XREA無料鯖で表示される広告内にウィルス

2008年6月8日20時頃より、
XREAの無料サービスで表示される広告内にウィルスが埋め込まれました。
被害はXREAの無料サービス全体に及んでいます。
この件に関し、運営会社からのアナウンスは特に出ていません。

埋め込まれたのはJavaScriptコードで、
世界的に猛威をふるっているSQLインジェクション攻撃で使用されたのと同じアドレスに置かれています。
Flash Playerの脆弱性を突いて、オンラインゲームのアカウント情報を盗むウィルスに感染させようとします。
Flash Playerのバージョンが最新でない場合には、ウィルス感染してしまいます。

リネージュ資料室
ttp://lineage.paix.jp/guide/security/virus-site.html#XREAAD

セキュリティホール memo
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/06.html#20080613_XREA

XREAサポート掲示板
ttp://sb.xrea.com/showthread.php?t=12819
ttp://sb.xrea.com/showthread.php?t=12820

関連スレ xrea.com part132
http://pc11.2ch.net/test/read.cgi/hosting/1213512039/

97 名無しさん＠お腹いっぱい。 2008/06/16(月) 04:25:38 0
>>96
とりあえずorz.exeとi115.swfがPC内に紛れてないか検索しとけ、今回の犯人
あとカスペルスキーのオンラインスキャンお勧め


102 名無しさん＠お腹いっぱい。 2008/06/16(月) 07:49:13 0
>>97
taa.gif(orz.exeのドロップ前の名前)、
sonb32drv.dll(orz.exeがドロップするトロイ)も追加で。

同人サイトでもXREA使っている人結構いると思うので、スレ立てました。

今さら立てても手遅れなんじゃね？

Flashプレーヤーのバージョン確認できる場所
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

バージョンが9.0.124.0ならok


>>4
( ´･ω･｀)

乙

神サイトがXREA無料版なんだが
サイト持ってる人は具体的にどんな対応すればいいんだろ。
○○したほうがいいですよーと連絡したほうがいいんだろうけど
関連スレ見てもサイト持ちじゃないから何書いてるのかいまいちわからん。
サイト持ってる人ならこのスレの1を教えたらわかってくれるんだろうか。

とりあえず、応急処置で有料に移行するか、
藁屋見捨てて、引越するしかないんじゃないのか。

無料鯖でもドメイン使えるから、アドレスで完全に判断できないのも問題だな。

閲覧者はJavaScript切っとけ
サイト持ちは対策出るまでサイト丸ごと削除
でおけ

サイト丸ごと削除したら垢デリ食らいますがな。
広告削除も同じく。
常時広告が表示されているからこそ無料なわけだし。

レスthx!
金払ってくださいor移動してくださいになるんだね。
神の判断によっては最悪神殿が消えるかもしれないのか…orz

別鯖にサイト移転して、旧URLにアクセスしてきたら飛ばす
のが安全なのかな

別件で移転したサイトはそうやっているが

さっきこのスレ見て初めて知りました…
垢削除覚悟でとりあえず広告非表示にしてきた
自分のパソも絶賛オンラインスキャン中

そろそろ鯖かえろって事かな〜
鯖11なんだケド、もう何年使ったかわかんないや

最近トロイにパソコンやられたけどこれかも…orz

クリックしてなくても表示されるだけで駄目なんだよね？

・ウイルス対策ソフトを入れている
・Flash Playerを最新バージョンにしている
・JSを読み込まないようにしている

という人は感染しないのでは
自分は元々上の対策してるからまず大丈夫だけど

>>14
>>1

>>2のファイルに引っかかったーorz
隔離も削除もできない…

観覧するだけで感染する。
反応しないウイルス対策ソフトがあるので、ソフトはあてにならない。

あと、複数ブラウザ使ってる人が忘れがちなこと。
全てFlash Playerを最新バージョンにする必要があるので注意。

>>2見るとカスペルスキーは反応するのかな
カスペルスキーユーザーやおｋって事かね

avastとカスペが検出するみたいだよ

有料なら何の問題もないんだね？
なんか不安だ・・・

>21
有料（XREA＋・広告免除）かつ有料専用サーバを使っていれば、
デフォルトで広告が組み込まれる事はない。

バスター、ノートン対応しますた

あ、やっぱそうなんだ
バスター、でかいの続けてｷﾀｰだったから
更新即検索かけてる

これって手動で広告入れてるサイトだけじゃなかったか？

それ以外も五分の一の確率で表示される枠から感染したりしなかったり
するらしい

自動表示の放置垢の一つに昨夜アクセスしたらPG2が反応した
IPは例のものだと思う

>>20
それにプラスしてAVIRAも検出できるっぽ
こっちは英語版だからカスペの方がいいかもしれん

とりあえずこのスレはage進行の方が良くないかい？

>>25

442 ：名無しさん＠お腹いっぱい。：2008/06/17(火) 14:34:56 0
>>438
自動広告＋独自ドメインの場合100%ヤバイ


・手動広告100%ヤバイ
・自動広告＋独自ドメインの場合100%ヤバイ
・自動広告1/5の確率でヤバイ
今のところはこのようだ

これもコピペしとく

　・ xreaの広告付き無料レンタルサーバーを使ったサイトを
　・ Flash Player を最新版にしないままjavascriptオンで閲覧した場合
　・ ウイルスに感染する可能性があり、
　・ それによってネトゲ、MSN Messenger、mixiなどのアカウントを盗まれる可能性がある
　・ 感染していた場合、カスペルスキーのオンラインスキャンで検知できる

カスペ以外でも検出できるが？
なんで今頃騒がれてるんだ？

対策してもこれじゃ意味なくね？

347 名前：既にその名前は使われています 投稿日：2008/06/17(火) 16:20:10.79 ID:DId+bfn7
ノートンさん
Downloader.Swif.C
危険度 1: ほとんど影響なし
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-052714-3021-99&tabid=2

反応するだけで十分
同人オタは詳細なんて読まんだろうし

>30
カスペやAvast!が検知した当初は「ウイルス検知ソフトの誤作動」と報告されていたから。
（ニコ動にAvast!が反応→ニワンゴ「誤作動です」とコメントしていた時期とかぶる）

後日正真正銘のキーロガー拡散型トロイと判明、ジャストシステムのカスペ公式サイトや
マカフィーで公開している亜種の数は日々増加。独自ドメインを使っているならとにかく
XREAは有料サービスと無料サービスの区別（サブドメイン）も利用者以外見分けがつけ
にくいから有料サービス契約者も風評被害の巻き添え。

XREAの無料サービスを使った2chや有益情報のwikiも多いから皆神経質になってる。

それにXREAをみなければいい、なんて甘いものじゃない。
Flash Playerの脆弱性から生まれた全世界の被害のほんの一端
【ネット】 無料サービス「XREA」の広告から「Flash Player」の脆弱性をついたウイルス拡散中…今すぐ対策を
　ttp://mamono.2ch.net/test/read.cgi/newsplus/1213644598/

>>30
>なんで今頃騒がれてるんだ？
報告されてから10日以上、XREAが絶賛放置中で被害が拡大の一途を辿ってるから。

自分ところのサイトXrea広告免除でそもそも広告でないんだけど
一応ウィルスのことと広告を表示しない限り大丈夫だということを書いたほうがいいんだろうか

hit数下がりまくってるよ……orz

サブドメの自サイトは一年以上更新してないから人来なくても（ﾟεﾟ）ｷﾆｼﾅｲ!!
なんだが、それでも一応は幸紹介に「広告表示していません」と添えようかと
一瞬考えたよ

