このコンピュータに対する侵入 「HTTP Adobe SWF Remote Code Exec」 の試みを検出して遮断しました。 侵入者: 61.238.148.112(81) 危険度: 高レベル プロトコル: TCP 攻撃された IP: 攻撃された ポート: 1228 乗り換え先を検討しないとな
良鯖だったのに、残念だ。。。(・ω・`)
移転してきたばかりなのに/(^o^)\
xreaみたいに広告位置自由に動かせるとこって どこがあるのかな?
CORESERVER.JPに移転させようとする陰謀じゃないの?
今の現状を見て移転したいと思うか?
え、ちょっとまって何があったの??
787 :
666 :2008/06/13(金) 01:48:59 0
>>758 技術力を示したいのは分かるけど
確実に攻撃に繋げられる方法を提示してどうするんだ。
本気でその投稿は削除してくれ!
◎XREAユーザはマジで注意◎
1. XREAユーザはクッキーを削除する。
2. メールや掲示板からXREAへのリンクがあったとしても
絶対にクリックしない。URLが
http://www.xrea.com/だとしても 。
>>758 おしちまった/(^o^)\
フラッシュプレイヤーは最新にしてあるが
ウィルススキャンして寝るか
なんか騒がしいけどxrea側には誰か伝えたの?
>>788 ,790
なにも害はないよ
" onmousemove="document.write(/xss/)
だけだから
ん?無料厨だけだろ 騒がしいの
793 :
666 :2008/06/13(金) 02:42:49 0
>>788 ,790
あのリンク先に飛んでもまったくもって問題ない。
画面に文字列が表示されるだけ。
・・・だけど問題はそうじゃないんだよ。
>>789 DVのサポートに連絡したけどこの時間だから「対応待ちです」だし・・・
2chって
>>758 は削除対象にならないっぽいし・・・
>>792 202.181.97.153の問題は、Flashのバージョンを最新にしておけば
とりあえず今のところ大丈夫。
だけど、
>>758 の問題はクリックしたら
Flash云々関係ない。クリック→終了。
DVに相談しても、3倍返しになりそうで怖いね
795 :
666 :2008/06/13(金) 02:52:38 0
>>745 さくらのような環境で、一台だけarp spoofってのは考えにくい。
apr spoofingするには、ARPが届く範囲にいなきゃいけないわけで、
つまりどれかのサーバに侵入できたということ。で、侵入できているのなら
わざわざarp spoofingやルーティングテーブルの書き換えをするまでもなく
ファイルを直接さわれるわけ。むしろ、この類の、不特定多数の人間に
マルウェアをダウンロードさせたいパターンでは、それこそ近隣の
サーバ全部にarp spoofingを仕掛けてまるごとおいしく頂くでしょ。
ここの鯖管(平岩健○)が事情聴取されてるみたいだよ 無事にかえってきたらいいんだけど、しばらくは無理じゃないかな
kwsk
観測所の実験か?
情報ソースは
ブルドック
おっと、反射なら脳まで行かないかw
これは常識っていうか前提みたいなものかもしれないけど、 XREA+(PLUS)の7日間お試しプランでとりあえず広告を消しといた。 7日過ぎて未解決だったら問答無用で広告消す。
そしてアカウント削除されるんですよね
トロイを使ってあらゆる情報を抜き取って何が悪いのかわからないアル。
Slashdotに投稿すれば大騒ぎになってくれるんじゃね?
まかせた。
810 :
名無しさん@お腹いっぱい。 :2008/06/13(金) 13:49:29 0
S284は何が起こってるんだ?
811 :
名無しさん@お腹いっぱい。 :2008/06/13(金) 13:50:04 0
画像が表示されずに×印になるよ<S284
gigazineに誰か投稿して。
たまたま思いついたのがGIGAZINEというふうにしか見えない
意味がワカランす
IT戦士に調査依頼しようぜ
816 :
666 :2008/06/13(金) 14:22:56 0
1.
