9/29:FC2で再改ざん発生

●● RMT業者の垢ハックが多発している件40 ●●より。
FF11 ペット狩り黒猫奮闘記（第七猫さん）がやられました（9/28 18:30頃報告）。
現在、プライベートモードに移行中。

仕込まれたスクリプトは　→1039045726:65535/jp.js
落ちてくるファイルの検知状況　→Virustotal
今のところカスペ○　バスター×　ノートン×。

9/17:FF11ヴァナディール菜園の偽サイト

●● RMT業者の垢ハックが多発している件39 ●●より：
栽培関連情報サイト「FF11ヴァナ・ディール菜園』」にURLが酷似した偽サイトが作られています。
正しいURL　：http://www●geocities●jp/ff11seed/index.html
偽サイトURL：http://www●geocities●jp/ff11seeds/index.html　（末尾にsがついている）

ご注意ください。

509 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 03:50:14 ID:*********
さっき、他スレで「FF11ヴァナ・ディール菜園」を踏んだらavastがマルウェアを見つけた
敢えてURLを張らないけど気を付けてね
只今カスペオンラインスキャン中

510 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:03:53 ID:*********
>>509
カスペじゃ異常検知しないね。
誤検知かもしれないし、Avast!も最近飛躍的に検知率がよくなってるから
ひょっとしてAvast!の方が正いのかもしれない。

ところでAvast!が見つけたマルウェアの名前はなんですか？

511 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:04:25 ID:*********
>>509
見てきたがそれらしいスクリプトはないぞ？
見つけたマルウェアは何？

512 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:10:15 ID:*********
こんなの
"JS:Agent-AU [Expl]"
"＊＊＊＊＊＊＊＊＊＊（URL削除）"

ちなみにここ
グラがかっこいいと思う装備
http://changi●2ch●net/test/read.cgi/ogame/1221573964/91

91 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 03:33:14 ID:1ooFqkW2
栽培サイト:FF11ヴァナ・ディール菜園　
http://www●geocities●jp/ff11seeds/index.html



513 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:10:36 ID:*********
危ないスクリプト、見つかりませんね＜FF11ヴァナ・ディール菜園
スクリプトはいくつか入ってますけど、問題ないスクリプトしか
見当たりません

514 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:13:22 ID:*********
もしかして俺の勘違い？
俺の恥で済むからかまわないけど

518 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:17:25 ID:*********
>>512のリンク、先生が攻撃拒否しました

91 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 03:33:14 ID:1ooFqkW2
栽培サイト:FF11ヴァナ・ディール菜園　
ttp://www●geocities.jp/ff11seeds/index●html

このURLでなにか引っかかってます


521 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:26:27 ID:*********
菜園踏んだらavastが２種類叫んだよ

VBS:Malware-gen
ウイルス/ワーム
080915-0, 2008/09/15

JS:Agent-AU [Expl]
Exploit
080915-0, 2008/09/15

523 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:31:59 ID:*********
ttp://www●geocities.jp/ff11seed/　←　ヤフー検索で出たURL(とくに問題なし)

ttp://www●geocities.jp/ff11seeds/index●html　←　>>512の出したURL(先生が侵入感知)

これって、なんだろ・・・

真似た罠サイト？とかだったりする？


525 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:36:35 ID:*********
re11.htmのスクリプトちゃんと読んでないけど、 fuckyoukaspersky　とか書いてるから超怪しい。

後、このページに含まれてる

clsid:2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93

これはRealPlayerで、脆弱性がある。
リアルプレイヤーを入れてなければ害はないはずだけど。

526 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:40:19 ID:*********
>>521
踏んだのは seeeds/indexのほうですよね？
seedのほうはスクリプト数4個で、seedsのほうは20個もある


529 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:44:38 ID:*********
菜園はttp://www●geocities●jp/ff11seed/index●htmlが正しいはず

つまりseedsは偽装HPてことかね

532 名前：既にその名前は使われています[] 投稿日：2008/09/17(水) 04:54:13 ID:*********
今seed(本物）とseeds(偽者）のindex.htmを比較してみたけど、完全に偽サイトだね。

リンク先とかは偽者から本物のデータを参照するようにしてるから、
本家が更新されたら偽者も一緒に更新されるっていう・・・。

9/5:XREA改ざんサイト追加情報

●● RMT業者の垢ハックが多発している件38 ●●より4件追加。

851 名前：既にその名前は使われています[sage] 投稿日：2008/09/05(金) 18:03:43 ID:*********
>>253
「FF11旅サイト またたび」
fukufukusei■s11■xrea■com
注入 1039045744:88/jp.js

「FF11ネット部隊」
ff11■s9■xrea■com
注入 1039045744:88/jp.js

「GAME攻略書庫.com」
versus■s52■xrea■com
注入 1039045744:88/jp.js

855 名前：既にその名前は使われています[sage] 投稿日：2008/09/05(金) 18:31:37 ID:U*********
追加
「ゲーム攻略専門検索エンジン・ゲームナビ」
game2■s7■xrea■com
注入 1039045744:88/jp.js