踏んでみるまで広告の有無がわからないのは辛いやね

>>35
とりあえず「Flashプレイヤーを最新にせよ」はガチ。
あとまとめサイトができたようなので、それをリンクするのもいいんじゃないかな。
2ちゃん関連スレが貼ってある版と貼ってない版があるからリンクしやすいかと。

関連スレ有り版
ttp://www.geocities.jp/pehchunpm/mondai_XREA.htm
関連スレ無し版
ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm

対応来た模様
http://sb.xrea.com/showthread.php?p=83947#post83947

XREA広告ウイルス散布期間
6/5 不明 〜 6/17 16:06

続々ときてるね

736 名前： 名無しさん＠お腹いっぱい。 [sage] 投稿日： 2008/06/17(火) 18:42:49 0
無料サーバーはサービス中止するかもね

http://sb.xrea.com/showthread.php?t=12839

○今後の対策：

コスト削減のため、外部委託で管理しておりますが、このため弊社側で、ログインが
できなかったなど、多々問題が発生し、多々ご迷惑をお掛けしました。

正当な理由にはなりませんが、無料サーバー部門については完全な赤字となっており、
なるべくコスト削減を行い、長期運営を図るよう努力してまいりました。
現在もドメインのご利用のお客様を中心に新たにご利用が増加している状況にあります。
しかし、有料契約のお客様以上に頻発する規約違反への対応問題などで、コストは増加
する一方で、かつ、管理における問題も発生する状況になっております。

ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
方にもご迷惑をお掛けする許されない状況が増えつつある事実があります。

8月にて無料サーバー開始から8年となります。今後の無料サーバー自体の方向性も含め
見直しを図る所存です。

言い訳が最悪だな………

不具合とか不正なページとか言ってお茶を濁してるな
ちゃんと垢ハックなどを行うウイルスって書けよ

無料で提供していて管理しきれず
管理放置されてｲﾀﾀな奴が野放しになるような自体になるくらいなら
これで無料サーバーが廃止になってもしょうがないと思う

無料で提供というのは今の時流にあってないと思うしね

>>39
これは酷い言い訳ですね （#＾ω＾）ﾋﾞｷﾋﾞｷ

mixiもみたいだからコピペしとくね


436 名無しさん＠お腹いっぱい。 2008/06/17(火) 14:32:12 0
最近よくあるウィルスはFF、RO、リネージュ辺りを狙ったオンラインゲームの
アカウントハックを目論むものや、mixi、メッセの乗っ取りをするもの。
mixiやメッセは、感染するとそのアカウントから危険サイトへのリンクを含む
メッセージをばら撒いたりする。

>>44
それは勝手な憶測で、mixiの一次情報は出てないんじゃないか。

>>44
ブログもじゃなかったっけ？

mixiは疑いであって確定はしてない
でも可能性としてはあると言う話

この鯖もだけどみくしの所も対応早いところじゃなかった気がする
てことで>45
一次情報出てなくても対策できるならそれに越したことはないかも

>>45
憶測って言うか、あくまで「最近の流行り」の話かと。
今回はROやリネでの影響があんまり無く、FFだけが酷い有様になってたので
FFをピンポイントで狙ったものかもしれない。

XREAじゃないから…たままたFF（POL）をピンポイントで狙ったのかも
なんて、どんだけ日和見主義なんだ。

俺に言ってる？ っていうか>>50の日本語がよくわからない。
>>44の436書いたの俺なんですが、きっちり書くとこんな感じか。

「最近よくあるウィルスはFF、RO、リネージュ辺りを狙ったオンラインゲームの
アカウントハックを目論むものや、mixi、メッセの乗っ取りをするもの。
mixiやメッセは、感染するとそのアカウントから危険サイトへのリンクを含む
メッセージをばら撒いたりする。

今回、FFでの被害が恐ろしいほどに急増しているのに対して、ROやリネージュは
あまり被害増加という感じでもない（普段と同程度）。
なのでひょっとすると今回のウィルスはFFを限定的に狙った物だったのかもしれないし、
mixi、メッセも影響範囲外なのかもしれない。

ただし、サーバ側にあるファイルを差し替えることは自由に出来るので、他のゲームや
mixi、メッセも射程に入る状態だと思って油断はしない方がいいと思う」

まぁ、ともあれ終息したようで何よりですよ。

個人的にはXREAから引き上げる事に決めましたけど……
他にいい鯖探さないとなぁ

xreaの広告免除＆ドメインを使用してるんだけど
無料鯖から撤退した場合、消えてしまう事になるんだろうか
広告免除と有料鯖は違うんだよね？

>>53
ここで聞くよりレン鯖板で聞いた方が確かだと思うよ

広告免除=有料鯖
エクスリアは全てのサーバーが無料鯖として開放されている(という建前)だから
厳密に言えば有料鯖は存在しない
Xreaは広告免除という形で課金し、ただ最初から広告免除してくれる人には
そういうユーザーだけを集めたいい鯖を振り分けますよ、という約束をしているだけ
だから無料鯖から撤退しても広告免除している人は大丈夫だよ

レン鯖板のスレ見に行ったけど、同人板の書き込みなんておとなしいくらいに
何かひどい文章が溢れてるね…
>>54
聞いたら無視か煽られて馬鹿にされて終わりの気がする
最初にこのウィルスの事を言ってた人への最初の方のレス見てみなよ

スマン
エクスリアスレはあれがデフォだ

>>39の修正版がようやく完成したっぽいので貼っておきますね
ttp://sb.xrea.com/showthread.php?t=12839

○今後の対策：

外部に構築・管理依頼していたため、恥ずかしながら弊社側で直接操作ができなかった、
コミュニケーションがうまく取れていなかったなど、多々不手際が発生し、長々とご迷惑をお掛けしました。
この件を猛省し委託契約を見直すなど早急な対策をとります。

無料サーバーの管理体制についてですが、
現実問題とまして、無料サーバーについては、有料契約のお客様以上に頻発する規約違反への
対応問題などでコストは増加する一方で、かつ、管理における問題も発生する状況になっております。
また、ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
方にもご迷惑をお掛けする許されない状況（迷惑メール、スパムブログ等々）が増えつつあります。
正当な理由にはなりませんが、無料サーバー部門については、正直申し上げまして、赤字となっているため、
なるべくコスト削減を行い、その一環で外部委託に頼る状況があります。
ただ、これらは、お客様に対する不手際の理由、言い訳にはなりえないと承知しております。

8月にて無料サーバー開始から8年となります。
開始から、かれこれ8年もの間、お付き合いいただいている方もいらっしゃいます。本当にありがとうございます。
柔軟な対応をと心がけていますが、細かい対応ができなくなったり、中々スタッフの手が回らない部分があったり、
ご迷惑をおかけしています。
今後の無料サーバー自体の方向性も含め、心機一転、少しずつですが、見直し、改善を図る所存です。
今後は、関係者、スタッフにセキュリティ意識向上の再徹底を図ると共に、徐々に自社で管理する体制に戻していく予定です。


この度はご迷惑をお掛けし大変申し訳ございません。

今後ともよろしくお願い申し上げます。

以上です。

-----

最終版：2008/06/18 03:00 AM

思うんだが感染しちゃった人の対処に触れてなくね？

感染したら、電源を切ろうとしても
『アプリケーションが終了出来ませんでした〜』みたいなことが表示されて、切れなかったりする？
この間パソコンがおかしかったのはそれなんだろうか。