>>758 の件
XREA → 「専門・担当の者に連絡いたしました。」
2. 202.181.97.153の件
さくらインターネット →
[email protected] に連絡済み。返答なし。
XREA → 「対応中です」
報告乙。 やるじゃん。
なんかトロイに感染しまくってるんだけど、本当にこれxreaが原因? ウィルスばらまいてるのに対応遅すぎないか?
819 :
666 :2008/06/13(金) 14:38:57 0
>>796 1. 202.181.97.???が侵入されて、arp spoofing。
2. 202.181.97.153が直接侵入されて、改竄されている。
たしかに2つの可能性があるけど、、、
それよりもお客さんのサーバがアタックを受けているのは確実なんで
さくらインターネットには何よりも先にサーバを止めてほしい・・・
セキュリティーソフトが何も警告出さないので 逆に不安になってくるんだけど。 フラッシュプレイヤー最新にしてたら、 セキュリティーソフトも無反応?
821 :
666 :2008/06/13(金) 14:49:18 0
>>820 >>697 にも少し書いているけど
Flashプレーヤーのバージョンを確認して
そのバージョンの脆弱性を狙ったswfファイルを実行させようとする。
最新版だと該当するswfファイルがないから
何も実行されない。だから無反応でOK。
何度も書いてるけど、「現時点での話」だからなー
>>821 こういうピンポイントでトロイ配信してくるのって厄介だよね
担当者に十分な情報が伝わってないと、再現性無しでスルーされそうだし
s284めちゃくちゃだな スパマー御用達鯖か?
裏から284に入ってきた俺涙目w
セキュリティホールmemoにも出たから 対応するんじゃないかねぇ
とりあえずXREA+7日間お試しに申し込んでおいた
慎重すぎw 俺なんてよゆーでLayoutIgnoreURI *しちゃった。俺かっこいい。 次の鯖代2400円まであと2ヶ月、アクセス解析2000円は8ヶ月後。
アク解に金払うとどうなるん?とタダ使いの自分が聞いてみる
アクセス解析はただ画面隅のバナーが表示されなくなるだけ。 opera使いの人が常にアクセス解析のURLをリファラにして アクセスしてきてたのでこちらも気になったのでバナーを消した。 しかしその人は相変わらず当該リファラを返してくる謎。
リファラを同じページとして送るオプションでもあるんでしょ?
834 :
名無しさん@お腹いっぱい。 :2008/06/13(金) 19:54:04 0
835 :
名無しさん@お腹いっぱい。 :2008/06/13(金) 20:45:46 0
>>816 IPAじゃなくて、情報なんとかセンター
そこじゃないと基本動かんよ
>業界常識
836 :
名無しさん@お腹いっぱい。 :2008/06/13(金) 21:10:49 0
>>783 Vistaじゃ動かんがなwwwwwww
hostsだとIP直は防げないよね
>>816 > 2. 202.181.97.153の件
>XREA → 「対応中です」
DNSラウンドロビンから外すだけじゃん…。
何もやってないな。
>>839 常識的に考えてそんなのすぐできるわけないだろ。
できる
s143に比べればどの鯖も1万倍マシさ。
843 :
名無しさん@お腹いっぱい。 :2008/06/13(金) 22:49:48 0
284死んだ
>>840 あなたの常識でいうすぐ出来ない理由を是非教えてください、
もちろん完璧な対応でなく、一時的な緊急非難措置が取れない理由です。
粘着君
DNSから202.181.97.153を切り離すのに何日かかるんですか
数年
xreaのサイトで広告がウイルス判定されたんだが。
まだ直ってないのか…… 何やってんだほんと
24時間経ってもまだウィルスの対応が出来ないって…
24時間どころか
SWF_DLOADER.ADLW が検出される@VB2008 これやばいんじゃないの?
自分も何度もウィルス検索したりして心配になってるけど、 閲覧にくるお客さんが一番心配だよこの状態。
VBがやばいのでは?
