Webサーバに感染するApacheモジュール

 これまでマルウェアがターゲットとするPCは、もっぱらWindowsのクライアントPCばかりだったが、Webサーバーを狙った悪質なApacheモジュールが確認されている。

Webサーバに感染する悪質なApacheモジュールが横行..(ITmedia)

 最終的にはWindowsのクライアントPCからのフィッシングを行うことだが、公開されているWebサーバーの、しかも不正なApacheモジュールなのだという。Apacheといえば事実上Webサーバーそのもので、DNSでいえばBINDに匹敵するものであろう。しかもそれはインターネット上ではLinux環境が標準である(今回見つかった不正モジュールはLinux/Chapro.Aというのだという)。Linuxの方がWindowsよりもユーザ数が少ないことやOS環境の特性から、マルウェアのターゲットになりにくいだろうが、Webサーバーが感染となればその影響の大きさは並大抵ではない。


 Apacheモジュールはコンパイルされたバイナリファイル(.so)だが、Apacheにモジュール組み込むには、設定ファイル(httpd.conf)や組み込みconf.dフォルダにconfファイルを置くなどして設定するはずである。まず不正モジュールがどうしてWebサーバーに入り込んだか、あるいは外部Webサーバーのモジュールを動的に組み込むようになっていたかである。それにしても設定ファイルが何らか書き換えられたはずで、そのへんのセキュリティがどうなっていたかである。


 感染した(乗っ取られた?)Webサーバーはiframeが組み込まれたWebページを送信し、その窓の中にユーザに入力を促す内容が入っていたと思われる。この部分がフィッシングには違いないが、こうなってしまっていてはhttps://のアドレスの認証ページになっていても何の意味もなくなることになる。HTML的にはframeはすでに非推奨で、HTML5からはiframeも完全になくなるようだが、現実のバージョンではこういう手段も可能なわけである。実際、ウィジットだかガジェットだかでも、しばしば組み込みにiframeが利用されているのを見かける。今後はこうしたパーツを自分のページに組み込む際にも十分に注意が必要というか、できれば使用しない方がよいということになりかねない。