PEAK XOOPS - FTP経由けいゆサイト書かき換かえ型がたワームGumblar system

XUGJで話題わだいになっていたこれ。
http://www.viruslist.com/en/weblog?discuss=208187897&return=1

Protectorで何なにか出来できないか考かんがえてみましたが、やはり防犯ぼうはんブザーのようなものが良よいのではないかと結論けつろんづけました。

XOOPS_ROOT_PATHのmtimeと、index.phpのmtime、inodeを保存ほぞんしておいて、それに変更へんこうがあればサイト管理かんり者しゃにメールで通知つうちする。まさに防犯ぼうはんブザーです。

最初さいしょはファイルのmd5でも取とろうかと思おもったのですが、原理げんり的てきに毎回まいかいチェックすることの方ほうがはるかに重要じゅうようなので、負荷ふかのかからないinodeをあえて利用りようしています。Windowsだとinodeは意味いみを持もちませんが、FTPでサイトを更新こうしんするなら、そのサーバは圧倒的あっとうてきに*nixが多おおいだろうという判断はんだんです。

FTPアカウントが盗ぬすまれている状態じょうたいで、FTPで書かき換かえ可能かのうなファイルによって防御ぼうぎょする、という時点じてんでナンセンスな手法しゅほうとも言いえますが、こういう「防犯ぼうはんブザー」であれば、ブザーのタイミングさえ間まに合あえば、サイト管理かんり者しゃが気付きづくことができるので、ワームの協力きょうりょくサイトとして運用うんようし続つづけることだけは避さけられるかもしれない、ということです。

この機能きのう、Protector-3.50に実装じっそうしています。サイトをFTPでメンテナンスする度たびに通知つうちメールが来きますが、「ちゃんと機能きのうしているな」と思おもっていただけたら。

もちろん、サイトを更新こうしんする重要じゅうようなクライアントマシンがこんなワームに感染かんせんしないようにすることこそが最さい優先ゆうせんですし、サーバレベルで監視かんしするとしても、「サイト相互そうごの監視かんしシステム」なんて方ほうがベターだろうと思おもいます。