忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

「MS08-067」攻撃を直感的に、トレンドマイクロが攻撃ツール確認
先月の月例アップデートの後の緊急パッチを適用してないと、あぶないです。
PR
偽Flash Playerが独Googleでトップ表示、広告枠の悪用で(INTERNET Watch)
Googleの広告に偽サイトが出稿されてたってことなんでしょうかね。ドイツでの事例ですがご注意ください。FlashPlayerのダウンロードはAdobe公式サイトから。

……て公式サイトもこのあいだやられてたんですけどね。何を信じればいいのやら。
【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~ | LAC
解説記事→新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起:ITpro

Cookie(ユーザー情報を記録した小さなテキストファイル)によるデータの受け渡しを装って、Cookieのパラメーターとして不正なSQL文を埋め込んで実行>データベース内のデータに<script>タグを付与する、という手法らしい。

攻撃対象はIIS/ASP/ASP.NET(マイクロソフト製のWEBサーバー)
ただし、Cookieからパラメーターを受け取るフレームワークはphp(サーバープラットフォームを問わず広く使われている・Wikiやブログ管理システムにも使われている)にも実装されており、そちらが影響を受けるかどうかは現在確認中なので、「M$のサーバーじゃないから安心」とは言い切れない。

問題なのは、
* WEBサーバーのデフォルトの設定ではCookieの内容がログに記録されないので攻撃されていることが分かりにくい
* ISPで用意している不正侵入検知システムやWAF(Webアプリケーションファイヤーウォール)では検知できない
という2点。

今のところ攻撃元になっているIPアドレスは「61.152.246.157」,「211.144.133.161」「211.154.163.43」(全部中国)
アクセスするスクリプトのURLは「drmyyn●cn」
利用される脆弱性は
* Microsoft Data Access Componentの脆弱性(MS06-014)
* Microsoft Access Snapshot Viewerの脆弱性(MS08-041)
* Adobe FlashPlayerの脆弱性
* NCTsoft NCTAudioFile2 ActiveXコンポーネントの脆弱性
* REALNETWORKS RealPlayer ActiveX コンポーネントの脆弱性

サーバー管理者の対応:
WebサイトのログにCookie内容を記録するように設定変更など。
(詳細は元記事の末尾を参照)

素人サイト管理者の対応:
自分のサイト・テンプレのソースに"drmyyn"が埋め込まれていないか確認。

サイト閲覧者の対応:
上記脆弱性に対する対応(不要なコンポーネント・Viewerの削除、必要なプラグインのアップデート)
●● RMT業者の垢ハックが多発している件40 ●●より:

以前改ざんが発覚した戦士スキーのブログ様からの情報。いかにも怪しいUAを使用して「ログインされていた」らしい。別の方からの報告で、FC2の編集画面からCookieを利用して不正にログインしようとしている形跡もあったようです。

サイト管理者はアクセスログにあやしいUAがあったら注意。ターゲットにされている可能性があります。

118 名前:既にその名前は使われています[] 投稿日:2008/09/28(日) 23:59:47 ID:******
戦士スキーさんとこ 8/30の追記で FC2運営からのメール載ってた。
2008-08-31 08:04:47 OFSfb-27p3-130.ppp11.odn.ad.jp (210.197.214.130)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7;
TencentTraveler 4.0)でログインされてたらしい。

不正にログインデキルノカヨ・・・

120 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 00:14:55 ******
うちにもこんなの来てたなぁ。

2008/9/25 (木) 02:07:41
ホスト名: OFSfb-10p2-211.ppp11.odn.ad.jp
リンク元: hxxp://blogほげほげ.fc2.com/control.php?(略)
User-Agent: Mozilla/4.0 (略)
環境: WinXP / IE 6.0 / 1280×1024 / 32 bit / 中国語/中国

2008/9/25 (木) 01:41:05
ホスト名: OFSfb-10p2-211.ppp11.odn.ad.jp
リンク元: hxxp://blogほげほげ.fc2.com/control.php?(略)
User-Agent: Mozilla/4.0 (略)
環境: WinXP / IE 6.0 / 1280×1024 / 32 bit / 中国語/中国

control.phpはFC2ブログの「管理者ページ」を押すと飛ぶ編集画面で、
FC2IDのクッキーを食べていてIPが一致すればそのまま編集可能。
どうやら編集しようとしたみたい。
改ざんされた人はFC2IDのパス抜かれたんじゃないかな。

age

135 名前:既にその名前は使われています[] 投稿日:2008/09/29(月) 07:07:08 ID:*****
>>120
User-Agent書いてくれ。

どうやら、国内の留学生とかがQQ(中国のメッセ)経由で踏み台になっている模様。
QQdownloadとかUAにあれば間違いなくこれ。

136 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 07:30:23 ID:*****
>>135
QQは入ってないけど中国のブラウザの
URIがUAにおもいっきり入ってるから削った。
そもそも言語がzhなんだからお察し。

137 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 07:35:58 ID:*******
>>136
そういうことか。
となるとQQとは別件で業者等が直アクセスしてるのかね。

QQの件もあれだが、odnから何でこんなに多いんだろうか。
確か2chに罠リンク張ってるのもodnだった気が。

138 名前:既にその名前は使われています[sage] 投稿日:2008/09/29(月) 07:44:12 ID:**********
中国のブラウザじゃないや、組み込みだった。
bsalsa.com ←これ
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Embedded Web Browser from: http://bsalsa.com/; .NET CLR 2.0.50727)
Delphiも彼らの好む言語だし、自前のツール(IEコンポブラウザ)で
ログイン試行してるんじゃないかな。


忍者ブログ [PR]


Designed by A.com