一昨日、CentOSを中心に密かに猛威を振るっている「sshd rootkit」の情報を共有しましたが、その続報です。まだ不明な点が多い、結構厄介なmalwareですが、多くのサーバー技術者たちの熱意と実験とではっきりして来たことがいくつかありますので、それをシェアします。
 
computer security networkまず、このrootkitが書き換えるターゲットファイルは「libkeyutils.so.1.9」でlib/ディレクトリの中に入っています。名称の通り「key utility」に関する一群のファイルに似せてあり、usernameやpasswdなどを拾い特定の場所に自動転送するのではないかと検査されています。CentOSが主なターゲットのようですが、RedHat社の法人向けOSであるRHELのコアから派生したディストリビューションであれば、ColudLinuxその他もハッキングされる可能性が大です。32ビット、64ビット、共に標的です。
 
RHELコアとは違う派生群である、FedoraDebian、そしてUbuntuでもハッキングの事例が確認されたという報告もあります。ですので、Linuxを利用している以上は、気に留めるべきセキュリティー事例だと考えましょう。
 
特に、cPanelDirectAdminPleskなどの使いやすい「管理パネル」を利用者に提供しているLinux系サーバーの場合は、慎重で迅速な対策を採らなければ、近々確実にハッキングされる恐れがあると、有力者たちは懸念しています。また、一端サーバーをハッキングされたら、その後にsshdのポートを22番から移動しても無駄ですよね。ただ、一般的な安全性として、sshdへの外部からの攻撃を避けるという意味だと効果があるということです。
 
とにかく、サーバーの命であるroot(全権を持った管理者)権限を根こそぎ奪われるという甚大なセキュリティ問題です。かなり高度なハッカー達が背後にいるようで、解明にはもう少し時間がかかりそうです。引き続き注意をしていきましょう。
 
ただ、少し気になるのが、わが国のセキュリティ業界です。トレンドマイクロやらのベンダーの公式サイトへ行っても情報がない。それならば、と公的な情報処理推進機構に行ってもやはり報告事例がない。他のコミュニティー系のサイトへ行っても情報公開がない。どこへ行っても、Oracle Javaの脆弱性問題とか、Adobe Readerをupdateせえとかはあるのですが…。やはり、「サイバーセキュリティー」と言っても、所詮は個人PC/Macユーザー向けのものなんでしょうね。
 
だったら、せめてサーバー業界やホスティング業界で情報共有して欲しいなと思いますが、どちらも沈黙です。むろん、ビジネスに差し障るから商売ページにどかんと「セキュリティやばいっす!」などと書く必要はありません。内側では情報共有が進んでいるかも知れません。が、せめて、技術系コミュニティでは議論がされるべきでしょうが、英語サイトが頼りなのかなぁ。
 
目下、「sshd rootkit」と入れると、私のブログ記事が日本語ページで2番目に来ます。「CentOS rootkit」とより一般的な検索語彙を入れても、「自宅でCentOS!」みたいな個人サイトに続いて、2ページ目の頭に来ます。情報不足の現況を表わしているような気がします。
 
願わくは、日本のサーバー野郎たちが英語情報などに触れて注意してくれていることを!
引き続き、watchします。
 
ブログトップへ
「security audits」と言います。

よく使われる0-1024までのportは無論のこと、そこに脆弱性の多い1500以上のportをチェック。
それだけならただの「free port scan」なので、PC向け。

で、「standard」テストの場合、実に32,169の脆弱性についてテストしてくれます。
実際、わずか直近の30日間の間に709 new tests in the last 30 days

加えて嬉しいのが、DOS(Denial of Service)テストまで付加すること。これは、ご存知のようにサーバーに高負荷をかけるため、外すことも。

無料なのだが、ポイントは「サーフできるportからし

 blog update calendar

December 2018
MoTuWeThFrSaSu
262728293012
3456789
10111213141516
17181920212223
24252627282930
31123456