NRIセキュアテクノロジーズ株式会社(NRIセキュア)は8月24日、同社NCSIRTによるアドバイザリ「SSH - 新手のブルートフォースツールか?」を発表した。これは、SANSインターネットストームセンターのハンドラであるDaniel Wesemannが、dd_sshというブルートフォースツールについて報告したもの。古いphpMyAdminの脆弱性が悪用され、新手のSSHブルートフォースツール(おそらくdd_sshという名称)が、Webサーバに仕込まれるという報告を受けており、現在DShieldでは、SSHスキャンを実行している送信元の数が著しく増加していることを観測しているという。サンプルを入手し確認したところ、dd_sshのMD5ハッシュ値は24dac6bab595cd9c3718ea16a3804009であった。なお、phpMyAdminで悪用されている脆弱性は比較的古く「CVE-2009-1151」だ。また、phpMyAdminのsetup.phpをスキャンしている元々の送信元は、91.193.157.206である可能性が高く、攻撃に成功すると「vmsplice.txt」と「dd.txt」という2つのファイルが上記のIPアドレスからダウンロードされる。レポートでは、使用しているphpMyAdminがインターネットよりアクセス可能な場合は、アップグレードするよう推奨している。http://www.nri-secure.co.jp/ncsirt/2010/0823_1.html