無料で運営しているユーザは、ちゃんと注意書きをでかでかと書いておきましょうね 「サーバの広告ページを通じてマルウェアがダウンロードされるかも知れないので、 AdobeFlashPlayerプラグインは最新版にして下さいね」って
最新じゃない場合は見てからじゃ遅いと思うんだ。w
つまり とっとと対応しろやXREA!! って事ですね。
みんな有料にすればいいじゃん(・∀・)ニヤニヤ
こんなに問題を放置するようなレン鯖に金と個人情報を渡す気にはなれません。
何を今更だと思う 前の時の方が、長期間だったし
前って何かあったの?
それは禁句。
戻りたい 戻れない 気持ちうらはら とまどいはもう愛ね そろそろ禁区
865 :
名無しさん@お腹いっぱい。 :2008/06/14(土) 02:35:07 0
たまたま最新版入れといて良かった いつも様子見するから
5年も前の話持ち出すなよ。 確かにあの時はたいへんだったけどさ。
>>862 検索しても出てこないはずなので、悶々として下さい
868 :
名無しさん@お腹いっぱい。 :2008/06/14(土) 04:20:42 0
Vista+IE7の保護モードなら、セキュリティーホールでやられても、まず被害うけない
お前らがデジロックに就職したら、きっとスゲェ良い仕事すんだろうなぁ
>>869 いまさら鮫島かよ
こんな胡散臭い会社(ほんとうに「会社」なのか?)にゃ、就職したくないな
頭の悪い書き込みだな
ほとんどがアルバイトでしょ。
まえのって上位回線が落ちた奴だっけ?
そりゃ、改竄広告を配信し続けるような会社のスレだからなぁ
ちょっと古いリンクを巡回してみたんだが、 今回の事件で課金した職wikiが多数でわろたw xreaにとっては長期的に見て信用が落ちるよりも お金が入るほうが得策だと判断したのかもしれんね。
これって、新聞ネタにもなり得る問題だぞ
動きが無くてつまらん。
ここで騒いでいてもしょうがないと思うが JPCERTなど相応の機関にたれこめ
だから、まかせた。
全員が課金し終わるまで二週間はかかるだろうし対策はその後になります。ご了承しなさい。
>>880 セキュmemoに載ったからもう動いてるだろ
s284の運営は放棄したの?
887 :
名無しさん@お腹いっぱい。 :2008/06/14(土) 13:48:17 0
>>877 様
早速のご指摘ありがとうございます。
JAPALINK管理人
無料版と有料版のサーバの番号の違いって どうすれば分かる? とりあえずxreaの無料系はフィルタリングしようと思うんだが。
>>888 鯖番号での判別は事実上無理。
広告有りと無しのユーザーが混在している。
最初この件をこのスレで報告した奴を必死で叩いてたバカはなんだったんだろ
たたいてたやつが犯人なんじゃねーの? もしくは関係者とか
仕込んだ内容からして中華が怪しいよ
>>888 広告サーバをフィルタリングすればいいんじゃね?
imgj.xrea.com
ad.xrea.com
j1.ax.xrea.com
hostsでサクっと。
IPで阻止可能なら感染したのは上記の名前を持つ5台中1台。
202.181.97.153
をピンポイントで。
VB2008でSWF_DLOADER.ADLWが検出されて隔離には成功したんだけど 駆除できなくて困ってるんだけど削除しても大丈夫なのかな? ぐぐっても対応方法が出てこないし誰か教えてください
kasperskyでも問題なく検出できる? > SWF_DLOADER 本家のサイトのウィルス情報見ても このウィルス情報見つけられないんだが。
>>898 できるよ。
検出名はベンダでバラバラなので
同じ名前で他社で探すのは無駄。
今北 三行で説明頼む
XREAの 広告に ウイルス
どこに責任の元凶があるかなんて話はひとまず横に置くとして ひとまずできる応急処置(ラウンドロビンから問題のサーバを除く等々)すら せずに、ずっと放置してるからいかんのだよ。。。
財布がパンパンだぜ
904 :
名無しさん@お腹いっぱい。 :2008/06/14(土) 17:28:11 0
PCブッ壊れたvvvvvvvvvvvvvvvvvvvvvvvvvvvvVVVVVVVVVV デジロックは弁償しろvvvvvvvvvVVVVVVVVvvvvvvvvvvvVVvVVVVVvvvVVVVVV
☆や☆だ☆よ☆
課金率が前月同比で300%越えた。 そもそも非課金ユーザーは少ないのですが。
907 :
名無しさん@お腹いっぱい。 :2008/06/14(土) 18:03:55 0
能無しの運営君見てるか? s284どうにかしとけよ
908 :
名無しさん@お腹いっぱい。 :2008/06/14(土) 18:05:33 0
え、なにこれ全鯖の無料版の広告にウィルスって事?
