ログイン
ユーザ名:

パスワード:


パスワード紛失

新規登録
Main Menu
Tweet
Facebook
Line
:-?
スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
webadm
投稿日時: 2013-3-10 6:55
Webmaster
登録日: 2004-11-7
居住地:
投稿: 3068
遠隔操作プログラムとか
警視庁が一連の遠隔操作事件に使われたプログラムソースから抽出したシンボル名とかを公開し関連情報を募集している。

見たところ、ほとんどの関数名は完璧な英語圏のかなり訓練されたプログラマが命名したもののように見えるが、一部だけ日本語由来の単語が含まれるものがある。このちぐはぐさは明らかに元は外国で書かれたお手本となるソースコードを元に日本人プログラマが改造したと見るのが自然である。

そう言えばむかしLinuxをbotnetから遠隔操作するための侵入をこのサイトも試みられたことがあり(今のサーバーの前に玄箱を使っていた時、2006年頃)、そのときたままたwgetというunix系サーバーでは標準で入っているhttpクライアントコマンドが無かったので、侵入は失敗に終わっていた。

侵入の手口はphpかperlの既知の脆弱性を利用して任意のコマンドを実行するというもの。予め別のwebサーバーに遠隔操作プログラム(perlで書かれていた)を置いておいて、侵入しようとするwebサーバーの脆弱性をついてwgetコマンドでその遠隔操作プログラムをダウンロードして実行するというもの。

玄箱にはwgetが最初から入っていないのでダウンロードがされず遠隔操作プログラムの起動は空振りに終わっていた。

ちょうどそれをリアルタイムに観測していたので、すぐさまwgetでアクセスしようとしたwebサーバーから遠隔操作プログラムだけをダウンロードし捕獲。翌日確認したらそのサーバーは消えていた、攻撃が発覚してブロックされたのだろう。

その時の遠隔操作プログラム(perlスクリプト)を解析してみたら、ほとんどは当時あった有名なハッカーサイトで公開されている悪意の無い遠隔操作プログラムの実装そのもので、それに犯人がサイト自動攻撃や証拠隠滅のために自分自身を削除するコマンドとかが追加されていた。遠隔コマンド自身は犯人しか知らないchatサーバーチャネルが使用されていた。そこに犯人がコマンドをchatでつぶやくと、遠隔操作プログラムがそれを受け取って実行に移すというもの。

サイトの全ファイルを消してしまうというコマンドもあり身の毛もよだつプログラムだった。

今そのプログラムはどこにいったか見つからない。当時使っていた古いPCに入れたままかも。残念。

たぶん犯人はどこかの時点で海外のハッカーサイトからひな形の遠隔操作プログラムソースを入手して、悪意のある目的のための機能を追加したと考えられる。

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ

投稿するにはまず登録を
 
ページ変換(Google Translation)
サイト内検索