米SANS Instituteは現地時間12月23日,Linuxに感染するボットが多数報告されているとして注意を呼びかけた。多くの場合,PHPアプリケーションのセキュリティ・ホール(脆弱性)を突いてLinuxマシンに侵入・感染するという。Linuxマシンで構成された大規模なボットネットによるDDoS(分散サービス妨害)攻撃が実際に報告されている。ボットが狙うのはWindowsだけではない。Linuxマシンのユーザー/管理者も注意が必要だ。

 PHP関連のセキュリティ・ホールが相次いで見つかっている。それと同時に,セキュリティ・ホールを突くプログラム(Exploit)もネットで公開されている。最近では,phpBB 2.0.17以前(2.0.17を含む)のセキュリティ・ホールを突くExploitが公表されたという。新しいExploitが公表されると,ボットはそのExploitを組み込んで感染機能を“強化”していく。つまり,複数のセキュリティ・ホールを突く機能を備えるので,一つでもセキュリティ・ホールが存在すると,ボットの感染を許すことになる。

 ネットワーク管理者・技術者が参加する「NANOG(North American Network Operators Group)」のメーリング・リストには米国時間12月23日,Linuxマシンで構成されたボットネットからのDDoS攻撃を確認したとの投稿が寄せられている。DDoS攻撃のピーク時の“出力”は6ギガ・ビット/秒以上で,攻撃命令を出すIRCサーバーは日本に置かれていたという。

◎参考資料
Bots: They are not just for Windows anymore.
phpBB <= 2.0.17 exploit code in the wild
Destructive botnet originating from Japan