>>61
感染しなくても使用しているアプリケーションのせいでなったりする

感染したら云々言う前に自分で判断付かない人はまずオンラインスキャンすべし

>56
連鯖板ではあれが普通
つかあれはましな方

>61
もっと詳しく書いてくれないと誰もわからん
使用中の書類があると、タイミングしだいで
「使用中のファイルがあるためアプリケーションを終了できません」とか出る

>55
なるほど・・・答えてくれてアリがトン！！

>61
今すぐカスペルスキーのオンラインスキャンかけなはれ

一番いい方法はクリーンインストールかけて、Flashプレーヤーを最新版に
更新する事（Adobe Flash CS3ユーザーならCS3アップデータの適用を
激しく推奨→一緒に9.0.124.0がインストールされる為）。

>60
XREAは基本「何か問題が起こったら、てめぇで調べてめぇで対処しろ、
ユーザーで情報交換しあえ、それでも駄目なら個別に管理画面から
サポートに連絡しろ、ただし問い合わせ回数はカウントするからな」と
いう運営姿勢のサーバ（申し込み時の規約承諾画面でこの旨
同意していないとアカウントの作成が出来ない）。

感染した人は自分で対処しろって事でしょ。

>>62-63 もう終わったしいいかとか思ってたけど、今からオンラインスキャンしてみる！
レスありがとう！

>>66
しかし今回感染したのはユーザーだけじゃなくて
無数の閲覧者なんだから
規約に同意したユーザーへのサポとは一緒にできんだろ

まああの放置っぷりを見ると、主義主張じゃなくて
ただ無責任なだけだと思うけどな
スキルのなさを理由にしてるのにはびっくりしたw

あのいいわけの何が凄いかって
＞現実問題とまして、無料サーバーについては、有料契約のお客様以上に頻発する規約違反への
＞対応問題などでコストは増加する一方で、かつ、管理における問題も発生する状況になっております。
＞また、ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、

＞それ以外の外部の方にもご迷惑をお掛けする許されない状況（迷惑メール、スパムブログ等々）が
＞増えつつあります。

…で、その理由が無料サーバの存在による赤字と管理体制の外部委託？
不特定多数の外部の被害に対する責任・謝罪もなしとはね。

Flashの脆弱性をついたウイルスだって事くらい報道してやれよ…
ttp://internet.watch.impress.co.jp/cda/news/2008/06/18/19977.html

知人サイトがXREAで、見てきたんだけど
XREA広告のことをサイトトップから告知して
期間中にサイトに来たことがある人はウイルスチェックをしてください。
と、ウイルスに犯されていた（広告だけど）サイト管理者として一般的な対応をとってるんだけど

XREAサイトなんて他にも星の数ほどあるんだから、
もうちょっと告知を詳しくして、注意してやってくれても良いんじゃないかと思ってしまう
ウイルス対策ソフト入れてても、更新遅かったソフトのせいで感染してたって人多いし
被害がゲームのアカウントだからと軽く見てしまうのかな

うちはXREAじゃないけど、注意喚起してるんだが
別の友人の拍手米が「ウイルスがあったんですねー。でもむずかしくてさっぱりｗ」とか。
皆軽視しすぎと思うんだけど、私が神経質なだけ？

ノートンとバスターはまだ対応してないの？

>>72
昨日対応したっぽい

今回の問題まとめサイトktkr
XREA利用者でサイトに解説と対策法を載せたい人は利用汁
　ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm

今月頭にはさくら（専鯖のみ）でも外部からウイルスコード埋め込まれてたね
こうも立て続けにレン鯖が狙われるとは…不穏だわ

レン鯖XREAスレからまともな発言だけ抜粋

210 名前： 名無しさん＠お腹いっぱい。 [sage] 投稿日： 2008/06/18(水) 15:30:58 0
> 17日18時の時点で、サーバーを初期状態に戻し復旧しております。

初期状態に戻しちゃったら原因の追跡も何もできないだろ。

> 広告配信や画像読み込み用として、外部に構築依頼をしておりました
>分散キャッシュサーバー内の1台の 広告配信用サイト管理パスワードが、
>受託会社外の者に渡り、使用され、不正なファイルがアップロードされておりました。

これが事実なら犯人特定できているってことになるよ？
具体的な対応はどうするの？
まさか黙認ってわけじゃあるまい。

215 名前： 名無しさん＠お腹いっぱい。 [sage] 投稿日： 2008/06/18(水) 15:46:22 0
>>210
確かに犯人わかってるのにそっちに対して何のアクションも
起こさないってなると
今回のxreaの言い分全てに疑問符が出てくる

※xreaの言い分…無料版サービス赤字転落対策のアウトソーシング

>71
XREAを使ってサイトを作らない・XREAページにアクセスしければ問題ないんでしょ？

>>77
「今回は」XREAに作らない・アクセスしなければ大丈夫「だった」。
同様の脆弱性をついた攻撃は世界中ですでに発生していて、
今後同じ事態が別の国内サーバーで起きる可能性は十二分にある。
今回のことを教訓として備えておくべき。

独ドメで広告ついてるところはどうやって判断する気だ？

>79
XREAの広告サーバのIPアドレスをファイアーウォールなり広告遮断ソフトで蹴ればいい。
対象となるIPアドレスは５つ、レン鯖・ν速＋まとめ（ねらー向け）ページで解析済。
59.106.22.138/ad_iframe.html
202.181.97.140/ad_iframe.html
202.181.97.153/ad_iframe.html (←今回汚染されていたサーバ)
202.229.187.26/ad_iframe.html
210.153.116.18/ad_iframe.html

ハッキングされたアカウント情報は中国の特定IPアドレスへ送信するよう設定されていた。
（6/14〜16FF IXの大量アカハク被害に利用された可能性があるfromネ実板RMT業者監視スレ）

さくらWeb（専鯖10Ｍ）も先日攻撃型ウイルスコードが書き込まれ問題になったばかり。
ttp://www.sakura.ne.jp/news/archives/20080605-002.news

>>80
サンクス。

いや77は自信満々だけど「アクセスしなければ」って
どこから言いきってるんだろうと思ってさ。
情報が外に出たのだって、かなりたってからだし。

どっちにしろもうXREAの広告は直ったから大丈夫なんだけどね
問題は直るまでの期間が長く、XREA鯖のサイトはそれなりに数が多かったこと
未だに知らない人多そうだから自分もサイトで布教活動することにしたよ

FF11が被害にあったみたいだけど、ウイルスは他のゲームの垢も抜いてたらしいし
来週は別ゲーが狙われるなんてことありそう

昨日ネ実板追跡スレで発見された中国産ウイルスの例
１回の感染でFFXI、RO、リネージュ、mixiの４つを検索・吸い上げ福建省の業者鯖へ流す。
Norton McAfee バスター AVG はまだ対応していない。

ニコニコもブラウザ読み込み中になぜか韓国のデータを取りに行っている広告が
いくつか報告されているので、セキュリティソフトやブラウザに「広告ブロック」機能が
ついているなら積極的に活用汁（マイページや市場の広告バナーは即、off）