無料ユーザー = 課金ユーザー
次のスレタイ楽しみ
>>909 必ずしもウイルスだと決まったわけじゃない
ブルース?
つまんね
もうウイルスで確定だろ
痛々しくて見てらんない
誰かこの件でニュー速にスレ立ててくれ
俺は立てないけど誰か〜〜、誰か〜〜
Xrea無料鯖の広告を見てウィスル感染 →Xreaを見てウィスル感染 →Xrea鯖むっちゃやばいです>< ってなったら俺達VD経由で登録してる奴も困るんだぞおい こっちは金払ってんだからな Xreaのドメインを隠すためにドメイン買えって事かよおい!
ドメインくらい買えよ
だが断る
whois系のサイトから自サイトに飛んでくるのが目立ってきた 誰だ、悪い子探しに夢中なのは?
ウイルス感染wwww みwなwぎwっwてwきwたw
今現在も何の対応もなし? xreaのユーザーのサイトへの訪問者がウィルス感染のリスクに 晒されるわけであって、サーバ事業者として即時対応すべきことが あるだろ。 これまでの経緯が事実なら相当な数のウィルスを拡散してることになるぞ? これをこれだけの間放置するって本当にどうなってるの?
Firefox(Flashのバージョンは9.0.115.0)で広告ありのXREAサイトをみる→
>>779 みたいな警告→
→キャッシュ、クッキー削除→Flashを9.0.124.0に更新→ノートン2007を最新版にupdate→
→システムの完全スキャン→感染なし
という状況なんだが大丈夫だよな?
それがエクスリアクオリティ
FlashPlayerをいつも最新にしててよかった!
閲覧者が最新にしてるとは限らないからね。
おい!先日公開されたOperaUSBの最新版9.5のFlashが9.0.115のままだぞ!!! 気 を つ け ろ!! 入れ替え必須だな
そもそもの元凶は、脆弱性のあるソフトウェアをリリースしたソフト会社さん 次に、脆弱性のあるプラグインを最新版にアップデートしない馬鹿な閲覧者さん そして、一週間経っても汚染されたコードを除去する気配のない鯖会社さん
>>932 サイト運営者は無罪だよね?
ちゃんとバージョンアップしてるから、
問題が起こってることすら気づいてないよ。
しかしこれはそんなのんきな話ではないだろ サーバー管理者は何してるんだ?
ウイルス事件というよりは管理人消失事件と呼ぶ方がふさわしい?
解決すれば、温故知新事件じゃない
管理人、もしかしてドバイでリゾート建設でもやってるんじゃね?
SquirrelMailで >ERROR: Could not complete request. >Unknown response from IMAP server: 1.* NO Cannot open message 591 * NO Cannot open message 592 * NO Cannot open message 593 ってエラーメッセージがでて 差出人 日付 件名 送信者不明 日付不明 (無題) 送信者不明 日付不明 (無題) 送信者不明 日付不明 (無題) って状態なんだけどどしたらええの? xreaコンパネで初期化しても変化無し ウェブメールだと見られないけどPOPで読む分には問題なし どういうことですかこれは?
s298落ちた?課金してからこんな現象に出会うの初めてだ。
s312も落ちた
と思った8時まで緊急メンテナンスらしいな
いつも大体どれぐらいで復帰するのかな? 200番台後半から300番台前半ぐらいのが落ちてるっぽい。
なるほど、おk
>>686 GoogleAnalyticsで確認したところ、俺のサイト利用者でFlashバージョンが
9.0.124以上なの14%しかいないよ、つまり8割以上のユーザが危険ってことになるのかな。
俺のとこはxrea+なんだけどね、いちお情報として。
メンテナンス情報のRSSってちゃんと取れる?
