Linux 上で動く Apache/mod_ssl をターゲットにした worm が広まって いるようです。OpenSSL の既知の security hole を利用したものです。 この worm は,まず port 80 (HTTP) にアクセスして Apache が起動して いることを確認すると,port 443 (HTTPS) に攻撃をしかけます。この 攻撃が成功すると,DDoS(分散型サービス運用妨害)の踏み台として利用 されることになるようです。 http://www.jpcert.or.jp/at/2002/at020006.txt http://www.cert.org/advisories/CA-2002-27.html *** 2002/09/24 追記 *** 複数の亜種が確認されたそうです。Internet Security Systems の 「「Slapper」OpenSSL/Apache ワームの変種の蔓延」に、詳しい情報が あります。 http://www.isskk.co.jp/support/techinfo/general/SlapperApacheWorm2_xforce.html *** この攻撃は最新の OpenSSL を使うことによって回避できます。 最新版は医療情報部サーバにも置いてあります。 http://mi.med.tohoku.ac.jp/mednet-admin/newest/src/openssl-0.9.6g.tar.gz 攻撃対象として確認されている OS および Apache の version の組合わせ は,今のところ次のようになっているようです。これに該当する web server を運用している場合には,以下で説明する侵入の有無の確認と,OpenSSL の version の確認が必要でしょう。 struct archs { char *os; char *apache; int func_addr; } architectures[] = { {"Gentoo", "", 0x08086c34}, {"Debian", "1.3.26", 0x080863cc}, {"Red-Hat", "1.3.6", 0x080707ec}, {"Red-Hat", "1.3.9", 0x0808ccc4}, {"Red-Hat", "1.3.12", 0x0808f614}, {"Red-Hat", "1.3.12", 0x0809251c}, {"Red-Hat", "1.3.19", 0x0809af8c}, {"Red-Hat", "1.3.20", 0x080994d4}, {"Red-Hat", "1.3.26", 0x08161c14}, {"Red-Hat", "1.3.23", 0x0808528c}, {"Red-Hat", "1.3.22", 0x0808400c}, {"SuSE", "1.3.12", 0x0809f54c}, {"SuSE", "1.3.17", 0x08099984}, {"SuSE", "1.3.19", 0x08099ec8}, {"SuSE", "1.3.20", 0x08099da8}, {"SuSE", "1.3.23", 0x08086168}, {"SuSE", "1.3.23", 0x080861c8}, {"Mandrake", "1.3.14", 0x0809d6c4}, {"Mandrake", "1.3.19", 0x0809ea98}, {"Mandrake", "1.3.20", 0x0809e97c}, {"Mandrake", "1.3.23", 0x08086580}, {"Slackware", "1.3.26", 0x083d37fc}, {"Slackware", "1.3.26",0x080b2100} }; http://isc.incidents.org/analysis.html?id=167 また,今後この worm を元にして他の OS 用のものが作られる可能性が高い と思われます。これ以外の OS を使っている場合にも,OpenSSL が最新のもの であることを確認するべきでしょう。 この worm による攻撃は,次のようにして確認できます。 1. access log 上の次のような記録の有無 GET /mod_ssl:error:HTTP-request HTTP/1.0 これは攻撃を「仕掛けられた」ことが確認できるだけで,それが成功した かどうかは別問題です。 2. /tmp/.bugtraq.c または /tmp/.bugtraq というファイルの有無 こういう名前のファイルがあった場合は,ほぼ確実に侵入されています。 3. netstat -an の実行結果 2002/udp を使った通信が行われている場合には,ほぼ確実に侵入されて います。