圧縮されたEXEファイルはLinuxサーバーにとって無害ですか?

49

自分のサイトでマルウェアスキャナーを実行したところ、多数の圧縮されたEXEファイルが潜在的なリスクファイルとしてマークされました(これらのファイルはユーザーによってアップロードされました)。Macでファイルを解凍できるので、これらは実際のZIPファイルであり、名前が変更されたPHPファイルのようなものではないと想定しています。

だから、ZIPファイルは私のウェブサーバーにとって危険ではないでしょうか?

security  anti-virus  malware 
ザビン
ソース
1
ゴミマルウェアスキャナーのように聞こえます。
ニックT
11
を使用してZIP形式であるかどうかをテストすることができます。file foo.zipテストするために有効であるかどうかをテストすることもできます7z t foo.zip(つまり、ディスク上のローカルファイルに展開せずにCRCチェックサムを解凍して検証します)。(に7z多少似た構文を使用しますtar。)またはunzip -l foo.zip内容をリストします。とにかく、サーバーで簡単にファイルをチェックできたのに、別のコンピューターでファイルをチェックすることについて話すのはおかしいと思っただけです。
ピーターコーデス
6
どのようなウェブサイトをホストしていますか?ユーザーが送信したコンテンツと、前向きのWebサーバーを同じボックスに配置するのは良い考えではありません。
oldmud0
@NickT自己解凍型ZIPファイルには、実行可能部分に追加の悪意のあるコードが添付されている可能性があります。
クリリス

回答:

84

それらが実際に圧縮されたWindows exeファイルである場合、それらを実行しようとするWineのような場所がなければ、それらはLinuxシステムに無害でなければなりません。

しかし、それらがWebパスにある場合、それらはマルウェアであり、Webサイトの訪問者に大きなリスクをもたらす可能性があります(そして、あなたがマルウェアソースとしてマークされて、ユーザーがサイト)。

スベン
ソース
3
このような「ユーザー」がアップロードしたゴミをホストすると、Googleがサイトを「このサイトはハッキングされている可能性があります」とブランド付けしたり、Chromeに巨大な赤い警告ページを表示させたりするのでしょうか?その場合、「無害」は少し誤った呼び方かもしれません。
ニックT
11
@NickT:それは確かに可能であり、それが私の2番目の段落で言及していたことです。
スヴェン
4
理論.zip的には、特定のunzip実装の欠陥を標的とする不正なファイルを作成することもできます。
ジェームズリン16
3
MonoはWineよりもサーバーにインストールされる可能性が高く、CLR .exeファイルを実行できます。
ライモイド
62

Macでファイルを解凍できるので、これらは実際のzipファイルであり、名前が変更されたphpファイルのようなものではないと想定しています。

この場合はおそらく正しいかもしれませんが、あなたの仮定が常に当てはまるとは限りません。任意のデータを先頭に追加しても、 ZIPアーカイブは有効なままなので、無害なデータと悪意のあるPHPスクリプトを同時に含む有効なZIPアーカイブであるファイルを作成することは非常に可能です。特に難しくありません。PHPコードとZIPファイルを連結し、PHP __halt_compiler()が追加されたZIPアーカイブデータの解析を試行しないことを確認します(たとえば、使用)。

このトリックは、自己解凍ZIPファイルを作成するために合法的に使用されますが、他の非表示データまたは実行可能コードを同じ方法でZIPファイルに追加することは完全に可能です。一部のプログラムは、このような変更されたZIPファイルを開くことを拒否する場合があります(ただし、技術的にはZIP形式の仕様に違反しています)。 ZIPファイルを期待するコードにファイルする場合、おそらく1つとして受け入れられます。

このようなトリックのより一般的な悪用は、ZIPベースのコンテナー(JARファイルなど)のエクスプロイトコードを無害なもの(GIFARエクスプロイトのようなGIFイメージなど)に偽装することですが、それができない理由はありません他の方向でも使用されます。たとえば、PHPスクリプトのアップロードを禁止するがZIPファイルを許可する単純なファイルアップロードフィルターをバイパスし、アップロードされたファイルが同時に存在するかどうかをチェックしません。