今日の緊急メンテナンスって、上で騒いだ事への対応?
ウイルスコードが入ってるのは自動挿入広告か? それとも手動挿入広告? 早く気付けば良かったorz...
XREAがアナウンスしてないんだから気付かないのも無理はない
950 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 10:55:28 0
このスレの半ばほど読めば似たようなレスがあるのだが。
そんな怒るなよ。
教えたろ君がいるかぎり、教えて君は現れる。
955 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 12:47:12 0
刀、 , ヘ
/´ ̄`ヽ /: : : \_____/: : : : ヽ、
,. -‐┴─‐- <^ヽ、: : : : : : : : : : : : : : : : : : : : : : }
/: : : : : : : : : : : : : :`.ヽl____: : : : : : : : : : : : : : : : : : /
,. -──「`: : : : : : : : : :ヽ: : : : : : : : :\ `ヽ ̄ ̄ ̄ フ: : : : :/
/: :.,.-ァ: : : |: : : : : : : : : :\: : : : :: : : :ヽ \ /: : : :/
 ̄ ̄/: : : : ヽ: : : . . . . . . . . . . .、 \=--: : : :.i / /: : : : :/
/: : ∧: \: : : : : : : : : : ヽ: :\: : : 〃}/ /: : : : :/ 、
. /: : / . : : :! ヽ: : l\_\/: : : : :\: ヽ彡: : | /: : : : :/ |\
/: : ィ: : : : :.i: : | \!___/ ヽ:: : : : : : :\|:.:.:.:/:! ,': : : : / |: : \
/ / !: : : : :.ト‐|- ヽ \: : : : : l::::__:' :/ i: : : : :{ |: : : :.ヽ
l/ |: : :!: : .l: :| \: : : l´r. Y {: : : : :丶_______.ノ: : : : : :}
l: : :l: : :ト、| 、___,ィ ヽ: :| ゝ ノ '.: : : : : : : : : : : : : : : : : : : : : : /
|: : :ト、: |: :ヽ ___,彡 ´ ̄´ ヽl-‐' \: : : : : : : : : : : : : : : : : : イ
!: :从ヽ!ヽ.ハ=≠' , ///// ///u /  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
V ヽ| }/// r‐'⌒ヽ イ〉、
ヽ、______ー‐‐' ィ´ /:/:7rt‐---、 こ、これは
>>956 乙じゃなくて
ィ幵ノ ./:/:./:.! !: : : : :!`ヽ ポニーテールなんだから
r‐'T¨「 |: | !:.∨:/:./: :| |: : : : .l: : : :\ 変な勘違いしないでよね!
/: : .|: :| !:.!ィ¨¨ヾ、:.:/ !: : : : l: : : : : :.\
959 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 13:19:48 0
で、どこからどこまでのサーバーがヤバいんだよ。 s87が大丈夫なら問題ないぞ
鯖管早くなんとかしてくれよ
メンテ後ワードプレスでPOSTできない デニってもできん
962 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 13:39:54 0
うほおおおお
963 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 13:41:10 0
無料の募集なんて辞めればいいのに馬鹿だな運営は
ここは鯖落ち状態がデフォなの?w
965 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 13:45:58 0
ひっでwwwwwwwwwwww
>>964 失礼なことを言うな!
「デフォ」という用語では,いかにも利用者が設定を変更すれば変えられるみたいではないか!
>965 週末とはいえこれはひどいな
969 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 14:28:40 0
IPアドレス 61.238.148.112
リモートホスト 061238148112.ctinets.com
Registrant:
CTI
14-16/F, Trans Asia Centre, 18 Kin Hong
NT
NO CITY, NO STATE 99999
HK
Domain Name: CTINETS.COM
------------------------------------------------------------------------
Promote your business to millions of viewers for only $1 a month
Learn how you can get an Enhanced Business Listing here for your domain name.
