RSS Feed  Twitter  
|
Articles - Malware

 FTP経由で一斉にWebサイトを改ざんする

これから先は、筆者が入手したMpack(0.90)およびFTP Toolz Pack(2.7)を利用した感触であり、憶測も含んでいるのだが、こうしたWebサイトを改ざんに加え、スパムメール、フォーラムリンクなどから更に誘導することでアクセスを増加(感染を拡大)させることができるのは言うまでもない。

まず、MpackのWebサーバーへ設置は、前述したように、他のWebアプリケーションなどと同様に、MySQLのデーターベースを作成し、そのMySQLサーバーへののログイン設定、そしてMpack自体へのログインパスなどを設定ファイルに記述して、設置するだけだ。これで、トップページ(ex:http://hackerjapan-test.com/mpack/index.php)へアクセスすると、攻撃コードが実行される母体が出来上がる。

次に、アクセスを誘導するために、多くのWebサイトを改ざんする必要がある。これは、Mpackを設置したWebサイトへアクセスするよう、改ざんするWebサイトのWebページに、iframeタグを挿入していけばよい。

FTP Toolz Packは、この作業を自動化して、多くのWebサーバーを一斉に改ざんするために用いられる。用意するのは、予めクラック済みのFTPアカウントリストである。

リストには、「ftp://ユーザー名:パスワード@サーバーアドレス」が一行づつ記載され、このリストを読み込ませて、改ざんを開始する。実作業は、挿入するiframeタグを記載して、実行ボタンをクリックするだけである。

FTP Toolz Packでも、成功の統計やどこの国のWebサイトか、またGoogle PageRankなども参照できるようになっている。ロシア語の記載であるため、手探りで利用してたため、細かい部分は不明なところもある。

本稿執筆中に、SecurityFocusにMpackの開発者インタビューが掲載されているので、興味のある方は参照してみるといいだろう。

■Newsmaker: DCT, MPack developer:http://www.securityfocus.com/news/11476/1

■図3:FTP Toolz Packでもアタック状況の統計やログをWebブラウザごしにモニタ可能。
FTPTools1

●図4:改ざんするWebサイトへ追加するiframeタグを記述して、予め読み込ませたFTPアカウントに従って自動的に改ざんを行う。

・追加するタグを設定
ftptools2

・実行した際のログ
ftptools3

■図5:改ざんされたWebページには、iframeタグが追加される。

ftptools4
|