忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。


「不正アクセス専用チャットサポート」開設のお知らせ
(FFXI公式)
不正アクセス対策(FFXI公式)
不正アクセスチャットサポートフォーム(FFXI公式) ※受付時間 平日11:00-19:00
ついにサポセンパンクで電話受付をやめた模様です。ナビダイヤルでつながらない間も金取られ続けて1週間とかちょっとあまりにもひどかったので、当然の処置でしょう。でも受付時間がこの時間だけではパンクするのも時間の問題な気がします。

24時間対応は人件費の関係で難しいのだと思いますが、人手を介さないで24時間アカウント緊急凍結を受け付けるシステムをなんとか作れないものですかね。
PR
4件の脆弱性が存在:RealPlayerに深刻な脆弱性、アップデートで対処 (ITmedia)
ほとんど用がないものですから、アンインストールがおすすめ。自分でインストールした覚えが無くても最初から入っていたりする可能性もあるので、一度確認を。
●● RMT業者の垢ハックが多発している件33 ●●より。
Wiki改竄による罠サイトへの誘導が再発しています。怪しいリンク先は踏まないように。

管理人が不在になって放置されているようなWikiは利用されやすいです。検索でかかったページを利用する時は特にきをつけてください。

458 :既にその名前は使われています:2008/07/26(土) 17:59:40 ID:*******
17時0分頃、ライブドアWikiで福建中華の爆撃が確認された。
また新ID&269gに新たなる罠ブログ作成だ。

記事は同名のFC2ブログからパクって、本分最初の行の末尾にgawezuki。

その罠ブログ記事のタイムスタンプが16:33、攻撃が確認されているのは17時0分ごろ
つまりパクリブログ完成してからすぐに攻撃に使っているようだね。
crownofda■269g■net/は 13件 見つかりました。

凄いスピード攻撃、恐らく今現在ライブドア改竄担当は一人だけなんだろうが、
改竄要員が増加したらこれは厄介なことになるぞ。

とりあえず両者に連絡済。

気をつけてくれよな!


@wikiでも改竄確認。踏んでしまった人の報告です。リンク先は上記と同じ。

487 :既にその名前は使われています:2008/07/26(土) 22:17:12 ID:******
戦場の絆ページ見てたら、ガンダムだけに木馬がPCに進入してきますた(つдT)
急いでPS2からFFインしてパスワード変えて、PCはバスターで処理した(つもり)けど、PCから新パスワードでインしたら危ないかしら?

488 :既にその名前は使われています:2008/07/26(土) 22:20:44 ID:******
>>487
とりあえずその侵入してきた木馬のタイプがわからんことにはどうにも

さらに言えば木馬の侵入ルート(脆弱性その他)をしっかり閉じないとまたやられ申す

489 :既にその名前は使われています:2008/07/26(土) 22:27:27 ID:******
>>487
ひとまず攻撃を受けたサイトのアドレスを(ドット(.)は■に置き換えてリンク防止した上で)報告plz
あとバスターさんのレポート残ってたら感染ファイルとウィルスの定義名を

490 :既にその名前は使われています:2008/07/26(土) 22:28:59 ID:******
>>487
@Wikiの奴だな、ちゃんと戦場の絆@Wikiと書かないと何処なんだかさっぱりだ。
ライブドア同様に中華が罠Wikiを作ったことがあるからな、改竄したくてたまらんのだろう。
@WikiはWikiwikiに比べると対応が遅いからな。

改竄されてたリンクは458で書いたライブドアWiki爆撃と同じのだな。

福建中華はそれこそ無差別爆撃なんだから仕込み場所は何処でも良いのさ。
ともあれ気をつけてくれよな!

