http://www.itmedia.co.jp/enterprise/articles/1305/01/news025.html
↑気になった。
まだ今のとこ回避方法とかが出まわってないみたいなので
とりあえず感染しているかを確認する方法は無いものかと思い確認。
あった。
↓
・welivesecurity
http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-serves-blackhole/
内容についてはITmediaさんで書かれている内容でほぼほぼ網羅されているようなのでそちら参照。
それ以外でなんとなく読み取った結果↓(英語苦手なので間違ってる可能性大)
・共有メモリが数MB使用される
・XOR keyっていうquery stringが付与
・EtagにクライアントIPが付与
・Cookieに“SECID=”って追加される
まあとりあえず、アクセスログには残らない、
基本共有メモリ乗っかっててHDDにも残らない
なので見つけるのが困難そうなのは分かった。
で頑張って英語読んだ結果、感染しているかの確認方法は↓
welivesecurityのサイトにて確認用プログラムが公開されてる。
↓
http://www.welivesecurity.com/wp-content/uploads/2013/04/dump_cdorked_config.7z
もしくはwelivesecurityの下の方にソースが書いてあります。
これをダウンロードして、調べたいapacheが入ってるサーバーで実行
# python dump_cdorked_config.py
File "dump_cdorked_config.py", line 34
shmid = shmget(SHM_KEY, SHM_SIZE, 0o666)
^
SyntaxError: invalid syntax
エラー。。。
コメント読んでみるとPython2.5以前の場合は
0o666を438にしてくれと書いてある。
直す。
34 shmid = shmget(SHM_KEY, SHM_SIZE, 0o666)
↓
34 shmid = shmget(SHM_KEY, SHM_SIZE, 438)
再度実行
# python dump_cdorked_config.py
Traceback (most recent call last):
File "dump_cdorked_config.py", line 15, in ?
from ctypes import *
ImportError: No module named ctypes
またエラー
ctypesが入ってないとのこと
# python
>>> import ctypes
Traceback (most recent call last):
File "
ImportError: No module named ctypes
確かに入ってない。
入れる。
↓ダウンロード
http://sourceforge.net/projects/ctypes/files/ctypes/
# python setup.py build
# python setup.py install
確認。
# python
>>> import ctypes
>>>
OK
そして実行
# python dump_cdorked_config.py
System not infected
↑システムは感染していません、と。
感染しているapacheも見てみたいけど難しいな。
とりあえずこれで確認はできるけど
そもそも感染しないような対処はどうすれば良いのか。
対処方法かアップデート出るのを待つか。