カレンダー

11 | 2016/12 | 01
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

広告



最近の記事

カテゴリー

DATE: CATEGORY:TECH


最近、ガンブラー(GUMBLAR)なるウィルスが猛威を奮っています。

それについて、ちょっと思ったこと。

ガンブラーとは


まずは、そのガンブラーっていうウィルスについて。

今話題の不正プログラム「ガンブラー」は、どんな振る舞いをするのか?
最初の挙動。

不正に入手されたアカウント情報によるログインやSQLインジェクションなどにより、Webページを改ざん。改ざんされたWebサイトには、不正なWebサイトへリダイレクトするプログラムが埋め込まれる。

で、拡がったウィルスの挙動。

「TROJ_DROPR.GB」と呼ばれるプログラムがユーザーのPCに送り込まれる。このプログラムはPC内で自動的に実行され、「TSPY_KATES.SMOD」(カテス)と呼ばれる不正プログラム(実際のファイル名は拡張子も含めてランダムな文字列)を作成する。

トラフィック監視中のTSPY_KATES.SMODは、送信データ内にFTPアカウントのユーザー名とパスワードを発見すると、それらの情報を「67.215.246.34」および「195.24.76.250」へ送信する。これにより、FTPアカウントの情報が攻撃者の手に渡ることになる。こうして入手した新たなWebサイトのFTPアカウント情報を利用して、再び不正プログラムを埋め込み、被害を拡大させるという。

HPの管理者のFTPのID/Passを取得してHP改ざんしてるのか、と。

で、思ったこと。


今回は、一旦、ウィルス自体の問題はさておいて、
企業のHPの運用について考えてみました。

このウィルスでかなりの企業のHPが改ざんされていますが、
「FTPのアカウントを盗まれて改ざんされている」という事から
考えると、名だたる企業の多くのHPが
internet経由」、且つ、「単なるFTP
でメンテナンス出来るようになってるって事!?と驚いた。
# SQLインジェクションを使った方法もあるかもしれませんが。

この運用って、個人がプロバイダのスペースを
借りて無料でやってるHPとかの運用レベルやん!

ハウジングなのか、ホスティングなのか、クラウドなのかわかりませんが、
これが事実なら、名だたる企業のHPが個人のHPと
同じレベルで運用されてるということではないかと。

キーロガーでもなさそうなので、SCPなりSFTPなり多少暗号化されてれば、
問題なかったのかなぁ、とかメンテナンスは、イントラから、や、IP制限を
かける、とかしてれば、internetから改ざんされる事もなさそうだし。。。
とかとか、いろんな方法がありそうなのになぁ。
# もちろんコスト面の問題もあるんだろうとは思いますが。

そもそもFTPのID/Passとか、ウィルスじゃなくても
盗聴されたらバレてしまってたんかいな、という感じもする。

個人のHPに比べて、大手の企業のHPはアクセスしてくる人も多いはず。
もし、個人のHPのレベルで運用されている会社のHPがあったんだとしたら、
改善していって欲しいものです。

ではでは。

タグ : TECH IT ウィルス

Comment

コメントの投稿

管理者にだけ表示を許可する


トラックバック


この記事にトラックバックする



copyright © なんとなしの日記 all rights reserved.
内職☆在宅ワークの最強は?アフィリエイト!. 初心者だってカッコ良いホームページ作るぅ!
Powered by FC2ブログ
Related Posts Plugin for WordPress, Blogger...