494 :既にその名前は使われています:2008/07/26(土) 23:04:08 ID:*****
今後気をつけます(T_T)
ウィルス名はSWF_DLOADER.YVNとかいう奴でした。
ご指摘の通り、戦場の絆@wikiです。支給されたばかりのシャズゴの性能みようとしてやられました。
アドレスは http://www12■atwiki■jp/senjounokizuna/ から、シャズゴ選んで飛ばされました。
アドベとXpは最新版に更新しましたー

495 :既にその名前は使われています:2008/07/26(土) 23:22:27 ID:*******
>>494
>ウィルス名はSWF_DLOADER.YVNとかいう奴でした。
感染してたファイル名わからんかね
定義名はウィルス対策ソフトによって違うからファイル名+定義名セットで報告頂けると助かり申す

検出されたものはダウンローダーかな、トロイ本体ををPCにダウンロードする役割をする
(それ自体に対するトレンドマイクロの対応方法案内ページ
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=SWF_DLOADER.YVN&VSect=Sn)
覗いた瞬間に駆除されたならダウンローダーの段階で検出→防疫に成功してるとは思うけど、
すでにトロイ本体がPCに侵入している可能性もあるので不安であれば
バスターでドライブのフルスキャン(ウィルス定義が最新版に更新されていることを確認してから)、
>>12>>13あたりを参考にして現在流行ってるタイプの危険ファイルの検索
(>>12の方法で検索するとき「kernaeghdrv.dll」もチェックしておくといいかもしれない、どちらもバスターで検出可能なはずだけど一応)

あとはスレのテンプレに目を通してセキュ関係見直してみてね


おまけ:
492 :既にその名前は使われています:2008/07/26(土) 22:40:03 ID:********
wikiの改竄って、リンク先が罠ページになってるんじゃなくて
wiki開くだけで脆弱性突かれて感染するケースもあるの?


497 :既にその名前は使われています:2008/07/27(日) 00:26:39 ID:********
>>492
wikiってさ wikiwikiっていうのを基にしててクローンがたくさんあるのよ。
wikiっていうシステムにはいろいろ種類があって 傷バンをバンドエイドっていったり ステプラをホチキスっていうみたいな感じの総称なわけ。
だから一口にwikiは~とはいえない。
けど管理放棄されたりのっとられたり 悪意を持って設置された場合以外
たいていのwikiは管理がちゃんとしてたらそんなにやばいことにはならない。

@wikiには JSを有効にするプラグインもあるけど それは管理権限がないと使えない。
ワープロモードでhtmlが打てるけど今はiframeは使えないはず。
戦場の絆@wikiは見たところ 管理者不在になってしまっているようだからそれが一番の問題だと思うよ
●● RMT業者の垢ハックが多発している件33 ●●より。
2chの広告でノートン先生が反応したという話。

再現しない環境も多かったりで真相は不明ですが(誤検出の可能性もあり)、一部の広告あるいは広告サーバーがやられるというケースは過去にXREAでもありましたので、危険なことには違いないです。この機会に専ブラ導入を検討してみてはいかがでしょうか。

420 :既にその名前は使われています:2008/07/26(土) 14:01:56 ID:7*****G
さっき2ちゃんはいったとたんにノートンが
HTTP adobe SWF remote code exec
って反応して遮断しましたうんぬんとでたんだが…
まさか2ちゃんのバナーに…?
それともノートンの誤動作だったのか
ちなみに攻撃側として
kenspi.nefficient.com
と表示されている。国内のようだが

425 :既にその名前は使われています:2008/07/26(土) 14:26:48 ID:******
>>420
nefficient.comは韓国のドメインっぽいね

426 :既にその名前は使われています:2008/07/26(土) 14:48:07 ID:******
既に抜かれてるけど順番待ちという可能性もあるからな
この機会にパスを変えるのマジお勧め

427 :既にその名前は使われています:2008/07/26(土) 15:02:38 ID:******
>>420
nefficient.comはCDNetworks という韓国の動画配信 ストリーミングなんかをやってる会社が使ってるらしい。
日本法人もあり デジタルコンテンツの配信をしてるみたい。
プレスリリースあたり見て心あたりはないか確認してみたらどかな。

