忍者ブログ
RSS配信用のメモです。 本家はこちら →http://nyankonyanko.x0.com
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

アップデートきてました。Firefoxユーザーの方は確認を。
PR
このサイトについて (ネ実アカハクスレテンプレ)
FFXI WARNING様がお引越しです。次スレ終了時を目処に従来のxreaとgeoのミラーは消去の予定だそうです。
いつもお世話になっております。
暗号化ZIPで拡散するトロイの木馬、トレンドマイクロが警告

メールの添付ファイルでdoc.zipというファイルがついてきたら注意。
パスワードを入力して開き、中のexeファイルを実行すると、トロイの木馬に感染します。
うちにも大量にきてるんだよなぁ。もちろん開いてないけど。
【CSL】CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~ | LAC
解説記事→新手のSQLインジェクション攻撃を仕掛けるボット,ラックが注意喚起:ITpro

Cookie(ユーザー情報を記録した小さなテキストファイル)によるデータの受け渡しを装って、Cookieのパラメーターとして不正なSQL文を埋め込んで実行>データベース内のデータに<script>タグを付与する、という手法らしい。

攻撃対象はIIS/ASP/ASP.NET(マイクロソフト製のWEBサーバー)
ただし、Cookieからパラメーターを受け取るフレームワークはphp(サーバープラットフォームを問わず広く使われている・Wikiやブログ管理システムにも使われている)にも実装されており、そちらが影響を受けるかどうかは現在確認中なので、「M$のサーバーじゃないから安心」とは言い切れない。

問題なのは、
* WEBサーバーのデフォルトの設定ではCookieの内容がログに記録されないので攻撃されていることが分かりにくい
* ISPで用意している不正侵入検知システムやWAF(Webアプリケーションファイヤーウォール)では検知できない
という2点。

今のところ攻撃元になっているIPアドレスは「61.152.246.157」,「211.144.133.161」「211.154.163.43」(全部中国)
アクセスするスクリプトのURLは「drmyyn●cn」
利用される脆弱性は
* Microsoft Data Access Componentの脆弱性(MS06-014)
* Microsoft Access Snapshot Viewerの脆弱性(MS08-041)
* Adobe FlashPlayerの脆弱性
* NCTsoft NCTAudioFile2 ActiveXコンポーネントの脆弱性
* REALNETWORKS RealPlayer ActiveX コンポーネントの脆弱性

サーバー管理者の対応:
WebサイトのログにCookie内容を記録するように設定変更など。
(詳細は元記事の末尾を参照)

素人サイト管理者の対応:
自分のサイト・テンプレのソースに"drmyyn"が埋め込まれていないか確認。

サイト閲覧者の対応:
上記脆弱性に対する対応(不要なコンポーネント・Viewerの削除、必要なプラグインのアップデート)
忍者ブログ [PR]


Designed by A.com