質問・雑談スレ290@運用情報板
(1)感染してるサイトを閲覧する
(2)自分のパソコンが感染する
(3)その状態でFTPで自分のサイトを更新する
(4)その時にFTPのIDとパスを抜かれる
(5)ウイルスが勝手にHTML、phpファイル等に
不正なジャバスクリプトを埋め込む
(6)サイトが感染状態になる。
(7)そのサイトを見た人が感染する
このようなアニサキス状態になっております
(2)自分のパソコンが感染する
(3)その状態でFTPで自分のサイトを更新する
(4)その時にFTPのIDとパスを抜かれる
(5)ウイルスが勝手にHTML、phpファイル等に
不正なジャバスクリプトを埋め込む
(6)サイトが感染状態になる。
(7)そのサイトを見た人が感染する
このようなアニサキス状態になっております
|
|
|
418 :働け働けニトニト●ちゃんねる:2009/05/14(木) 20:33:01 ID:smRv385ZP
アニキサスに見えた
419 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 20:44:24 ID:bxw/Zy770
アニキサスは危険
あなたの体にアニキが感染します
あなたの体にアニキが感染します
420 :あひるちゃん ◆z0WvbsWRgg :2009/05/14(木) 20:59:40 ID:wkUd4Ate0
烏賊の塩辛にアニーがうごめいてた恐怖
421 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 20:59:53 ID:M3Wj7Hta0 BE:33063124-PLT(80113)
422 :root▲▲ ★:2009/05/14(木) 21:19:56 ID:???0 BE:2553874-DIA(102226)
>>417
成程。
マルウェアを仕込まれるわけですから、
仮にうp手段が ftp じゃなくて ssh とか使っていても、
少なくとも*原理的には*だめっぽいですね。
マルウェアが key logger だったりするのかもしれないし。
で、、、。
もし仮に今回の maido3.com もこのパターンでやられたんであれば、
中身をうpしている人*全員*のPCをウイルス駆除するのは当然として、
maido3.com の中の人がいじった可能性のあるサイトの、
あらゆるパスワードを変更しないと危険なような。
成程。
マルウェアを仕込まれるわけですから、
仮にうp手段が ftp じゃなくて ssh とか使っていても、
少なくとも*原理的には*だめっぽいですね。
マルウェアが key logger だったりするのかもしれないし。
で、、、。
もし仮に今回の maido3.com もこのパターンでやられたんであれば、
中身をうpしている人*全員*のPCをウイルス駆除するのは当然として、
maido3.com の中の人がいじった可能性のあるサイトの、
あらゆるパスワードを変更しないと危険なような。
423 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 21:24:33 ID:M3Wj7Hta0 BE:57859272-PLT(80113)
他のはしらんけどmaidoの方はVISTA避けてあるみたいですねぇ
おきつねさんVISTAだっけ?しかしどうやって仕込むんだろうなぁー
おきつねさんVISTAだっけ?しかしどうやって仕込むんだろうなぁー
424 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 21:26:23 ID:M3Wj7Hta0 BE:260367179-PLT(80113)
ああー
>(5)ウイルスが勝手にHTML、phpファイル等に不正なジャバスクリプトを埋め込む
これかー、なるほどなー考えてるなぁ
>(5)ウイルスが勝手にHTML、phpファイル等に不正なジャバスクリプトを埋め込む
これかー、なるほどなー考えてるなぁ
425 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 21:33:16 ID:xyLSFQR40
ジャバスクリプト切って見てたらセーフ?
426 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 21:34:06 ID:cpS5OZck0
こういうクラッキングって被害サイトからセキュリティ企業に報告とかいくの?
情報共有みたいなのするよね?
情報共有みたいなのするよね?
427 :root▲▲ ★:2009/05/14(木) 21:35:52 ID:???0 BE:5837388-DIA(102226)
>>423-424
>>417 のとおりで、概ねこんなかんじのシナリオかと。
1) どっかの感染している index.html やら index.php やらを持ったサイトを、
自分のサイトのコンテンツを FTP で更新する担当の人がアクセスする
2) 担当の人の PC にトロイが侵入する
3) 2) で侵入したトロイは、担当の人が FTP で
自分のサイトにアクセスするのを待ち続ける
4) 担当の人が感染した PC から FTP で自分のサイトを更新すると、
トロイがその様子をチェックしていて、そのサイトにアクセスした
ログイン名とパスワードを盗み取る
5) トロイはしばらくすると自動的に、4) で盗んだパスワードを使って
そのサイトにアクセスし、index.html やら index.php やらをこっそり書き換えて、
そのサイトに感染コードを仕込む
5') もしうまく作ってあるトロイなら、ローカルの PC にある
自分のサイトに上げるためのファイルのローカルコピーにも、
同じ感染コードを仕込むだろう。
6) 1) に戻る
>>417 のとおりで、概ねこんなかんじのシナリオかと。
1) どっかの感染している index.html やら index.php やらを持ったサイトを、
自分のサイトのコンテンツを FTP で更新する担当の人がアクセスする
2) 担当の人の PC にトロイが侵入する
3) 2) で侵入したトロイは、担当の人が FTP で
自分のサイトにアクセスするのを待ち続ける
4) 担当の人が感染した PC から FTP で自分のサイトを更新すると、
トロイがその様子をチェックしていて、そのサイトにアクセスした
ログイン名とパスワードを盗み取る
5) トロイはしばらくすると自動的に、4) で盗んだパスワードを使って
そのサイトにアクセスし、index.html やら index.php やらをこっそり書き換えて、
そのサイトに感染コードを仕込む
5') もしうまく作ってあるトロイなら、ローカルの PC にある
自分のサイトに上げるためのファイルのローカルコピーにも、
同じ感染コードを仕込むだろう。
6) 1) に戻る
428 :root▲▲ ★:2009/05/14(木) 21:36:59 ID:???0 BE:1824454-DIA(102226)
で、これだとつまり、
>>404 が正解、ってことなのかなと。
>>404 が正解、ってことなのかなと。
429 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 21:39:13 ID:gysa5PqM0
脅威レポート
見つかった脅威の合計: 123
ウイルス (説明の表示)
見つかった脅威: 123
サンプル:
脅威名: VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/749-n
脅威名: Bloodhound.Exploit.6
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-14n
脅威名: VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-768n
脅威名: VBS.LoveLetter.Var
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/16-n
直接リンク先: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-749n
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/750-n
直接リンク先: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/13-n
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/3-n
脅威名: 直接リンク先は VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/769-n
脅威名: 直接リンク先は VBS.LoveLetter.Var
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-15n
脅威名: 直接リンク先は VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-748n
脅威名: 直接リンク先は Bloodhound.Exploit.6
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/15-n
見つかった脅威の合計: 123
ウイルス (説明の表示)
見つかった脅威: 123
サンプル:
脅威名: VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/749-n
脅威名: Bloodhound.Exploit.6
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-14n
脅威名: VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-768n
脅威名: VBS.LoveLetter.Var
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/16-n
直接リンク先: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-749n
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/750-n
直接リンク先: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/13-n
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/3-n
脅威名: 直接リンク先は VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/769-n
脅威名: 直接リンク先は VBS.LoveLetter.Var
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-15n
脅威名: 直接リンク先は VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-748n
脅威名: 直接リンク先は Bloodhound.Exploit.6
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/15-n
430 :動け動けウゴウゴ2ちゃんねる:2009/05/14(木) 21:39:47 ID:M3Wj7Hta0 BE:123984465-PLT(80113)