Gumblar后門的爆發曝露出FTP證書問題
作者:TechTarget
安全廠商ScanSafe的高級安全研究者Mary Landesman闡述了如何解碼和檢測PHP后門腳本——這種編碼和FTP竊取木馬Gumblar有關聯。
安全研究者解釋了如何檢測木馬,但是許多人指責網站負責人沒有技術專家來解決這一問題。
安全廠商ScanSafe的高級安全研究者Mary Landesman闡述了如何解碼和檢測PHP后門腳本——這種編碼和FTP竊取木馬Gumblar有關聯。
Gumblar和Martuz木馬在今年年初出現,已經成功地竊取了成千上萬的FTP證書,取得了訪問網站的權限并將受控制的機器變為惡意軟件的攻擊平臺。由于許多跟蹤木馬的安全廠商不能夠提供任何具體的數目,我們無法獲知Gumblar的具體流行程度,但有一點值得確信:Gumblar的持續擴散速度已達到值得關注的程度。ScanSafe、Symantec、McAfee和其他廠商警示稱已有成千上萬的網站被Gumblar所侵害,并構成了一個相當強大的僵尸網絡。
除了檢查日志文件進行異常檢測之外,Landesman說網站管理員還能通過以下的方式做到先發制人:
搜索意外的PHP文件或在上個月意外修改過的PHP文件(將你的文件按照日期進行分類);
在PHP可疑文件的存放位置處查找相應的子文件夾。
檢查網站上的所有文件夾,因為Gumblar有可能安裝在多個位置。
問題是許多這些網站都很小,有可能無人管理或者是由缺乏專業技術知識的人員來管理。幾位安全研究人員和我交流過,他們都已嘗試聯系過那些受影響的網站的負責人。有些網站的所有人甚至沒有意識到他們的網站已被利用來構成攻擊平臺。其余的則沒有技術專家來采取任何解決措施。
這種問題正不斷涌現,可能需要注冊主管者在向任何擁有信用卡的人員銷售域名的過程中解決。誰負責這個域名?很明顯,在許多網站所有者只是為網站門面“掛名”的情況下,這一問題是得不到一個明確的答案的。
【編輯推薦】
責任編輯:趙寧寧
來源:
TechTarget
