XUGJで
話題になっていたこれ。
http://www.viruslist.com/en/weblog?discuss=208187897&return=1Protectorで
何か
出来ないか
考えてみましたが、やはり
防犯ブザーのようなものが
良いのではないかと
結論づけました。
XOOPS_ROOT_PATHのmtimeと、index.phpのmtime、inodeを
保存しておいて、それに
変更があればサイト
管理者にメールで
通知する。まさに
防犯ブザーです。
最初はファイルのmd5でも
取ろうかと
思ったのですが、
原理的に
毎回チェックすることの
方がはるかに
重要なので、
負荷のかからないinodeをあえて
利用しています。Windowsだとinodeは
意味を
持ちませんが、FTPでサイトを
更新するなら、そのサーバは
圧倒的に*nixが
多いだろうという
判断です。
FTPアカウントが
盗まれている
状態で、FTPで
書き
換え
可能なファイルによって
防御する、という
時点でナンセンスな
手法とも
言えますが、こういう「
防犯ブザー」であれば、ブザーのタイミングさえ
間に
合えば、サイト
管理者が
気付くことができるので、ワームの
協力サイトとして
運用し
続けることだけは
避けられるかもしれない、ということです。
この
機能、Protector-3.50に
実装しています。サイトをFTPでメンテナンスする
度に
通知メールが
来ますが、「ちゃんと
機能しているな」と
思っていただけたら。
もちろん、サイトを
更新する
重要なクライアントマシンがこんなワームに
感染しないようにすることこそが
最優先ですし、サーバレベルで
監視するとしても、「サイト
相互の
監視システム」なんて
方がベターだろうと
思います。