忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

●● RMT業者の垢ハックが多発している件40 ●●より:

以前改ざんが発覚した戦士スキーのブログ様からの情報。いかにも怪しいUAを使用して「ログインされていた」らしい。別の方からの報告で、FC2の編集画面からCookieを利用して不正にログインしようとしている形跡もあったようです。

サイト管理者はアクセスログにあやしいUAがあったら注意。ターゲットにされている可能性があります。

118 名前:既にその名前は使われています[] 投稿日:2008/09/28(日) 23:59:47 ID:******
戦士スキーさんとこ 8/30の追記で FC2運営からのメール載ってた。
2008-08-31 08:04:47 OFSfb-27p3-130.ppp11.odn.ad.jp (210.197.214.130)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7;
TencentTraveler 4.0)でログインされてたらしい。

不正にログインデキルノカヨ・・・

120 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 00:14:55 ******
うちにもこんなの来てたなぁ。

2008/9/25 (木) 02:07:41
ホスト名: OFSfb-10p2-211.ppp11.odn.ad.jp
リンク元: hxxp://blogほげほげ.fc2.com/control.php?(略)
User-Agent: Mozilla/4.0 (略)
環境: WinXP / IE 6.0 / 1280×1024 / 32 bit / 中国語/中国

2008/9/25 (木) 01:41:05
ホスト名: OFSfb-10p2-211.ppp11.odn.ad.jp
リンク元: hxxp://blogほげほげ.fc2.com/control.php?(略)
User-Agent: Mozilla/4.0 (略)
環境: WinXP / IE 6.0 / 1280×1024 / 32 bit / 中国語/中国

control.phpはFC2ブログの「管理者ページ」を押すと飛ぶ編集画面で、
FC2IDのクッキーを食べていてIPが一致すればそのまま編集可能。
どうやら編集しようとしたみたい。
改ざんされた人はFC2IDのパス抜かれたんじゃないかな。

age

135 名前:既にその名前は使われています[] 投稿日:2008/09/29(月) 07:07:08 ID:*****
>>120
User-Agent書いてくれ。

どうやら、国内の留学生とかがQQ(中国のメッセ)経由で踏み台になっている模様。
QQdownloadとかUAにあれば間違いなくこれ。

136 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 07:30:23 ID:*****
>>135
QQは入ってないけど中国のブラウザの
URIがUAにおもいっきり入ってるから削った。
そもそも言語がzhなんだからお察し。

137 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 07:35:58 ID:*******
>>136
そういうことか。
となるとQQとは別件で業者等が直アクセスしてるのかね。

QQの件もあれだが、odnから何でこんなに多いんだろうか。
確か2chに罠リンク張ってるのもodnだった気が。

138 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 07:44:12 ID:**********
中国のブラウザじゃないや、組み込みだった。
bsalsa.com ←これ
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727)
Delphiも彼らの好む言語だし、自前のツール(IEコンポブラウザ)で
ログイン試行してるんじゃないかな。


PR
忍者ブログ [PR]


Designed by A.com