【Geno再来?】某有名レンタルサーバがやられた【新手法】
1 :
マンサク(catv?):
xrea.com part146
http://pc11.2ch.net/test/read.cgi/hosting/1246931972/41-42 42 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 18:33:30 0
563 名前:Name_Not_Found[sage] 投稿日:2009/07/08(水) 18:31:04 ID:???
改ざん?されたらしいほうのところを調査 gifトロイやらなんやら一杯はいってるね。自己解凍cabが偽装されてたりするし
でも大体は最新にアップデートしてればおkかな でも、一番の問題は、これかな
http://1856317799:888/dir2/go.jpg 一見拡張子からjpgファイルっぽいけど、
> more go.jpg
var appllaa='0';
var nndx='%'+'u9'+'0'+'9'+'0'+'%u'+'9'+'0'+'9'+appllaa;
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e
以下長いので略 まぁ、スクリプトが偽装してある、これがまだ回避策のみでパッチがででてない虚弱性 972890 なのかな
ttp://www.microsoft.com/japan/technet/security/advisory/972890.mspx http://pc11.2ch.net/test/read.cgi/hosting/1246931972/54 54 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 19:35:03 0
参照元
【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/ 574 名前:Name_Not_Found[sage] 投稿日:2009/07/08(水) 19:32:26 ID:???
いろいろしらべていくと、あぁなるほど で、
<script src='go.jpg'></script>
で、問題のjpgをスクリプトとして読み込ませてますね 他の関係なさそうなファイル見てみると
if(user.indexOf("msie 6")==-1&user.indexOf("msie 7")==-1)
ともあるので、 これも同じように、IE6とIE7の狙い撃ちかな? わざわざ律儀ですね
でも、whoisとかで調べていくと、hellh.netということで、おそらく、本体は、各種ネトゲのアカウントハックってところでしょうかね
ネトゲやってないと問題ない、なんて思っても、この手のウイルスはレジストラに残ると
ネットワーク重くしたりといろいろうざいんで、対応したほうがいいですね とりあえず俺は大体わかったんで、ここまで
2 :
◆SsSSsSsSSs :2009/07/08(水) 22:52:35.71 ID:bWIF6rFY
3 :
イヌガラシ(宮城県):2009/07/08(水) 22:53:04.76 ID:FAdnn4Pv
またエクレアか
4 :
ヤグルマギク(滋賀県):2009/07/08(水) 22:53:29.68 ID:basrJNVK
5 :
チューリップ(大阪府):2009/07/08(水) 22:53:32.57 ID:+nmE7fNJ
きょ…脆弱性
まんこおおおお
7 :
アカシデ(関西地方):2009/07/08(水) 22:54:15.45 ID:/ZcIxxR/
き…脆弱性
8 :
ナズナ(東京都):2009/07/08(水) 22:54:17.46 ID:fDTf0of6
ニコニコ株主久しぶりに見た気がする
9 :
オオイヌノフグリ(catv?):2009/07/08(水) 22:54:18.38 ID:MCTfAkr5
ノートン先生大激怒
10 :
コメツブツメクサ(アラバマ州):2009/07/08(水) 22:54:24.92 ID:w7wrRzeb
HACKED by jggm
11 :
オンシジューム(西日本):2009/07/08(水) 22:55:06.78 ID:Txr7GUrp
genoタイプではないようだね
12 :
クレマチス・モンタナ(埼玉県):2009/07/08(水) 22:55:13.87 ID:rcMUjdWU
これもしかしてIEじゃなければ問題無し? Opera最強伝説
13 :
シロウマアサツキ(愛知県):2009/07/08(水) 22:55:26.31 ID:6xcUicet
このスレ開いたらログがaviraに検出された
14 :
ポレオニウム・ボレアレ(愛知県):2009/07/08(水) 22:55:53.38 ID:r9Mdg6gb
15 :
ウシハコベ(鹿児島県):2009/07/08(水) 22:56:09.12 ID:/6oMPJkC
xareaかよ なつかしいな
16 :
ニリンソウ(catv?):2009/07/08(水) 22:56:54.63 ID:PIdyNdha
現状まとめ
623 名前:Name_Not_Found[sage] 投稿日:2009/07/08(水) 22:27:22 ID:???