バスターとノートン対応着てるよ
だいぶおそかったけど

XREAってサーチで使ってるジャンル多いけど、広告表示してたところで
ウィルスチェック促してるところほとんどないね。
ジャンルごと感染してそうだ。

それはサーチ管理人に連絡した方がいいんじゃないか？

>>86
自ジャンルはもう告知されてるから、他は各ジャンル者にまかせるよ。
メルアドとか必要だし。

聞く耳持ってるだけいいと思。
うちのジャンル幸はウイルス感染サイト・即・悪主義だから、削除依頼（通信欄なし）を出す前に
他のXREAドメインサイトごと「規約違反」で即日削除されてた。

>>88
すっごいな、それ…。

>80
Firefox使っている人ならJavaScript規制機能拡張「Noscript」を導入すれば、
Web DeveloperでJavaScriptをオフにした状態でさらに細かく広告の呼び出しに
仕込まれるJavaScriptを遮断できる（動画・画像もカットされるけど、右クリック
メニューから部分的に一時解除可）。

おすすめ最大の理由はiframeタグおよびそのｈｔｍｌ呼び出しもも遮断すること。
安定している2.0.0.14はもちろん最新の3.0にも対応。DL先は具具れ。

>>88
管理人判断でウィルス配布サイトは即削除ってこと？
とてもしっかりしたところだと思うけど。

広告のないプラスごとって事なら巻き込まれたサイトは悲惨だな。

ハードウェア関係のwikiをXREA広告免除で運営しているんだけど、２ｃｈで
話が出てからというものアクセス履歴は約800/一日→４〜12/一日。
かつてフリーティケットシアターが嫌がられたように（昔以上の広告地獄）、
いまやURLにXREAの字が入っているだけで回れ右されてしまう様になった。

>>92
問題の肝心なところが伝わってないんだろうな。
いつからいつまで問題が発生していて、すでに問題は解決しているけど、
問題の期間中にやられた可能性があるので心当たりのある人はチェックしてください、
こう案内すればいいだけなのに、それを怠ってるところが多すぎる。
結果「なんかXREAがやばいらしい」という噂だけが一人歩きしてるんだよな・・・
XREAスレなんか覗くとひどいぞ？「客が減るから今回のこと知らせたくない＞＜」てのがウヨウヨだ。
そういうのが逆に自分たちの首絞めてんのにな。

>>93
「案内すればいいだけ」って、時系列ちゃんと考えてるか？
対策取られた今ならそんな悠長な告知もできるけど
2ちゃんで話が出た時ですら、XREAの対策出てなかったんだぞ

>>94
今現在とるべき周知・対策の話したつもりだったんだけど。

いや普通に分かったから大丈夫

>>95
今告知したってこねーだろ。URLに入ってるだけで避けられてるんだから。

「減ったのは2ちゃんで出てから（でもその時には公式未対策）」で
「アドレスに入ってるだけで避けられる」のに
その解決法が「今XREAサイトが案内すればいいだけ」って。順序がおかしいんだよ。
告知が必要なのは当然だしするべきだが、その論理展開はちょっとちがうと思う。

>>97
じゃあ他にどうするね。現状できることは少しずつでも事実を周知するしかないだろう？
それとも何か、閲覧者やリピーター全員に一人一人「問題ないので来てね」メールでも出すか？
風評被害で閲覧者減っていらだってるのはわかるが、風評消すには淡々とでも事実を広めてくしかないだろう。
XREA以外のサイトで取り上げてもらうとか。
今回のことでしんどい思いをしてるのは同じなんだよ。俺に噛み付かれても困るっての。

>>98
問題ないので来てねはないけど、
問題があってご迷惑をおかけしました
今は大丈夫ですがお手数ですが念のためウイルスチェック〜
と言う知らせならありかも。

XREAじゃない自サイトはゲーム好きだし酷い問題だったと思うから告知してるよ
「XREAの広告」で、いつの期間と何が原因かと対策にFlashPlayerをと。
反応はかなり薄くて皆どうでも良いんだなと言うのがありありと伝わってきてる。

>>92の＞約800/一日→４〜12/一日が信じられない
ハードウェア関係だから知ってる人が多いのかとも思ったけど
だったら広告に問題があったとか、今はXREA対応済みとかも知ってそうなのに

＞反応はかなり薄くて
あの悪名高きIloveyouやメリッサ・キンタマウイルスさえ「危ないサイトを踏んでいない、
メールはWebメール、そんな自分は大丈夫」と高をくくっていた人がいたもの。

中でもネトゲやってる人は「重くなるから」とプレイ中セキュリティソフトを切ってるか
ルータ（のファイアーウォール）すら導入していないケース大杉。知らない間に大量の
トロイをHDDの中に飼っててもわからない。

今回最終的なターゲットとなったFFXI垢ハック被害者からのデータ復旧申請が今
運営に殺到していてその処理も平均２週間待ちとか。１週間放置の影響は鯖が
対策したから大丈夫、では終わってないぞ。

>>100
鯖が対応したから今は閲覧できると言う意味の大丈夫
最初に知ったとき情報がなかなか見つけられなくて
垢ハックスレにたどり着いたからその辺のことはよく知ってるよ
FFはやってないけど話聞くだけで本当に痛々しい
ちなみにスキャンにはカスペを薦めて
対策遅いアンチソフトもあって感染者は更に多いとも知らせてる

中国の業者がFFのリストを使っただけで終わるとは思えない
余ったROや他のリストもFFが終わったら使うか
使わないなら他の業者に売ったりする可能性もありえるし

利用者　閲覧者　どっちも被害者
それにしたってよく一週間もウイルスばらまき鯖を放置していられたね運営

とりあえずカスペで完全スキャンした。
トロイ検出されたけど、検知ステータス見ると、一部のトロイが
「見つかりませんでした」になって途方に暮れている。
挙動が怪しいからまだ解決して無いと思う。

Flashプレーヤーはとりあえず最新版にしたけど
感染してからPC本体からピッ、ピッ、ピッｒｙという音が鳴り止まない
おまけにキーボードも認識しなくて今はIMEパッド使って文字打ってる…
火狐使ってて、「Noscript」と「QuickJava」も導入した。

もうどうすればいいか分からない…
頻繁にネットで買い物するしカード払いが多いから心配だし、困る。

それ別のウィルスか故障じゃないか

>103
ネット上での支払いに使うカードはデビッドカード（バーチャルクレカ）推奨。
もしくは少額入金口座を作ってPayPalで払う。月の買物予算以外絶対に
入金しない、引き落とし記録は必ず形に残す（いざというときの通帳記入と
明細書は強力な証拠になります）。WebMoney等のプリカ・BitCashといった
コンビニの端末で支払えるバーチャルキャッシュも一考を。

IEやFirefox等ブラウザのフォーム入力補完機能は絶対に使わない・ONにしないこと。
どんなに面倒でも使うとき手入力、用が済んだら履歴もキャッシュも全部消す。
アマゾンやmixi、MSNメッセ、Hotmail等は必ずログアウトする、極力Cokkieも残さない。

それとMe、XP、Vistaユーザーは「システム復元」機能を切る事。せっかくカスペその他が
トロイを見つけて駆除したとしても、次の起動でバックアップされた「汚染されたシステム」に
巻き戻されていたら意味がない、トロイは半永久的にあなたのPCに居座り続ける。

>「見つかりませんでした」になって途方に暮れている。
>挙動が怪しいからまだ解決して無いと思う。
必要なデータだけバックアップとってからクリーンインストール
またはリストアも考えてください。