857 名前：既にその名前は使われています[] 投稿日：2008/09/05(金) 18:46:27 ID:**********

>>855
＞Yesterday
＞10664

毎日１万アクセスで、現在放置中。
ＦＦ１１やってなくて実害ないかもしれないけど、
相当数のウイルス感染だ・・


858 名前：既にその名前は使われています[] 投稿日：2008/09/05(金) 18:50:21 ID:********
>>855
>誠に勝手ながら7月24日を持ちましてゲームナビの更新を終了させて頂きます。
こりゃ危険だな・・・。ずっと放置の予感。
こんなんでも毎日１万アクセスもあんのかよ。
xreaの運営に言ったら対処してもらえるのかね？

859 名前：既にその名前は使われています[sage] 投稿日：2008/09/05(金) 18:51:57 ******
>>857
オンラインゲーム→MMORPG
game2■s7■xrea■com/gns/html/02_01.html
被害者多いかも(私は初めて見るサイトだけど)。

860 名前：既にその名前は使われています[] 投稿日：2008/09/05(金) 19:02:59 ID:*********
>>858-859
老舗のゲーム攻略の登録サイトで、オフゲーの攻略では結構有名かも。
かなりの攻略サイトにリンクされてるからアクセス数はずっとこのままの悪寒。
運営より、サイバーポリス経由で警告だしてもらったほうが早いかな。

9/4:FC2 blogで改竄再発生

●● RMT業者の垢ハックが多発している件38 ●●より：
FFXI戦士スキーのブログ（ttp://ffxiwar●blog91●fc2●com/）にて再度改竄が発生した模様。9/4 0:50現在、パスワード認証モードに移行しています。

管理人様のパスワード認証画面のメッセージより

現在異物混入の為、非公開モードに移行しております。
混入物:hxxp://1039045744:88/jp■js
つまり、Xreaでお騒がせのアレ。
Noscript導入の方はブロックしているとおもいますが
一応ウィルスチェックをお勧めし

FC2で大規模に改ざんが発生しているのかどうかは未確認。
ご注意を。

8/31:XREA狙い撃ちの証拠

一部サイトが改竄を受け、ウィルス置き場へのリンクスクリプトを埋め込まれています - XREA&CORE SUPPORT BOARD　より：

今回書き換えられたのは22日ですが、18日にgoogle.cnから「site:xrea.com ffxi map」という検索フレーズでのアクセスが残っておりました。
意図的にxreaを狙っているように思われます。

という話を受けてネ実の垢ハックスレで確認したところ、未報告の改竄サイトが出てきた模様です。特定企業のサービスが危ないというのはあまりよくないですが、状況証拠からみてXREAに何か穴があって狙われているとしか思えないですね……。

●● RMT業者の垢ハックが多発している件38 ●●より：

247 名前：既にその名前は使われています[] 投稿日：2008/08/31(日) 02:45:22 ID:7LTW4KHv
>>219
吟サイトでもログ出してたので見てみたが、
p://bdbk.s41.xrea.com/kaizan/CN.log

site:xrea.com+┣武器/防具/+ff11
同じように狙い撃ちされてるな。。。

252 名前：既にその名前は使われています[] 投稿日：2008/08/31(日) 04:32:28 ID:Ryb6701z
>>247
グーグルの【site:xrea.com ffxi map】を一通り調べてみたら
例のスクリプトの://1039045744:88/jp●jsを埋め込まれてるサイトがあるようです。
ここも改竄されてます。
http://shirohige.s58●xrea●com/link.html
http://nng●s56●xrea●com/

253 名前：既にその名前は使われています[] 投稿日：2008/08/31(日) 04:58:43 ID:Ryb6701z
【site:xrea.com ff11】13100件
http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla%3Aja%3Aofficial&hs=oGr&q=site%3Axrea.com+ff11&btnG=%E6%A4%9C%E7%B4%A2&lr=lang_ja
【site:xrea.com ffxi 】10700件
http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla%3Aja%3Aofficial&hs=hIr&q=site%3Axrea.com+ffxi&btnG=%E6%A4%9C%E7%B4%A2&lr=lang_ja
【site：site:xrea.com final fantasy xi】1170件
http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla%3Aja%3Aofficial&hs=9xB&q=site%3Axrea.com+final+fantasy+xi&btnG=%E6%A4%9C%E7%B4%A2&lr=lang_ja
【site:xrea.com final fantasy 11】5580件
http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla%3Aja%3Aofficial&hs=xdW&q=site%3Axrea.com+final+fantasy+11&btnG=%E6%A4%9C%E7%B4%A2&lr=lang_ja

今のところ３つ改竄見つけました。まだ、かなり改竄されてるかもしれません。
スクリプト対策ができてる方、人快戦術でソースチェックをお願いします。

改竄スクリプト→【//1039045744:88/jp●js】

http：//shirohige.s58●xrea●com/link.html
http：//nng●s56●xrea●com/
http：//vana-diel●s12●xrea●com/