okamura
Site Admin
登録日: 2006.11.13
記事: 291
所在地: 埼玉県
|
 日時: 2007-04-22 04:46:33+00:00 記事の件名: clamd って簡単に DoS 攻撃できるのね |
 |
|
今、連休中のリリースに向けて clamd を使った高速スキャンコマンドをリメーク中なのですが、clamd との通信部分を書いていて前からなんとなく思っていたことをやっぱりそうなんだなと思ったのでした。
それはタイトルのとおり clamd って簡単に DoS 攻撃できるのねってことです。
最新の ClamAntiVirusDaemon でも使用していますが、clamd に接続して SHUTDOWN コマンドを送ると clamd は終了します。これって UNIX ドメインソケットという稼働中のプログラムとデータを送受信する仕組みが使われているのですが、 をやると誰でも書き込みができるようになっています。つまりローカルユーザなら誰でも clamd に SHUTDOWN を送れます。ということはローカルユーザなら誰でも clamd をいつでも止めることができるってことです。
clamd は UNIX ドメインソケットではなく INET ソケット(つまりネットワーク越しのデータの送受信、HTTP サーバ等 TCP 通信サービスは全部これ)も利用可能です。もし INET ソケットでリモートウィルススキャンサーバなんか運用していたら、リモートから DoS 攻撃できるってことです。そういうサーバを運用するときは、パケットフィルターなどで接続可能なマシンを限定しないと駄目ですね。
一応 ClamAntiVirusDaemon に含まれている SHUTDOWN 用のコマンドはその辺も考慮に入れていて root でないと動作しないようにしてあります。
_________________
OKAMURA |
|
FAQ
検索
メンバーリスト
ユーザーグループ
登録する
プロフィール
プライベートメッセージをチェックする
ログイン
