「.htaccess」を不正アップロード、Gumblarが新たな改ざん攻撃


 ラックは3日、いわゆるGumblar(ガンブラー)ウイルスによる新たなWeb改ざん攻撃について注意喚起した。Apacheの設定ファイルである「.htaccess」を不正アップロードする複数のGumblarウイルスを確認したという。

 ラックによると、この不正な「.htaccess」ファイルは現在のところ、トップディレクトリに単発でアップロードされていることが確認されている。これにより、主要検索サイトからのアクセスや404/403などのエラーが、Apacheのリダイレクト機能で攻撃サイトに転送されてしまうことになる。攻撃サイトでは、従来のGumblar攻撃と同様にマルウェアの感染を試みるものと思われる。

 この新たな改ざんについてラックでは、ユーザーはJavaScriptの対策だけでは防げないことや、コンテンツファイルの監視だけでは気付かないことが、従来のGumblar攻撃と異なるとしている。

 ラックがこの攻撃を最初に確認したのは3月1日。ただし、FTP転送のログから、少なくとも1月27日にはこの攻撃が発生していたとみている。Webサーバーの管理者に対しては、身に覚えのない「.htaccess」ファイルが存在しないか確認するよう呼び掛けている。FTP転送ログで、「.htaccess」ファイルがアップロードされていないか確認するのも有効だという。


関連情報


(永沢 茂)

2010/3/3 16:15