なんてウィルスに感染してたか結果も示さんやつに親切だなお前ら

>>106
>>103の二行目にトロイって書いてあるけど
スレタイ的にも当然

だからさ、今回のトロイか分からないでしょ？と
トロイで検出される物がどれだけあるのかと

とりあえず検出されたウィルス名と感染ファイル名は欲しいな。
カスペのウィルスウォッチなんか見てみると、仮にTrojan-○○という名前だけでも
6/20付24時間で報告されただけで約50種程ある。
ちなみに今回検出されるやつはカスペだと「Trojan-PSW.Win32.Nilage.djl」で出てくる。
仕込まれてたトロイはシステム破壊系じゃないし、今回の感染「のみ」で複数検出された報告も無いはず。
まぁ、今回話題に上がったんでスキャンしてみたら今まで他にも食らいまくりだった、ってヤツはいたけど。

>>103
入力補完機能の事やログアウト、クッキーの件など勉強になりました。
今まで迂闊でした。これからは気をつけます
ディスク自体が行方不明なのでクリーンが出来ない…。

>>109
ウイルス名ですが、検知ステータスの上から順にコピペします

1■検知しました: リスクウェア Hidden data sending プロセスを実行します: C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe

2■削除しました: トロイの木馬 Trojan-PSW.Win32.Nilage.dlj ファイル: C:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\2K7214YA\taa[1].gif

3■見つかりませんでした: トロイの木馬 Trojan-PSW.Win32.Nilage.djl ファイル: C:\WINDOWS\system32\sonb32drv.dll

4■削除しました: トロイの木馬 Trojan-PSW.Win32.Nilage.djl ファイル: C:\System Volume Information\_restore{51ACABE4-AD91-48B6-9268-63B2C097FBBC}\RP834\A0079823.dll

謎なのが検知項目の見出し？が「現在、脅威はありません」になっている事
という事はPCの不調はトロイのせいじゃないのかな？

補足してくれたところ悪いけど、
どっちにしろスレ違いなんだが
2は今回のウイルスだけど、だからどうこうってスレじゃない
と言うか検知したとか削除したと言うことは、オンラインスキャンじゃなくて
製品版（試用版）使ってるってことだよね？
だったらそれで駆除してもらってとしか言いようがない

>>110
一つ目は今回と無関係。Java Runtime Environmentのバージョン上げれ
二つ目はIE一時ファイルからtaa[1].gif(=orz.exeだっけ？)が正常に削除された
三つ目system32フォルダ下に二つ目がドロップしてくるはずのsonb32drv.dll が何らかの理由で存在しない
四つ目は復元のためのバックアップが削除された

なので今回のトロイの脅威はとりあえずなくなったから「現在、脅威はありません」になる
ただし復元にチェックが入ってたら再起動後四つ目が復活してまた検知される。多分

そんで103は現在復元切ってるのか、OSは何か分からないのか結局分からん
PC不調は上記以外検知されてないなら物理的な物を疑え
ここで情報小出しして不安解消しようとしないで
>>105に従って復元切ってとりあえずもう一度駆除を実行してそれからディスク探せ

>>112
詳しく解説して下さり助かりました。
今回のトロイについては大丈夫なようでとりあえず安心しました
最後にひとつお聞きしたいのですが、「復元」の設定はどこで
確認出来るのでしょうか
火狐ブラウザのオプションを見ましたが分かりませんでした。

以降はここで教えていただいたようにバックアップを取りクリーンしようと思います
スレ違いにも関わらず、ありがとうございました。

>113
>105が「Me、XP、Vistaユーザーは」「システム復元」と書いてるだろ。
四の五の言わずググれ。Windowsのスタートメニューにあるヘルプで検索しろ。
どんなに面倒でも自分が使っているPCとOS、セキュリティ対策ソフトのマニュアルも読め。
いい加減板違いだからここでは「システム復元はFirefoxで設定するものじゃない」の一言で済ます。

何の対策もしてない人がいるとは考えにくかったけど
仕事先で面倒だからとパソコンを対策ソフト体験版すら入ってないまま
ずっと使い続けてる人がいたから2chですらもそういう人が
たくさんいるかも知れないってことなのな
ここ見てると

ウィルス感染してる人にググレといってもしないかも知れないし
次に同じのが来たら>>でこの番号示してくれりゃいいので書くよ
>>113
マイコンピュータを右クリック
（orコントロールパネルの「システムのプロパティ」を開く）
→上の方の項目に「システムの復元」という名前が見えると思うのでそこを開く
→「全てのドライブの復元を無効にする」をチェック→「OK」を押す
監査になってた状態が無効に変化したらおｋ

バスターじゃまだ駆除できなかった…
オンラインスキャン行ってきます
バスター役に立たねえ

ん？バスターもノートンもとっくに対応されたんじゃないのか？

対応したのは別のウイルス（今回問題になっている*.gifから.exeに変異する
タイプではなく、最初から.exe、mixiのアカハクももくろむタイプ）。

ローカルで既にカスペを導入している人は、念のためルートスキャンもかけた方がいい。
（完全スキャンとは別、こちらは未知のウイルスに起因するシステム攻撃を予測防御する
ためのデータベース作成スキャン）。

あと、昨日昼頃の更新で定義ファイル更新に失敗するエラーが発生しているので、
今日は面倒でも一度は手動で定義ファイルの更新を実行する事（手動操作による
更新で修正される）

ごめん、手動でなんとか隔離できた
本当にこれでいいのかはわからないけど…

審配ならクリーンインストールも要検討

自作機使ってる人もWin98以降のOSには最初から\windows\system32\macromed\flashに
バージョン6が入っている（当然アンインストーラは用意されていない）ので必ず9.0.124.0
インストーラで更新すること（その後Flash9f.ocxのバージョンが9.0.124.0である事を確認）。

コミケ準備終わってないけど(･∀･)ﾆｺｯ！

今回Macは何ともないん？

14日頃、ネット見てたらsonb32drv.dllが検出されたというので隔離。
調べてみるとorz.exeが起動された形跡のようなものはあった。
でもファイアウォールのログ見ても、怪しいプログラムが外部と通信しようとした形跡はない。

こういう場合は感染してたけど情報は盗まれてない
という認識でおｋ？
sonb32drv.dllって感染後どういう動作をするんだろうか・・・

>122
Macでもウイルスが発動しないだけでJavaScript ONかつFlash Playerのバージョンが
古いものだった場合はｓｗｆファイルのDLと偽装gifファイルの保存まで実行されている
可能性は拭いきれない。

不安ならSherlockでまとめサイトにあるウイルス生成ファイル４つを洗い出してみては？

>123
さっさと感染していないPCからネトゲやmixi、hotmail（とMSNメッセ）のパスワード更新汁。

>こういう場合は感染してたけど情報は盗まれてない という認識でおｋ？
裏口から泥棒に入られたとして、我が物顔で居座っているやっこさんがそのまま素通り
していくと思う？

基本Intelマカーだし、XP側なんて久しく使っていなかったから大丈夫だろうけど
バスター対応した、っていうから念のため週末に最新版にしてスキャンかけて
何もなかったし、安心してたんだけど……安心しちゃいかんのか？

ちなみにMac側でSherlockしたら、この関係のスレログファイルがひっかかったよw
一瞬焦った。

orz.exeなんだからMac上じゃ活動しようがないんじゃないの
Mac側しか使ってないんだったら

>125
フリーのMacOSX版ClamXavやウイルスバリアＸ等で、XP領域の
完全スキャンをかけた方がいいかも。昔、別件でMac側から調査して
初めてヒットしたウイルスがあったから（ＭＷＰスキン中に、再生履歴を
MS以外の特定IPに送信するウイルスが隠してあった）。