調べたけど、これ、トロイ→ウイルス本体の二段構成だね
まず、こちらのPCに穴がないか、さまざまなトロイがいくつも試される
そのなかにはGENOと同じ虚弱性をついたものも混ざっている。でも、これはGENOのときにすでに対策されている
だから、最低限、Adobeの更新は必要。
でも今回は、最近みつかった虚弱性をついているトロイがある。これはちゃんと対応していないと処理しきれない
そういうことだろう
go.jpgそのものがウイルス実行ファイルってわけではないが、穴を探しにくるのは気持ちのいいものではないな
どうせVISTA使ってる奴だけには効かないんだろ?
18 :
ヤマブキ(関西・北陸):2009/07/08(水) 23:00:22.46 ID:NMZOCtoZ
火狐最強伝説
そもそもネトゲやっていないしウイルス以外の要素でも重くなっていくので問題ない
20 :
ポレオニウム・ボレアレ(愛知県):2009/07/08(水) 23:01:36.13 ID:r9Mdg6gb
未だにIE6-7かつネトゲやってる馬鹿なんてニュー速には居ないよな?
firefox使っていれば安心かな?
hellowork.go.jpg
23 :
◆SsSSsSsSSs :2009/07/08(水) 23:02:42.94 ID:bWIF6rFY
24 :
キブシ(アラバマ州):2009/07/08(水) 23:02:47.65 ID:WeGf0fiJ BE:1821383069-DIA(112000)
もっとど派手なやつ出てこないかね
このスレ開いた瞬間にAviraが反応した
元スレはIE使いが多かったから危機感が高く見られてるだけ
スナスケやプニルもエンジンはIE7だか6だったはず
トロイとウィルスの二段構成とか考えたら火狐も最新版にすべきかと
窓2000とXP狙いとはいえ他のOSが安全とはまだ誰も確認できてない
今できることは、アクアナ使いはさっさとサイトから解析外しておくことと
アクアナ公式に飛ばないことだ
>>23 直って無い。不正コード健在。あと現在、トップページにも同じコードがある。
※いずれも219.101.229.188のサーバにのみ存在し、189にはない。
29 :
ウシハコベ(鹿児島県):2009/07/08(水) 23:10:01.02 ID:/6oMPJkC
>>2 それにひっかかったってだけで 同人板の女どもがうるさかったのを思い出した
ソース見りゃわかるだろ
さくらたんがやられたのかと思ってびっくりした
31 :
ジョウシュウアズマギク(東京都):2009/07/08(水) 23:13:03.82 ID:9R/9zbQa BE:904743397-PLT(12300)
s何番サーバ?
32 :
ジンチョウゲ(catv?):2009/07/08(水) 23:14:04.07 ID:233QKrwF
33 :
ジョウシュウアズマギク(東京都):2009/07/08(水) 23:18:37.53 ID:9R/9zbQa BE:229777128-PLT(12300)
xreaのアク解のログインページか。
いくつか設置してるけど放置しっぱなしで管理画面にログインしないからいいや。
>>33 バナー踏んだ人が感染する可能性があるよ
放置は自己責任だが、お宅が感染源と呼ばれないようにな
35 :
ノミノフスマ(愛知県):2009/07/08(水) 23:30:19.37 ID:nQhfEh52
Vistaの俺はまたもや大勝利でいいわけ?
36 :
サンシュ(catv?):2009/07/08(水) 23:32:04.66 ID:GjGZC5LG
Ping打ったら応答返ってきたぞ
C:\>ping 1856317799
110.165.41.103 に ping を送信しています 32 バイトのデータ:
110.165.41.103 からの応答: バイト数 =32 時間 =192ms TTL=114
110.165.41.103 からの応答: バイト数 =32 時間 =144ms TTL=114
110.165.41.103 からの応答: バイト数 =32 時間 =140ms TTL=114
110.165.41.103 からの応答: バイト数 =32 時間 =150ms TTL=114
110.165.41.103 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 140ms、最大 = 192ms、平均 = 156ms
仕組みは2進数にして区切るとこうで
1101110|10100101|00101001|01100111
10進数に戻すと110.165.41.103ってことか
js.src = ”http:¥/¥/0x6EA52967:888/dir/show.php”; 部分も同様に16進変換っぽい
37 :
ハンショウヅル(神奈川県):2009/07/08(水) 23:32:16.90 ID:nvnXgNte
genoも引っかからなかったしこれも大丈夫だろ俺は
39 :
ジョウシュウアズマギク(東京都):2009/07/08(水) 23:33:54.42 ID:ZUjBBNYB
IEって8でも拡張子による判断がデフォじゃ無かったな
40 :
ねこやなぎ(長屋):2009/07/08(水) 23:33:59.13 ID:D+UTJyrg
先日から他のサービスやられて、今度はアクセス解析のほうもやられたか
で、相変わらず会社側は感染事実すら公表してない。
他のスレの書き込み見てもわかるが、もう知らないでは済まない問題なのに。
167 名前:名無しさん@お腹いっぱい。 投稿日:2009/07/07(火) 10:18:30 0
今回、ログイン部分が改ざんされ個人情報が脅かされたわけだろ?
