PEAK XOOPS - FTP経由サイト書き換え型ワームGumblar system

XUGJで話題になっていたこれ。
http://www.viruslist.com/en/weblog?discuss=208187897&return=1

Protectorで何か出来ないか考えてみましたが、やはり防犯ブザーのようなものが良いのではないかと結論づけました。

XOOPS_ROOT_PATHのmtimeと、index.phpのmtime、inodeを保存しておいて、それに変更があればサイト管理者にメールで通知する。まさに防犯ブザーです。

最初はファイルのmd5でも取ろうかと思ったのですが、原理的に毎回チェックすることの方がはるかに重要なので、負荷のかからないinodeをあえて利用しています。Windowsだとinodeは意味を持ちませんが、FTPでサイトを更新するなら、そのサーバは圧倒的に*nixが多いだろうという判断です。

FTPアカウントが盗まれている状態で、FTPで書き換え可能なファイルによって防御する、という時点でナンセンスな手法とも言えますが、こういう「防犯ブザー」であれば、ブザーのタイミングさえ間に合えば、サイト管理者が気付くことができるので、ワームの協力サイトとして運用し続けることだけは避けられるかもしれない、ということです。

この機能、Protector-3.50に実装しています。サイトをFTPでメンテナンスする度に通知メールが来ますが、「ちゃんと機能しているな」と思っていただけたら。

もちろん、サイトを更新する重要なクライアントマシンがこんなワームに感染しないようにすることこそが最優先ですし、サーバレベルで監視するとしても、「サイト相互の監視システム」なんて方がベターだろうと思います。