>>124
今回のウイルスの挙動に詳しい人？パスはもう変更したよ。

1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif（中身はウィルス）をDL、インストール

上の続きの動作が知りたいんだけど。
sonb32drv.dllは実行ファイルじゃないからそれだけでは動かないと思うんだけど、
パス盗む際にはorz.exeがsonb32drv.dllを使って外部と通信するということなんだろうか？

sonb32drv.dllが見つかってからすぐにパソコン調べても他のファイルは見つからなかったし、
orz.exeには自己消去機能でもついてるのかな？
それかウイルス対策ソフトが勝手に消したのか・・・よく分からんから気持ち悪い。

私もsonb32〜しか見つからなかった
隔離したけど不安だ

125です
>>126-127 ありがと。

マカーだし.exeなんて別に恐くないんだけど、やっぱりIntelでXP同居してると
今までのように聞き流すわけにはいかんよね、と思って。
自分はこの騒動が起こってから手を打たれるまでの期間、XP側は使っていないんだけど、
家人がたまに使ってるんだよね。

127さんのMac側から初めて見つかった、っての恐いですね。
オススメソフトさんくす。

Mac用アンチウイルスソフトには実は「Windowsの.exe・画像偽装ウイルスも検知・駆除」する
機能がついているのでどんどん活用（ClamXabはウイルス定義ファイルが共通、ノートン先生
Mac版も9.0からWindowsウイルスの検知駆除に対応）。

たとえば
　Win環境では圧縮ファイルの検疫をとばし、Mac側で圧縮ファイルに隠されたウイルスの検知を行う。
　なぜなら、解凍したファイルの中身に.exeウイルスが潜んでいてもMacでは発症しないから。

今朝やばかったらしい

678 名前： 既にその名前は使われています 投稿日： 2008/06/27(金) 00:55:58.60 ID:nkWv/8lE
XREAの広告、またやられたというか巻き戻っちゃってるので注意。
XREAの該当ファイルのタイムスタンプは日本時間26日3:21。
fccjaのトロイのタイムスタンプは18日だけど
こっちはたぶんいじってあるのであてにならない。

714 名前： 既にその名前は使われています 投稿日： 2008/06/27(金) 02:02:18.02 ID:nkWv/8lE
XREAまた修正済みの17日のに戻った。書き換え合戦か?

>>132
age

もう何があっても驚かないよ。上位サービスのCOREもぐだぐだみたいだし。
残り８ヶ月分の広告免除費は学習代と割り切って、他サーバ会社へ移転済。

警察もこういっている
「泥棒は、一度盗みに入って成功した家には必ず戻る習性がある…」
（泥棒…RMT業者、ハッカー　家…言わなくてもわかるよな）

value domainにも影響出てくるのかな？

一応ageておくか。

あーもう、広告免除組といえども移転考えとかないとアレかな？
まだ鯖が十数個しかない頃からずっと居て、自由度や容量の多さとかで好きだったんだけどなぁ。

XREAスレより>>132続報

810 名前： 771 [sage] 投稿日： 2008/06/27(金) 15:07:25 0
nslookup j1.ax.xrea.com
202.181.97.153 DNSから外したみたい。
こんなの最初(10日頃?)からやっとけよ!

何を拘ってたのか知らないがまず最初に打つべき手を
今頃（問題発生から３週間）やっと実行に移すってのはなぁ。

全てを「外部に委託していたせいで…」で済ますつもりなのかこの会社

その辺山一証券の社長は偉かったなぁ
「私が悪いんです、部下は悪くないんです…」

アレだな。飛騨牛偽装の社長。

船場吉兆の女将さんもな。

早々に足抜けしたいがいい＆信用できる引っ越し先が見つからない…。

xreaスレ見たら、まだ攻防してるみたいだよ。

あげ

最新版ダウンロードしようとしても、
何の反応もない…。

ダウンロードのとき、何か必要なものがあるの？？

使ってるブラウザがフリーのタブブラウザだから落とせないんだろうか。

>>144
ウイルス以前の勉強をしてきたほうがいいと思う。

↓の話かね？

「Firefox3のダウンロードが「インターネットオプション」の設定に依存する話」
ttp://bakera.jp/ebi/topic/3172

Firefox3はMac版でもFlashフォームに日本語が入力できない（ことえり・ATOK）し、
配布開始当日早々バグとセキュリティホールが見つかってる。
3.0.0.1が出るまでの間は2.0.0.14使うが吉。

「IE6にパッチ未公開の脆弱性、Cookieなどを盗まれる危険性あり」
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080627/309680/?ST=security

ＩＥ６もしばらくヤバイかも

ＩＥ６もか！？
じゃあ、一体どのブラウザが安全なんだよｏｒｚ

javaとActiveX全部切ってCookie拒否設定でブラウジング

ネット切断しる

対処したって後にXREAサイトにぶち当たったんだけどほんと大丈夫だったんだろうか
一応上で出てたことは全部やって問題は出なかったんだが
書き換えされてたってのみたら不安だわー

IE7にしたら強制終了の嵐で使い物にならなくなってIE6に戻したというのに…

Ｏｐｅｒａ９．２７使ったほうが無難なのかもしれん・・・
９．５０は不具合がこわくてＤＬに踏み切れぬｏｒｚ

FireFox ver2使えばいいじゃない
アドオンが沢山あって楽しいぞよ

Firefoxな。
メジャーに限らずどのブラウザにもセキュリティホールはあるんだから
ユーザーが気をつけるしかない。重要なのはユーザーの意識。
それができないなら、Windows・Mac使うのやめろって話。
そうすれば多少安全度が上がるから。

おいおい、MacはOSXになってから一応Linux系だぞ。
残るは超漢字か、米国に潰され現在は携帯用OSとして寿命を繋いでいるTRONか？
合成音声による読み上げブラウザはなかなかのものだ（当然画像は表示されない）。

OS9は昔からフォントデータだけ破壊するワームが横行しているから、NAV９なりウイルス
バリアは最低限入れとけよ。あとQuickTimeの自動再生は必ずオフだ。SafariのDL
ファイル自動解凍も切っておけ（OSXでもPantherまでは手動設定が必要）。

下らん

あげ

ブラウザはFirefox2がつい先日2.15になったね。
ここは脆弱性が出ても対応早いと思う。
3についてはもうちょっとかかりそうだが。
IEはどうしても月一回宣言してから脆弱性放置プレイ期間が長いので
設定切るのが面倒という人にはお勧めしない。
そういやSafari使いの人も脆弱性対処されたからupdateしる。

7/2に、firefox2でとあるサイト閲覧中にtaa.gifウィルス感染した。
IEとfirefoxで、flashplayerのバージョンが違うとは知らなかった。
firefoxで問題サイト閲覧してたのに、taa[1].gifキャッシュはIEのディレクトリにDLされた。
taa[1].gifの中身をテキストエディタで開くと、明らかにexeファイル…。

気づいてカスペのオンラインスキャンでウィルスファイル削除、
PC内に以下の名前を含むファイルが無い事を確認。
「i115[1].swf」「taa.gif」「orz.exe」「sonb32drv.dll」
ウィルススキャンも検出ゼロ。