イルマリ・カロネン
ソース
GIFARの+1。このエクスプロイトの実際の具体例について知るのは興味深い。
caesay
11

考慮すべき少なくとも2つの重要な考慮事項があります。

  1. これらのファイルがWebサイトで配布されている場合、誰かがあなたのサイトからマルウェアを入手した場合、あなたは責任を問われるかもしれません。少なくとも、サイトにマルウェアのフラグが立てられる可能性があります。マルウェアスキャナーの警告を無視することにした場合は、少なくともファイルが有害である可能性があることをアップローダーと可能なダウンローダーに通知する必要があります(インターネットからダウンロードされたEXEが時々そうであるように)。
  2. これらのファイルに対して、マルウェアスキャン以外の処理を行いますか?ファイルの内容は何でもかまいませんので、添付ファイルやその他のアップロードの自動処理は常に潜在的に危険です。ユーティリティソフトウェアが何らかの悪用に対して脆弱であり、一見すてきなzip / exeにユーティリティを標的とする有害なコンテンツが含まれている場合は、EXEファイルを実行する必要さえありません。マルウェアスキャンに失敗したものをサーバーで処理することはできません。

そのため、サーバーの処理内容によっては、ファイルがサーバーまたは他のユーザーにとって有害になる可能があります。私はインターネットからダウンロードされたEXEには非常に注意しているので、可能性のあるダウンローダーは、ここで最も危険にさらされる可能性のあるユーザーだと思います。

2

コマンドでファイルをチェックするだけで、Linuxサーバーでファイルが実行可能かどうかを確認できますfile FILENAME.exe。Elfバイナリ(Linuxで使用される実行可能形式)には.exe拡張子を付けて名前を付けて、疑いを持たないLinux管理者を混乱させることができます。

グロブキン
ソース
2

私は、データが(バグのある)プログラムにとって有害で​​ある(または作られる)可能性があると誰も言及していないことに驚いています。それがファジーの基礎です。たとえば、JPEG(またはJPEGのような)ファイルを使用して、(特定の?)JPEGデコーダーでバッファーオーバーフローを引き起こし、サービス拒否から任意のコード実行までを引き起こす可能性があります。これは、既存のデータ処理プログラムを破壊することです。新しい実行可能ファイルを取り込む必要はありません!これが、サンドボックス化、入力のサニタイズ、および最小特権の原則が必要な理由です。

したがって、あなたの場合、ZIPファイルが(特定の?)ZIPデコードエンジンで問題を引き起こす可能性があります。ZIPファイルに有害なネイティブ実行可能ファイルを含める必要はありません。

とはいえ、スキャナーは別のより粗いレベルで動作しています。私が話している種類のリスクがこれらのファイルに存在する場合、それらを処理した瞬間にすでにヒットしています:)。

フジャイル
ソース
1

Macでファイルを解凍できるので、これらは実際のZIPファイルであり、名前が変更されたPHPファイルのようなものではないと想定しています。

データを埋め込み、依然としてファイルを有効なものとして提示する攻撃がありました。正しく構成されていないサーバーまたは誤ってコーディングされたアプリでは、これらのコードがサーバーで実行される可能性があります。

そのため、同様に注意してください。

ルーベンバレラ
ソース
-6

解凍された.exeもLinuxサーバーには無害です。

厳しい
ソース
23
必ずしもそうで.exeはありません- ファイル名の一部にすぎず、これもELFバイナリの名前として選択される可能性があります。
スヴェン
また、WINEがインストールされている場合があります。確かに、ほとんどのWindowsを標的とするマルウェアはおそらくWINEの下では機能しませんが、リスクは存在します。せいぜい、Linuxで解凍された.exeはほとんど無害です。
レイ
@Ray構成に依存します。何らかの理由でMonoまたはWineがインストールされている場合、binfmt_miscは、.exeが実際に実行可能になるように構成されている可能性があります。
ライモイド
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.