7/27:Wikiが狙われている。

●● RMT業者の垢ハックが多発している件33 ●●より。
Wiki改竄による罠サイトへの誘導が再発しています。怪しいリンク先は踏まないように。

管理人が不在になって放置されているようなWikiは利用されやすいです。検索でかかったページを利用する時は特にきをつけてください。

458 ：既にその名前は使われています：2008/07/26(土) 17:59:40 ID:*******
17時0分頃、ライブドアWikiで福建中華の爆撃が確認された。
また新ID＆269gに新たなる罠ブログ作成だ。

記事は同名のFC2ブログからパクって、本分最初の行の末尾にgawezuki。

その罠ブログ記事のタイムスタンプが16:33、攻撃が確認されているのは17時0分ごろ
つまりパクリブログ完成してからすぐに攻撃に使っているようだね。
crownofda■269g■net/は 13件 見つかりました。

凄いスピード攻撃、恐らく今現在ライブドア改竄担当は一人だけなんだろうが、
改竄要員が増加したらこれは厄介なことになるぞ。

とりあえず両者に連絡済。

気をつけてくれよな！

＠wikiでも改竄確認。踏んでしまった人の報告です。リンク先は上記と同じ。

487 ：既にその名前は使われています：2008/07/26(土) 22:17:12 ID:******
戦場の絆ページ見てたら、ガンダムだけに木馬がPCに進入してきますた(つдT)
急いでPS２からFFインしてパスワード変えて、PCはバスターで処理した(つもり)けど、PCから新パスワードでインしたら危ないかしら？

488 ：既にその名前は使われています：2008/07/26(土) 22:20:44 ID:******
>>487
とりあえずその侵入してきた木馬のタイプがわからんことにはどうにも

さらに言えば木馬の侵入ルート（脆弱性その他）をしっかり閉じないとまたやられ申す

489 ：既にその名前は使われています：2008/07/26(土) 22:27:27 ID:******
>>487
ひとまず攻撃を受けたサイトのアドレスを（ドット（．）は■に置き換えてリンク防止した上で）報告plz
あとバスターさんのレポート残ってたら感染ファイルとウィルスの定義名を

490 ：既にその名前は使われています：2008/07/26(土) 22:28:59 ID:******
>>487
＠Wikiの奴だな、ちゃんと戦場の絆＠Wikiと書かないと何処なんだかさっぱりだ。
ライブドア同様に中華が罠Wikiを作ったことがあるからな、改竄したくてたまらんのだろう。
＠WikiはWikiwikiに比べると対応が遅いからな。

改竄されてたリンクは458で書いたライブドアWiki爆撃と同じのだな。

福建中華はそれこそ無差別爆撃なんだから仕込み場所は何処でも良いのさ。
ともあれ気をつけてくれよな！

494 ：既にその名前は使われています：2008/07/26(土) 23:04:08 ID:*****
今後気をつけます(T_T)
ウィルス名はSWF_DLOADER.YVNとかいう奴でした。
ご指摘の通り、戦場の絆＠wikiです。支給されたばかりのｼｬｽﾞｺﾞの性能みようとしてやられました。
アドレスは　http://www12■atwiki■jp/senjounokizuna/　から、ｼｬｽﾞｺﾞ選んで飛ばされました。
アドベとXpは最新版に更新しましたー

495 ：既にその名前は使われています：2008/07/26(土) 23:22:27 ID:*******
>>494
＞ウィルス名はSWF_DLOADER.YVNとかいう奴でした。
感染してたファイル名わからんかね
定義名はウィルス対策ソフトによって違うからファイル名＋定義名セットで報告頂けると助かり申す

検出されたものはダウンローダーかな、トロイ本体ををPCにダウンロードする役割をする
（それ自体に対するトレンドマイクロの対応方法案内ページ
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SWF_DLOADER.YVN&VSect=Sn）
覗いた瞬間に駆除されたならダウンローダーの段階で検出→防疫に成功してるとは思うけど、
すでにトロイ本体がPCに侵入している可能性もあるので不安であれば
バスターでドライブのフルスキャン（ウィルス定義が最新版に更新されていることを確認してから）、
>>12>>13あたりを参考にして現在流行ってるタイプの危険ファイルの検索
（>>12の方法で検索するとき「kernaeghdrv.dll」もチェックしておくといいかもしれない、どちらもバスターで検出可能なはずだけど一応）

あとはスレのテンプレに目を通してセキュ関係見直してみてね

おまけ：

492 ：既にその名前は使われています：2008/07/26(土) 22:40:03 ID:********
wikiの改竄って、リンク先が罠ページになってるんじゃなくて
wiki開くだけで脆弱性突かれて感染するケースもあるの？


497 ：既にその名前は使われています：2008/07/27(日) 00:26:39 ID:********
>>492
wikiってさ　wikiwikiっていうのを基にしててクローンがたくさんあるのよ。
wikiっていうシステムにはいろいろ種類があって　傷バンをバンドエイドっていったり　ステプラをホチキスっていうみたいな感じの総称なわけ。
だから一口にwikiは～とはいえない。
けど管理放棄されたりのっとられたり　悪意を持って設置された場合以外
たいていのwikiは管理がちゃんとしてたらそんなにやばいことにはならない。

＠wikiには　JSを有効にするプラグインもあるけど　それは管理権限がないと使えない。
ワープロモードでhtmlが打てるけど今はiframeは使えないはず。
戦場の絆＠wikiは見たところ　管理者不在になってしまっているようだからそれが一番の問題だと思うよ