FreeBSD 上で稼動する Apache をねらうワーム Scalper が発生 | ScanNetSecurity
2026.05.27(水)

FreeBSD 上で稼動する Apache をねらうワーム Scalper が発生

 2002年6月18日発表された WEB サーバ Apache の脆弱性をねらうワームが早くも登場した。
 Apache は、もっともよく使われている WEB サーバアプリケーションであり、国内の co.jp ドメインのうち 82% が利用している。
( https://www.netsecurity.ne.jp/article/1/4

製品・サービス・業界動向 業界動向
14 views
facebookLINE
 2002年6月18日発表された WEB サーバ Apache の脆弱性をねらうワームが早くも登場した。
 Apache は、もっともよく使われている WEB サーバアプリケーションであり、国内の co.jp ドメインのうち 82% が利用している。
( https://www.netsecurity.ne.jp/article/1/4298.html )
Scan Incident Report によれば、自治体でも約13% が利用しているという。
http://vagabond.co.jp/c2/sir/index.htm

 18日に発表された脆弱性は、DoS 攻撃や任意のコードの実行が可能という深刻なものであった。
 すでに、セキュリティ上の問題を解決したバージョンやパッチなどが公開されている。

 シマンテック社、トレンドマイクロ社、エフセキュア社などアンチウィルスベンダ各社が Scalper に関する情報をあいついで公開した。

 今回、発見されたワームは、FreeBSD 上で動作するものである。
 このワームは、IPアドレスの最初の部分を固定とし、次をランダムに生成、3番目と4番目は、ひとつづつ増加させて攻撃対象となる IP アドレスを探索する。

 攻撃対象IPアドレスの生成方法の例:
  生成されたIPアドレス 11:222:333:444
  11 固定
  222 ランダムに生成
  333 ひとつづつ増加
  444 ひとつづつ増加

 探索方法は、HTTPのGETリクエストを攻撃対象のIPアドレスに送りつけ、Apache サーバを発見すると、バッファオーバーフロー脆弱性をついて自分自身のコピーを送りこもうとする。
 送り込む際は、自分自身をUUEncode し、"/tmp/.uua"というファイルとして送り込む。送り込んだ後は、自分自身を"/tmp/.a"にデコードし、実行する。"/tmp/.a"は、UDP ポート2001 のバックドアとして活動を開始する。
 バックドアを仕込まれるとリモートでメール送信やファイルのアップロードや任意のコードの実行が可能になる。
 ワームが稼動している場合、プロセスリストを見ると ".a" として表示される。発見した時は、プロセスを強制終了させ、ワーム本体である "/tmp/.a" を削除しなければならない。


詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml


Symantec
http://securityresponse.symantec.com/avcenter/venc/data/freebsd.scalper.worm.html

F-Secure
http://www.F-Secure.com/v-descs/scalper.shtml

TrendMicro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_SCALPER.A

BUGTRAQ Apache worm in the wild
http://msgs.securepoint.com/cgi-bin/get/bugtraq0206/263.html
http://msgs.securepoint.com/cgi-bin/get/bugtraq0206/263/1.html
http://msgs.securepoint.com/cgi-bin/get/bugtraq0206/263/2.html
http://msgs.securepoint.com/cgi-bin/get/bugtraq0206/262.html
http://msgs.securepoint.com/cgi-bin/get/bugtraq0206/262/1.html


□ 関連情報:

ApacheのChunkエンコードのバグによる重大な脆弱性(続報)(2002.6.24)
https://www.netsecurity.ne.jp/article/1/5655.html
ApacheのChunkエンコードのバグによる重大な脆弱性(続報)(2002.6.20)
https://www.netsecurity.ne.jp/article/1/5584.html
ApacheのChunkエンコードのバグによる重大な脆弱性(2002.6.19)
https://www.netsecurity.ne.jp/article/1/5575.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード 翌営業日検知し面談 事実と認める

    最終出社日(春分の日前日)の夜にクラウドから取引先個人情報ダウンロード 翌営業日検知し面談 事実と認める

  2. YCC情報システムへのランサムウェア攻撃 第五報 ~ 攻撃者による脅迫文も

    YCC情報システムへのランサムウェア攻撃 第五報 ~ 攻撃者による脅迫文も

  3. 法人向けレンタルサーバが不正ログイン被害「ブラックリスト登録の恐れがあるため予告なく対象メールアドレスのパスワードを変更」

    法人向けレンタルサーバが不正ログイン被害「ブラックリスト登録の恐れがあるため予告なく対象メールアドレスのパスワードを変更」

  4. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  5. 三浦工業への不正アクセス、5,021 件の個人情報が漏えいした可能性

    三浦工業への不正アクセス、5,021 件の個人情報が漏えいした可能性

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP