FC2 blog vol.52
XREAのログイン画面が改ざんされてトロイ置き場へ強制的にとばされるようになっています。
飛ばされさきは 去年のFC2でも改ざんの多数あったホンコンのサーバーです。
今回 FC2でも改ざんが確認されましたので
ブログ管理者の方はご自分のブログの確認をお勧めいたします。
XREA本スレのまとめ
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/907
飛ばされさきは 去年のFC2でも改ざんの多数あったホンコンのサーバーです。
今回 FC2でも改ざんが確認されましたので
ブログ管理者の方はご自分のブログの確認をお勧めいたします。
XREA本スレのまとめ
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/907
|
|
|
455 :Trackback(774):2009/07/09(木) 11:24:13 ID:ve5bwUTr
>>453
ググればいいと思うよ。
ググればいいと思うよ。
456 :Trackback(774):2009/07/09(木) 11:26:52 ID:ypOjxDYo
■VALUE DOMAIN/XREA 不正改竄問題の流れまとめ■
07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される
ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
(B) ttp://1856317799〆:888/s.js を呼び出している
(C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
(D) ttp://110.135.41.103〆/dir/show.php を呼び出している
↓
07/06 魚拓が取得される
ttp://s03.megalodon.jp〆/2009-0706-1843-51/https://www.value-domain.com/login.php
↓
07/06 (C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
↓
07/07 MSからアドバイザリ、IPAからアナウンスが出る
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
↓
07/07 (A)のlogin.phpから不正なjsコードが削除される
(VD側が削除したのか、不正アクセス元が削除したのかは不明)
↓
07/07 以前xreaで発生した改竄との関連が指摘される
http://sb.xrea.com/showthread.php?p=84465
↓
07/08 AccessAnalyzerのログイン画面に不正なJSが挿入される改竄が発見される
ログイン画面 (E) ttp://ax.xrea.〆com/login.php は
(F) ttp://1856317799〆:888/jp.js を呼び出している
(G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
(H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
(I) ttp://1856317799〆:888/counter.htm を呼び出している
(※注意 (E)への改竄は07/09現在まだ削除・修正されていない)
↓
07/09 現在までVDからの公式アナウンスなし ←いまここ
07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される
ログイン画面 (A) ttp://www.value-domain〆.com/login.php は
(B) ttp://1856317799〆:888/s.js を呼び出している
(C) ttp://110.165.41.103〆:888/dir/m.htm を呼び出している
(D) ttp://110.135.41.103〆/dir/show.php を呼び出している
↓
07/06 魚拓が取得される
ttp://s03.megalodon.jp〆/2009-0706-1843-51/https://www.value-domain.com/login.php
↓
07/06 (C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
↓
07/07 MSからアドバイザリ、IPAからアナウンスが出る
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
↓
07/07 (A)のlogin.phpから不正なjsコードが削除される
(VD側が削除したのか、不正アクセス元が削除したのかは不明)
↓
07/07 以前xreaで発生した改竄との関連が指摘される
http://sb.xrea.com/showthread.php?p=84465
↓
07/08 AccessAnalyzerのログイン画面に不正なJSが挿入される改竄が発見される
ログイン画面 (E) ttp://ax.xrea.〆com/login.php は
(F) ttp://1856317799〆:888/jp.js を呼び出している
(G) ttp://0x6EA52967〆:888/dir2/show.php を呼び出している
(H) ttp://0x6EA52967〆:888/dir2/go.jpg を呼び出している
(I) ttp://1856317799〆:888/counter.htm を呼び出している
(※注意 (E)への改竄は07/09現在まだ削除・修正されていない)
↓
07/09 現在までVDからの公式アナウンスなし ←いまここ
457 :Trackback(774):2009/07/09(木) 11:44:09 ID:l/czqBZG
458 :Trackback(774):2009/07/09(木) 12:04:45 ID:LxXlC3+5
>今回 FC2でも改ざんが確認されましたので
紛らわしい書き方すんな。
URLは専ブラで真っ青だから、h抜きじゃなくて全角にしてくれ。
紛らわしい書き方すんな。
URLは専ブラで真っ青だから、h抜きじゃなくて全角にしてくれ。
459 :Trackback(774):2009/07/09(木) 12:48:56 ID:54ltGuWm
>今回 FC2でも改ざんが確認されましたので
わかりにくかったっすね。
FC2ブログのログイン画面での改ざんではなくて
当該ブログは現在認証かかってますので URLは書き込みませんが
改ざんされたFC2ブログが確認された ということです。
わかりにくかったっすね。
FC2ブログのログイン画面での改ざんではなくて
当該ブログは現在認証かかってますので URLは書き込みませんが
改ざんされたFC2ブログが確認された ということです。
460 :Trackback(774):2009/07/09(木) 13:03:25 ID:M8AGUNlH
ユーザー側にたいした権限無いのに、どこをどうしたら改ざんされちゃうのかな?
461 :Trackback(774):2009/07/09(木) 13:10:51 ID:yf90a3S2
1856317799=0x6EA52967、FC2ブログにも来たようだ。
ttp://dubai.2ch.net/test/read.cgi/ogame/1245761603/560-564
サーバ丸ごとというよりはパス抜かれた特定のブログに
勝手にログインされて改竄されたっぽいけど。
ttp://dubai.2ch.net/test/read.cgi/ogame/1245761603/560-564
サーバ丸ごとというよりはパス抜かれた特定のブログに
勝手にログインされて改竄されたっぽいけど。
462 :Trackback(774):2009/07/09(木) 13:21:05 ID:M8AGUNlH
脆弱性を突かれてキーロガーつっこまれる
↓
パス抜かれる
↓
勝手にログインされてテンプレを書き換えられる
つーこと?
↓
パス抜かれる
↓
勝手にログインされてテンプレを書き換えられる
つーこと?
463 :Trackback(774):2009/07/09(木) 13:23:01 ID:yf90a3S2
たぶんそんな感じ。去年もあったっしょ、テンプレ改竄。
犯人も同じ奴(IP同じ)。
犯人も同じ奴(IP同じ)。
464 :Trackback(774):2009/07/09(木) 13:26:07 ID:M8AGUNlH
465 :Trackback(774):2009/07/09(木) 13:37:29 ID:yf90a3S2
ほぼ手動かと(去年もアクセス解析でそれっぽいブラウザのUAが引っかかってた)。
抜いたパスをDBに貯めてログインしてテンプレ表示して注入、といった工程を
半ば自動化している可能性もあるけどね。
抜いたパスをDBに貯めてログインしてテンプレ表示して注入、といった工程を
半ば自動化している可能性もあるけどね。
466 :Trackback(774):2009/07/09(木) 13:53:52 ID:M8AGUNlH
>>465
おおお……
確かにFC2ブログの管理画面にログインしてどうすればテンプレを書き換えられるかが
わかってなきゃいけないわけで。
怖いなあ。今のところ自分のブログのソースに変なもんは無いけど。
その前に、PCの感染確認しなきゃいかんか。
おおお……
確かにFC2ブログの管理画面にログインしてどうすればテンプレを書き換えられるかが
わかってなきゃいけないわけで。
怖いなあ。今のところ自分のブログのソースに変なもんは無いけど。
その前に、PCの感染確認しなきゃいかんか。
467 :Trackback(774):2009/07/09(木) 14:21:17 ID:yf90a3S2
まぁ今のところはポート888だから
ソース表示して888で検索するのが手っ取り早いかなぁ。
ソース表示して888で検索するのが手っ取り早いかなぁ。
468 :Trackback(774):2009/07/09(木) 14:35:13 ID:qNPgntny
これか…
ttp://seekdays.blog70.fc2.com/
テンプレ改竄とはおそれいった
FC2のログインページ、ときどきパスワード変えたほうがいいな
ttp://seekdays.blog70.fc2.com/
テンプレ改竄とはおそれいった
FC2のログインページ、ときどきパスワード変えたほうがいいな