[EMERGENCY] THE MASSIVE COMPROMISED via Gumblar
[EMERGENCY]
恐れていた事態になりつつあります。
現在進行中の 新・Gumblar は尻尾がつかめません。
さらに、CMS内に埋め込まれているものは base64 で難読化されている様子で、おそらく数倍~数百倍のケースで陥落サイトが存在しているのではないかと推測されます。
SEARCH = "<script src=http://" ".php ></script>"
キリガナイ・・・
hXXp://picshic.com/buxxx/25.php
description: error: "eval()'d code on line 1"
hXXp://o0w0o.com/tmp/wedding.php
description: eval(Base64_decode -- Joomla forum
hXXp://movieinthepark.ca/scripts/MITP_2009_01.php
hXXp://kanto.ac.jp/course/VIVID.php
description: Hacked with eval(base64_decode - Please Help
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH (11サイトを感染させているのは検出してる・・)
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)
Googleセンセイどうした!?
hXXp://75oal.k12.tr/aile_dosyalar/bina3.php
description: Strange behavior...
hXXp://elpotrero.com.ar/seleccion/Maradona-Marsella.php
description: Malicious attack
hXXp://mobydickrock.ru/hope/yandex_66a7973f6eaf9ba9.php
description: Have been hacked -- Webdevelopper.com
description: Have been hacked--pls help -- php builder
hXXp://minusy.ru/logs/sendtoemail.php
description: a strange change has been commited on my site -- OpenCart
hXXp://globe-safaris.com/Files/Travellers_Tips.php
description: errored out, whole directory down? -- PHP Link Directory
hXXp://galladance.com/education/license-ru.php
hXXp://luxuryretreatsatcapcana.com/userfiles/email.php
hXXp://melstra-techniek.nl/images/contact.php
hXXp://cafede.sakura.ne.jp/shibuya_staff_diary/cafe_links.php
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)
hXXp://taxidermiaferron.com/Contacto/desktop.php
hXXp://singingbowlcentre.com/images/pas1_bg.php
hXXp://shoppingsurat.com/images/outputinfo.php
----------
ど・・どうすりゃいんんだい!?
って感じなんですが・・・
こうした踏み台陥落サイト群は、次々と使い捨てにされる傾向があります。もし、ゼロデイの脆弱性を使われれば、自己防衛の方法が極めて狭められることになります。
Firefox+NoScript のような環境下で、iframe もデフォルトは OFF にしておき、相手と心中してもよいくらい信用しているサイトだけ JavaScript の実行を許可する癖をつけるしかなさそうです。
----------
あと、こっちも
メンテナンス・障害情報:www3サーバの表示速度改善のための緊急メンテナンスについて
本日、www3サーバにて表示速度改善のための緊急のメンテナンスを行っておりました。
現在、一時的に復旧しておりますが、メンテナンスは正常に終了できていないため、
後日、再メンテナンスを行います。
ご迷惑をおかけし申し訳ございません。
申し訳ありません(というか何もできませんけどね)
EoF
10 月 19th, 2009 at 8:34 PM
[...] UnderForge of Lack » Blog Archive » [EMERGENCY] THE MASSIVE COMPROMISED via Gumblar www3.atword.jp/gnome/2009/10/19/emergency-the-massive-compromised-via-gumblar – view page – cached Firefox+NoScript のような環境下で、iframe [...]
10 月 20th, 2009 at 1:12 AM
www3サーバ死んでましたよね
17日メンテなのに19日で全然アクセスできないって
どゆこと?って感じでした
ping応答してるのにポート80refuseされたんで
httpサーバ落ちてんじゃないの?って
サポートにメールしたらその直後に復帰してました。
まさか私のメールで答えたわけじゃないと思いますが・・・
10 月 20th, 2009 at 2:01 AM
[Security]Gumblar 再来とのこと
UnderForgeを見に行ったら、2009年5月に流行した Gumblar が活動を再開したとのこと。関連記事を色々と見ていると、Exploit コードに誘導するまでがこれまでと異なる模様。 とある php ファイル...
10 月 20th, 2009 at 2:06 PM
[...] by oDx on Oct.20, 2009, under Security Massive amount of Websites are being COMPROMISED via Gumblar-1.052009-10-20 10:33:25oDxI got the information about this virus from the website http://www3.atword.jp/gnome/2009/10/19/emergency-the-massive-compromised-via-gumblar/ [...]