Learn more at
http://www.NetworkSolutions.com/ ------------------------------------------------------------------------
Administrative Contact, Technical Contact:
Hong Kong Broadband Network
[email protected] 16/F Trans Asia Ctr
18 Kin Hong St Hong, Kwai Chung
HK
852 2199 8833 fax: 852 2199 8877
Record expires on 31-May-2012.
Record created on 01-Jun-1998.
Database last updated on 15-Jun-2008 01:21:57 EDT.
Domain servers in listed order:
NS1O.CTIHK.COM 203.80.96.8
NS2O.CTIHK.COM 203.186.94.21
中国人は世界の寄生虫民族
> 14-16/F, Trans Asia Centre, 18 Kin Hong トランスアジアセンター14〜16階、18禁本…?
18禁本(笑)
972 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 15:12:10 0
>>876 遅レスだけど
XREA利用中の某MMOのWikiの中の人として一言
今回のことは笑い事ではないよ
無料鯖でPukiwiki動く鯖少ないんだから、今後管理人に何かあっても
無料鯖までだめとなると金銭的な理由で管理できなくなった後の引継ぎ
の敷居が高くなる。
実際私は今後の管理引継ぎを諦めたよ
職wikiとかMMOとか、要らんこと主張しに来る人は何なの?
職wikiって何? MMOは検索して分かったんだけど。
まぁいいじゃん進展なくて飽きてきたところだし。 roですね、わかります。 引き継ぎは身内で抱え込もうとせず募集かけるのもいいよ。
mediawikiが動かない鯖はよく聞くが、pukiwiki動かん鯖は気かないな。phpインストールされてれば動くはずだし。
XREAの広告にAdobe Flash Playerの脆弱性をついたスクリプトが混入
http://namidame.2ch.net/test/read.cgi/news/1213502968/ ┌───────────────────────────────────
│39 □ ヤジロベー(福岡県) □ □ 2008/06/15(日) 15:28:35.06 ID:r1OSbV6j0 □
└───────────────────────────────────
まとめ
xreaのHP無料レンタル鯖には広告表示義務があり、
その広告はHP閲覧の都度5つの鯖からランダムで選ばれ表示される
今回そのうちひとつがハッキングされ、↑でそれが選ばれると
Flashplayer未更新だと問答無用でウィルスがダウンロードされる
しかもxreaは無料鯖でも独自ドメイン可なので
アドレスで判断してxreaだけ避けて通るというのも非常に困難な上
知らないうちに踏んでしまっている可能性も高い
最初に公式BBSに報告があったのは8日、
以降現在までxrea側からは対策どころかアナウンスすらなし
>>972 >>無料鯖でPukiwiki動く鯖少ない
そうなの?
無料のやつを全部追い出せば解決
>>972 PukiWikiを導入しているレンタルwikiを使うというのは?
(レンタルwikiだとプラグインとかを自由に導入できんが)
>>978 無料鯖の大半がPerlしか対応してないからじゃない?
Perlで動くWikiも一応あるが
料金倍でも良いからちゃんとしたメンテして欲しいわ
俺も料金倍でもいい。 無料だから
無料は追い出されるだろw
986 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 15:43:37 0
料金倍にして無料だけ別に隔離ってのが一番なんだけどな
課金してる人が貰える無料スペースにも愛を下さい><
988 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 15:44:31 0
課金ユーザー激増の真っ直中でさらに料金値上げ容認の大合唱。 xrea運営超歓喜www
土日は管理も休みか
鯖が安定するなら値上げはどうってことない
coreserverの二の舞になるだけだろ 安定せず値上げだけ 管理能力が上がるわけでもなく
993 :
名無しさん@お腹いっぱい。 :2008/06/15(日) 15:50:35 0
同じ価格帯なのにどうしてsakuraの安定性が無いんだろう
埋めるか
995
996
997
998
999
1000
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。