ASCII.jp:ラック、JavaScript埋め込まないGumblarを発見
これまでのGumblarは、Webサーバー内のコンテンツ(HTMLファイル)を改ざんしてJavaScriptを埋め込むことで、悪意あるWebサイトへの誘導を行なってきた。このタイプの場合、WebブラウザでJavaScriptを無効にすることで、被害を防ぐことができた。
一方、新タイプのGumblarは、Webサーバーに侵入してApacheの設定ファイル「.htaccess」の不正アップロードを行なう。.htaccessは、コンテンツへのアクセス制限やCGIの許可などを設定したファイルで、Gumblarの.htaccessには悪意あるWebサイトへリダイレクトする設定が記述されている。.htaccessによるリダイレクトはスクリプトを使わないため、JavaScriptを無効にしていても、悪意あるWebサイトにアクセスさせられてしまうわけだ。
ラックによれば、この攻撃を最初に認識したのは3月1日だが、FTP転送のログから、少なくとも2010年1月末頃には攻撃が発生したと推測しているという。
うむむ。 .htaccessファイルは、AutoIPBanで生成するものしか使っていませんが、帰ったら確認してみなければ。