428 :既にその名前は使われています:2008/07/26(土) 15:30:13 ID:7*****G
>>425 >>427
ごめんアドレス間違い正しくは
kespi.nefficient.com
確かに韓国の会社の日本営業所のようだ
augasだとTOKYOと表示される
履歴チェックしても同時刻分だと2ちゃんのバナーらしきgifしかないのだが…

434 :既にその名前は使われています:2008/07/26(土) 15:57:08 ID:******
>>430>>431について俺も思い当たる節が。
実は俺もカスペでの遮断なんだが、ニコニコ動画のトップでいきなり遮断の選択をpopで来た事があった。
でも、それらしき怪しいサイトは無し。あるとすればバナー・・・と思ってみたけどそこには昨日と同じバナーが。
うーん。単なる単発アタック(実はPG2は入れてない。でもメモリ監視はしてるから、書き換え時逐一pop→選択してる)
かなーと思ってスルーしてたんだけど・・・

ひょっとしたら、バナー発信するサーバーの一部がハックされてて、攻撃の踏み台にされてるかと今思った。
まあ、確認するすべは無いんだけどね・・・

444 :既にその名前は使われています:2008/07/26(土) 16:57:22 ID:7*****G
すみません218.40.59.203:80(kespi.nefficient.com)のPG2履歴該当時間にありました(つД`)
でもやっぱり2ちゃんin時(正確にはネ実)での反応みたいです
自分みたいな素人がいろいろ振り回してしまってすみません
だけどやっぱりバナーしか考えられないと思うんです

445 :既にその名前は使われています:2008/07/26(土) 17:00:59 ID:******
専ブラつかってないのか?

446 :既にその名前は使われています:2008/07/26(土) 17:05:18 ID:7*****G
今入りなおしても218.40.59.203:80がでますから
やはりバナーのどれかがkespi.nefficient.comからだとおもわれ
ちなみにノートンが遮断した時刻が13:20:10です
>>445つかってません

449 名前:既にその名前は使われています[sage] 投稿日:2008/07/26(土) 17:34:34 ID:******
>>420 IE7でネ実みてみた。
「あの女優もプレイ」って水着のおねーちゃんのバナーがそこのフラッシュですね。
んで プライバシーアンドポリシーが見つからないって クッキーをブロックしてるな。

450 名前:既にその名前は使われています[] 投稿日:2008/07/26(土) 17:39:59 ID:******
どれか・・・ってモロバナーに出てるよ。
ROHAN ってゲームでな。
この報告が正しければ・・・俺達はアカハックをわざわざ踏みに此処に来てたってことだな・・・
はは・・・ちょっとこれ。しゃれにならないぜ・・・

456 :既にその名前は使われています:2008/07/26(土) 17:49:19 ID:******
っと。>>449の環境じゃ出てない?
いま別のパソで改めてここ踏んでみたけど・・・
出ないね。カスペでレジストリ書き換えられたとかの警告

と言うわけで考えられる事が二つ。

1 幾つかバナーがあって、そのうちの一つにアカハクが入ってる。

2 単に俺の環境でスルーしてるw

2であって欲しくないんだけど・・・これもうちょっと情報集める必要あるなこれ。

459 :既にその名前は使われています:2008/07/26(土) 18:14:14 ID:*****
>>456
俺も30分ほどひたすらリロードしたけど警告無し
同じくカスペ

460 :既にその名前は使われています:2008/07/26(土) 18:20:14 ID:******
ノートンさんの過剰反応かなー。

水着のおねーちゃんのバナー
http://kespi●nefficient●com/kespi/sealonline/image/468-60.swf
Virus Totalでのスキャン結果
http://www.virustotal.com/analisis/5fbf73fec1df8ef35f1b06704a5cec67

シールオンライン新規加入キャンペーン開催中のバナー
http://kespi●nefficient●com/kespi/sealonline/image/banner05.swf
Virus Totalでのスキャン結果
http://www.virustotal.com/analisis/3e1b4452c5b736298b573f27a854dbfe


忍者ブログ [PR]


Designed by A.com