム」なんて方がベターだろうと思います。

Printer friendly page Send this story to a friend

Comments list

nathanjosh32  Posted on 2010/7/17 10:26
Yeah your right i just using and i like to use the preloads/core.php to archive in the latest version!




________________________
makemoneyonline.net.ph/
DavidAnsky  Posted on 2010/1/8 3:00
I'd also like to know if we can add preloads/core.php to archive in the latest version.
voltan  Posted on 2009/11/20 5:36
Thank you ! Please tell me : now we use version 3.41 or 3.5 ?

and about patch mainfile.php and class/database/databasefactory.php in xoops 2.4.x perload system added ! can you add preloads/core.php in your archive?
vaughan  Posted on 2009/11/18 5:07
sounds like a good plan, i'm sure we'll put this through thorough long term testing :)
Login
Username or e-mail:

Password:

Remember Me

Lost Password?

Register now!