だが、それ以後も対策で入れたIPフィルタソフト「PeerGuardian2」にて、
web閲覧していない時でも、なぜか定期的に中国IPとたまに韓国IPへ
通信している事が判明。

もう新しいHDDを買って、windowsも何もかも入れなおしました。
その結果、無意味な中国IP韓国IP接続は無くなりました。

駆除でウィルス検出ゼロになって安心していたのに…。
IEじゃないから大丈夫とかXREAの騒動は終結しているからとか、
そんな次元の話じゃないな…。

>>18 の通り

160がカスペのオンラインスキャンをかけた後でやったのが
カスペ本体のスキャンで、それでも検出されなかったんだったら厄介だな…

>>160
その無意味な通信は、今回の件でPeerGuardian2を導入する以前に
既に別のスパイウェアに感染してたという可能性もあるんじゃ？
スパイウェアだからカスペのウイルススキャンはで検出できなかったとか。

しかし怖すぎるな。
そのサイト、まだ覚えてるならどっかのスレで報告したほうが良いのでは。

ｽﾏｿ

×カスペのウイルススキャンはで
○カスペのウイルススキャンでは

これ使おうぜ
http://sourceforge.net/projects/w3m/

くだらない

相手に発言の責任は執拗に求めるくせに、
自分の発言の責任は問おうとしない
正面切って相手にモノも言えない奴等が
自分の身の安全だけは保障されたぬるいクソの掃き溜めみたいな場所で
正義面して「情報発信の責任」とか言いつつ
裁判にも出席せず、命じられた罰金も不払いのまま逃げ続けている
ひろゆきの運営する２chのルールを「守らなければいけない」
とか主張して
それで真剣に「議論」してる気になってる

ヲチャはうんこを自覚してるなら大人しくうんこなりにうんこやってればいいよ
うんこのくせに偉そうにヲチ被害について「議論」とかお笑いですよ

で。要点はなんだい。

ウイルスじゃね？

恥ずかしい奴だな

こういうときは「可愛い奴」って言うのよ

ぷっ

DS版竜探求５
もう勘弁してくれ
堀意はどういうポリシーを持ってあんなキャラを投入したんだ

種村蟻菜の恥ずかしいタイトルの新連載
何だこりゃ。

>>172
いい意見が聞けた
ありがとう

鯖は使ってないけどアク解なら使ってるんだよXREAの。
あの小さくて細いグレーのバナーもヤバイ？

留浪二検針
話にもキャラにも一切の魅力を感じない
どこで感動したり笑ったりすればいいのか本気で分からなかった
アニメ版の主人公の某読み台詞もきつい

※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は６月の罠広告に使われたウィルス置き場と同一です。

現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ＩＤ・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く（サイトの内容関係なく）が汚染されている可能性があります。

管理者の皆様はソースのチェック等対策をよろしくお願いします。

…またなの…？

いいえ、い　つ　も　ど　お　り　です。

>177
今のところ垢ハク被害報告があがっているのは、信長の野望Onlineだけ。
だからといって油断は禁物。FTPソフトで自分のpublic_htmlにアクセスして
更新日付に不審な点がないかチェックしてみて。

XREAの厄介なところは、関連会社（バリュードメイン）でドメインを修得して
いると無料（広告付き）のままサーバスペースを借りられる＝XREAとついて
いないURLなら安心と気を緩めていると感染してた、なんて事も起こりうる。

今月には全無料スペースの有料化または一定期間更新のない契約をあぼーん
する決定が下されるようだけど、公式サポ板にはまだ何の連絡・告知も
上がっていない。無料スペースにデータを上げたきり放置プレイの人は、
一度ローカルに全データのバックアップを取った方がいい。

FFXI関係のテンプレサイトが根こそぎやられた。
FFのアカウントハックかも。

XREA＋に設置したテンプレサイトもやられたのか

　
http://openuser.auctions.yahoo.co.jp/jp/show/auctions?userID=qoh_master

同人誌コピーＣＤ、Yahooオークション公認で大好評発売中！

現在の評価数　→　qoh_master（2863）
Yahoo様の推奨と保護をいただき、収益１０００万円突破！！

月姫 同人誌 450冊セット
美少女戦士セーラームーン 同人誌 300冊セット
涼宮ハルヒの憂鬱 同人誌 300冊セット
ラグナロクオンライン 同人誌 300冊セット
ファイナルファンタジーシリーズ 同人誌 254冊セット
サクラ大戦 同人誌 264冊セット
カードキャプターさくら 同人誌 225冊セット
ToHeart2 同人誌 220冊セット
Fate（フェイト）　同人誌 504冊セット
機動戦士ガンダムSEED／DISTINY 同人誌 300冊セット
ドラクエシリーズ 同人誌 260冊セット

全て、一枚のＣＤにコピーして収めました！
普通に購入すれば十万円以上もする商品が、激安千円！

※時折著作権に関する筋違いなクレームをされる方がいらっしゃいますが、
当方ではそのような直接のクレームは一切受理しませんので、
Yahoo様にでも通報されたらいいと思います（まず相手にもされないでしょうが（笑））
当方はYahoo様に収益の一部を支払うことで、完璧な保護を受けております。冷静に行動されてはいかがでしょうか。

だから先月何もなかったのに、今月に入ってスキャンしたらウイルス見付かったのか

怖くなって薬屋鯖で使ってたファイル全部消した

テキストエディタで開いたくらいじゃ感染しないよ（HTTP記述へリンク属性を付ける
エディタはオプションで切ればいい）

GoLiveやホームページビルダー・Expression Webを使っているならサイト内ファイルの
外部リンクを検索・リストアップできるから、見覚えのない記述や差分記述を発見したら
片っ端から検索＆置換で駆除。

今回のハッキングは管理者権限でサーバにアップロードされたファイルを直接書き換えられて
しまっているから、ローカルでの感染を予防するにはこれしか対処のしようがない。

XREAサポートフォーラムより

ttp://sb.xrea.com/showthread.php?t=12960
外部ユーザー様から通報いただいた1サイトのみの確認ですが、
ログから判断しますと、
スクリプト経由で書き換えられている可能性が高いと思われます。
スクリプト自体を最新にする
.htaccess に
php_flag allow_url_fopen off
php_flag allow_url_include off
php_flag register_globals off
を記述する
万全ではありませんが、下記の方法でアクセス制限をする
ttp://sb.xrea.com/showpost.php?p=77290&postcount=3
といった対策があります。
他に数サイトあるようですが、他のサイトはまだ把握しておりません。
また、最新ではないXOOPS運用サイトでもなどでも
同様の改ざんがされることを確認できております。
なお、上記PHP設定項目が旧サーバーでOnになっているサーバーは、
アップデート時にサーバー側でOffに変更させていただいております。
ttp://sb.xrea.com/showthread.php?p=83962#post83962

>>185
ネ実アカハクスレより

>>635
XREAはPHPスクリプト(PukiWiki？)のせいだと言いたいみたいだけど、
忍テンプレはPHP使って無いし、今回の件については的外れな感じが。
XREAのFTPパスワードが全体的に抜かれて改竄された、っていうのが一番しっくりくるんだけど
そういうことはあり得るのかなぁ？

