[Apache][Security]Darkleech Apache Moduleマルウェア

【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます!

こわい(こなみ)
Apacheウェブサーバを利用したウェブサイトにおいて、閲覧者を不正サイトにリダイレクトするようページを改ざんするマルウェアが国内外で猛威をふるっている模様。なにかしら対策しなければ。

■サーバ管理者として

当サイト(wordpress)はApacheで動いているので他人ごとではない。悪者にサーバにログインされて不正モジュールをインストールされてしまっていないか調べる。
「httpd -M」で調べてみたところ、あやしいものは無さそうであった。モジュール名全部ググってみたけど、すべて正常な(安全な?)モジュールとしてヒットしたので。confファイルも見てみたが<たぶん>改ざんはされていないように見受けられた。…ああ、設定ファイルの履歴管理していればよかった…。
また、上記引用元サイトによれば、不正モジュールは次のような名前でインストールされるとのこと。

モジュールファイルの名前可能性は↓
mod_sec2_config.so
mod_pool_log.so
mod_chart_proxy.so
mod_balance_alias.so
:
↑この名前のフォーマットを使いconfのダイレクトリーにgrepをすれば出れますね。

うん、うちのサーバには無い。
まぁうちの場合サーバへのFTPは塞いでいるし、SSHも公開鍵認証方式のみにしているので、なまなかなことでは不正ログインは許さないはず。ということで当サイトは今のところ安全であると判断できましょう。

■一般ユーザとして

すでに多くのサイトが感染しており、さらに被害は拡大するかもしれない。IE使わない・ローカルのJava、PDFリーダ、Flashを最新化するなど対策する必要がある。
「ゆかしメディア」や「琴浦さん」などでも被害
やべえ自宅のPCで琴浦さんサイト閲覧したことあるかもしれない。IE使わないから大丈夫と信じたいが、カスペルスキー様でフルスキャンすることにしよう。


コメントを残す