ウィルス感染の脅威　XPだけではない

こんにちは。 今日はWindows XPのサポート終了の日ということで話題になっていますね。 マイクロソフトの企業活動という点では今回の打ち切りは妥当だと思いますが、 一方で１つの企業に依存してしまうという危うさを垣間見た出来事でした。 同時に、改めてセキュリティについて考えさせられる出来事もありました。 25000台を超えるUNIX系サーバーがマルウェアEburyに感染していたことが3月末に話題になりました。 現在でも約１万台のサーバーが放置されているというから驚きです。 関連記事：ITMediaエンタープライズ3月20日記事

サーバー用途ではウイルスソフトの導入含め対策を

筆者は以前Linuxのウイルス対策を扱った記事で 「デスクトップ用として重要情報等を扱わないマシン」であれば神経質になる必要はないと書きました。 しかし、サーバー用途ではウイルス発信者とならないためにウイルスソフトの導入を検討するべきだと思います。 また、アンチウイルスに頼らず、パスワード管理やシステムの更新等のメンテナンスを怠らないことが重要です。 もちろん、心配な方はデスクトップ用途でもアンチウイルスソフトを導入しても良いと思います。 （ウイルス対策ソフトがセキュリティホールになるという意見もあります。自己責任で）

※ErubyはLinuxでメジャーなClamAVやchkrootkitまたはrkhunterでは 検出できないとのこと（2014/4/3時点）

ソース：Ebury SSH Rootkit - Frequently Asked Questions

Erubyに感染したか調べる方法

前置きが長くなりましたが、本題に入ります。 Eburyへの感染有無を調べる方法は以下の２つの方法があるようなので紹介します。

調査方法１

参考記事：welivesecurity 以下コマンドを実行します。

$ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”

もし、“System infected”と表示されたら感染の疑いありです。 感染指定なければ”System clean”と表示されます。

調査方法２

参考記事：Ebury SSH Rootkit - Frequently Asked Questions 以下コマンドを実行してパーミッション666や600でメモリを3MB以上使ってるか？

$ ipcs -m

感染している場合は以下のような実行結果になるそうです。 [bash] # ipcs -m ------ Shared Memory Segments -------- key shmid owner perms bytes nattch 0x00000000 0 peter 644 393216 2 0x00000000 32769 paul 644 393216 2 0x000006e0 65538 root 600 3283128 0 [/bash]  

もし感染していたら・・・

残念ながら感染の疑いがあった場合はどうしたら良いのでしょう？ 調べた限りではクリーンインストールが最良（かつ最終）手段のようです。 また、SSHパスワードの変更、秘密鍵の削除と変更などが推奨されています。 まずは、上記方法で確認をしましょう。 あなたのPCがウイルスをまき散らしているかも知れません。 [adsense]