ちなみに被害報告のあった４件のサイトのうちPukiwiki形式のものは１つだけ。

とうとう責任逃れを始めたか。
まさかこのまま夏休みに入ったりしないよね。

先週XREAに仕掛けられたトロイが更新。
ttp://www.virustotal.com/analisis/ccc234390e5b7a6c342d589bf2a33038
× Norton McAfee バスター AntiVir avast AVG BitDefender ソースネクスト(笑) 他多数
これはひどい…。各社に提出済み。

既存のPHPスクリプトの脆弱性突いただけじゃねの

四件のうち一つはぷきうぃきらしいが残りはどうよ

各ファイルの更新日時に不審な点はないし
（全ファイルは確認できてないけど）ソースにも変な記述は無さそうなら
現時点では大丈夫なの？

>>189
Pukiwikiどころかスクリプトのスの字も使ってない
HTML上げてるだけの所もやられてる

ftpパスワード抜かれたまま放置していただけかも知れない
とりあえず被害報告が少なすぎて原因の特定はまだ無理だよ
他人の責任だと思い込みたいのはxreaもユーザも同じ、特に原因不明ならば

>190
FTPパスどころかサーバそのものへのアクセスパスを破っているということは、
痕跡隠し（更新日時の書き換え）など改ざん者にとっては造作もない。

自分は関係ないと思っている人も、今回はより悪質な手口になっているという
事を忘れずに。一度今上がっているファイル全てをスキャンするなりlinkの
in & outチェックを行った方がいい。

素人なんで全然見当違いかもしれないけど

広告をサーバー側で埋め込むのと同じ手法でスクリプトを埋め込まれたんじゃ？
それだったらファイルのタイムスタンプも変わらないし、
ユーザーがいくらチェックしてもパスワード変えても意味がない。

ただ本来それができるのはXREA運営だけのはずだけど・・・
サーバーそのものが乗っ取られてたんなら可能性あるんじゃ。

６月の奴は、中国にアウトソーシングしていた鯖会社の関係者がウイルスを仕込んだんですけど。

レン鯖板のほうでまたサイト改竄されてたって話が出てる
XREAだけでなく､XREA+のほうも危ないんだろうか
鯖乗っ取りの可能性があるなら､広告表示されてないから
大丈夫なんて考え方は甘いだろうか

>>196
> XREA+のほうも危ないんだろうか

そこが問題だよなぁ。

XREA公式の言い分によればPHP周りがｳﾝｺｰなﾔﾂがやられたんだよボケが！という話なんだけど
公式が言ってた対策キッチリしてFTPパス変更までしてたとこも再改竄受けた。

今のところ明らかになってる被害サイトは５ヶ所。
うち改竄再発×３・移転×１・閉鎖×１。
閉鎖したとこはXREA+だったぽい（検証しに踏みに行った時広告表示は無かった）。

新たに３ヶ所改竄が判明。

何がダメかって、鯖屋が事態把握できてないところだよな。
これじゃXREAに置いてあるほかのサイトも危なっかしい。
こんなもんどうやって自衛しろってんだ。

そりゃあなた、とっとと見限るという選択肢ですよ。
あとは、潰れるまで何があっても笑い飛ばせる用途に限って使うのみ。

しかし、何処に移るべきなのか…西院？

あーあ、鯖番十台くらいから使ってたから愛着あったのに。

何が困るって、この最中に＋の期限が迫ってるってことだ…
移転告知のためにも、一応延長するけどさあ
自分も十番台からお世話になっていたんで、残念

サポートに頼らず極力自力でなんとかしろ！
というスタンスで値段が安いのはわかるけど
このレベルのトラブルは対個人のサポート云々越えて
企業として対応しないといけない事例だと思うんだが放置なんだよね

個人サイトならまだいい
幸だと移転先が中々見つからないので本当に困ってる
ドメイン持込で幸が可能で同じような価格帯の鯖なんてそうそうないので閉鎖も現在考えてるよ

>>205と似たような状態。＋でもやばいならどうしよ。

幸?

注意喚起であげておく

注意喚起あげ

>205
幸なら桜辺りは？あそこもドメイン使えるし、値段も格安レベル。
実際に幸設置しているところも多かったと思ったけど。

幸ってなに

しあわせってことだよ

若さってなに

振り向かないことさ

愛ってｒｙ

ためらわないry

おまいら、若くないだろ・・・

で、幸って何

>>218
http://ja.wikipedia.org/wiki/%E5%B9%B8

セキュリティ関連のスレだし、情報源として同人関係ない人も覗いてるだろうから
同人関連の隠語は素直に説明してあげた方が親切だと思うの……

半年ry

半年ROMらせてる間に被害拡大させるの？馬鹿なの？

セキュリティとは関係ない話だよ。
幸やっている人が移動するならどこがいいかという話なんだから、
幸じゃない普通のサイトの人には関係ない。

調べればわかることをきいてくるヤツは
2ちゃん向いてないと言わざるを得ない。

1文字を検索してもさっぱりわからんのだが。。

>225
>223

んで、何をもったいぶっているの？

幸の意味聞いてるならサーチ
サイト登録型サーチエンジンの事

他の一文字ならわからん
略す意味もわからんが

情報源にここを覗いたって
本家のスレやネトゲ系の板以上の事はわからんと思うけどな
啓蒙用だし

教えてあげた方が親切と言いながら自分は教えない罠w

>>228
ありがとう

>90
48人全員そういうスタッフだったら良かったんだろうけどね・・・
中にはスタッフの皮をかぶった非常識が居たのも事実
そして断然そっちのが目立つ。
もうスタッフ＝お手伝い、人手さえ居ればいいって規模じゃなくなってるんだよな

ジャンル者代表でも２からでもいいから
使えると思ったノウハウはどんどん拾ってもらえるといいんだけど

>>230
意味が分かるようになるまで初心者は書き込むな

1週間も経って得意げになにこの○○遅れｗｗｗ

新たに知り合った人のサイトがこの鯖だった
対策ソフトを入れているけど普通に閲覧して大丈夫なんだろうか

>>234
踏めば判るさ　としか言いようがない

とりあえず対策ソフトを入れてるから大丈夫？くらいの認識では危ないかのう

落ちたかと思ってた
保守

萌え絵
みんな同じ

主線がいっぱいある絵
一本にした方が描きやすくないか…？

保守ついでにチラ裏カキコ

今レン鯖板のｘｒｅａスレではサーバー障害とかｆｔｐの不具合とかで
もの凄い勢いでスレが伸びてるなー

大丈夫かね、この会社・・・
個人的にはなくなって欲しくないお

●● RMT業者の垢ハックが多発している件40 ●●
http://changi.2ch.net/test/read.cgi/ogame/1222348979/

一応関連あるとおもう。

※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は６月の罠広告に使われたウィルス置き場と同一です。

現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ＩＤ・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く（サイトの内容関係なく）が汚染されている可能性があります。

管理者の皆様はソースのチェック等対策をよろしくお願いします。

ネトゲやってなくても注意。　
mixiやヤフオクのアカウント乗っ取られて詐欺オクやSPAMに使われる可能性アリ。
特にヤフオクはかなりの被害がでているらしい。

>239
最初から最後までコピペならコピペと書いて欲しかったんだぜ

なんで今起きてるFTPエラーのにHTML書き換えの件が
関連あるのか？と小一時間悩んだじゃないか

>>240
うわ、ごめんね
ひとつ上のレスにじゃなく、このスレに対して関係あるかもって思って書いたの。

残念だが>>241、
>>176で既出なんだぜ

でもまだ公式のアナウンスもないはずだし
>>241に倣って自分もスレ上げとくよ