5000件以上の個人情報をデータベース等として所持し事業に用いている事業者は
必然的に個人情報取扱事業者に該当するんだよ。
該当する場合は個人情報保護法に乗っ取った運営をしなければならない。
今回、こういう被害受けたからには、デジロック側が個人情報保護法に基づき総務省に報告義務がある。
まさか登録者5000件未満というわけでも無さそうだし。
それ以外にも、以前にも似たようなことがあったということから、
電気通信事業者としても注意義務違反にあたるかもしれない。
ここらへんは詳細わからないことには判断できないが。
とにかく、このまま放置で済む問題ではないのは確実だ。
41 :
ウンナンオウバイ(岐阜県):2009/07/08(水) 23:34:51.51 ID:KAuN5waX
VISTAはまた仲間はずれか
42 :
ウンナンオウバイ(岐阜県):2009/07/08(水) 23:35:52.33 ID:KAuN5waX
岐阜じゃ無いのに岐阜になってるw
43 :
アマリリス(アラバマ州):2009/07/08(水) 23:37:46.13 ID:bIFwDloz
45 :
クレマチス・モンタナ(東京都):2009/07/09(木) 00:13:35.79 ID:QL3DS6E2
642 :Name_Not_Found:2009/07/08(水) 23:53:21 ID:???
ノートン先生、>620のトロイだけじゃなくて
Downloader.Fostremとかいうのも遮断してるぞコレ
反応するファイルはgo{1}.jpgで同じだけど。
>623の言うとおり、いろんなウィルスをけしかけて来るみたいだ
VALUE DOMAINやエクセリア自体にアクセスしないに限るな。
自分も有料版のバナー無しだけどスクリプト動くんじゃ同じだから消した。
今までのログ勿体ないけど感染するよりマシだから
しばらくの間ログインも削除もしないで、どこか別のアク解でも借りるよ。
いざ外してみると後味の悪い安心感が何ともははやw
以前も広告のバーナーに何か仕込まれなかったか?
47 :
クレマチス・モンタナ(東京都):2009/07/09(木) 00:17:17.48 ID:QL3DS6E2
規模的にもGENO再来な悪寒
48 :
ハンショウヅル(関東):2009/07/09(木) 01:12:14.04 ID:d4P40oQ2
49 :
スノーフレーク(大阪府):2009/07/09(木) 02:26:30.30 ID:uVr1I8M7
>>38 > VISTAでもセキュリティホール放置とかアップデートしてないのはまずい
当たり前だろw
どのセキュリティソフト使ってるか以前の問題だわ
50 :
スィートアリッサム(アラバマ州):2009/07/09(木) 03:30:39.21 ID:pdnnVYXh
xrea使ってるけどここ数年何度も改竄系のトラブルがあるな
金払って使ってるけどだんだんバカらしくなってきたしそろそろ引っ越すか
虚弱性ww
病弱なのかな
52 :
番組の途中ですが名無しです:2009/07/09(木) 03:40:58.45 ID:3idCKVwy
き・・・脆弱性
53 :
デージー(東京都):2009/07/09(木) 03:43:02.79 ID:9KhFleaF
Xreaは無料垢のHDD容量をいい加減増やせ
xreaは止まってるメールサーバを何とかしろ。
ぶっ壊れたまま放置→ある日突然溜まってたメールが一気に押し寄せる
この間もこの現象喰らって酷い目に遭ったぞ…
…とりあえずマカーでSafariだから今回の件はあんまし関係無さそうだけど…
56 :
マンサク(東京都):
XPで火狐の人も感染するってアクアナスレに出てビビった
こりゃ鯖ごと撤退しかないな