2009.12.26 土曜日
ボクシング・デー
元々は、教会が貧しい人たちのために寄付を募ったクリスマスプレゼントの箱(box)を開ける日。スポーツのボクシングとは関係ない
プロ野球誕生の日/ジャイアンツの日
1934年、大日本東京野球倶楽部(後の読売ジャイアンツ)が創立。
※日本初のプロ野球団は1920年に設立された日本運動協会である
----------
新年休暇を前に
シス管の皆様、激動の2009年、お疲れ様でした。
年内最後のお仕事として、以下のチェックをかけてみてはいかがでしょうか?
Firewall/IDSログをチェックし、以下のアドレスをgrepする。
THE GUMBLAR
67.212.81.67 | AS10929 | NETELLIGENT Hosting Services Inc. |
67.215.246.34 | AS22298 | SecurePrivateNetwork |
67.215.238.194 | AS22298 | SecurePrivateNetwork |
91.213.121.160 | AS24826 | KHARKOV-TERMINALS-AS |
91.215.156. | AS15435 | KABELFOON CAIW |
94.76.250.73 | AS29550 | Blueconnex Networks Ltd |
94.229.65.174 | AS42831 | UKSERVERS-AS |
195.24.76.250 | AS5577 | ROOT-AS |
216.45.48.66 | AS22298 | SecurePrivateNetwork |
このへんの通信が確認されると、社内に Gumblar陥落のノードがある可能性があります。
【注意喚起】Gumblarウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
LACさんはもっと多くのIPを提示していますので、不安な方は更に調査してみましょう。
8080系
From Hidden Iframes to Obfuscated Scripts
Malicious Site (Redirector)
95.211.10.130 | AS16265 | LeaseWeb |
95.211.4.193 | ||
91.121.166.221 | AS16276 | OVH Paris |
91.121.211.226 | ||
94.23.4.164 |
Drive-by-Downloader
82.192.88.35 | AS16265 | LeaseWeb |
95.211.4.193 | ||
95.211.10.130 | ||
91.121.49.129 | AS16276 | OVH Paris |
91.121.166.221 | ||
91.121.211.226 | ||
94.23.4.164 | ||
94.23.206.229 |
参考!?:
ノーブルジョーカーのホームページ(トップナンバー/東急8090)
318x/7o8
一方、318x.com(SQL Injection?)系はメインが 7o8(7to8じゃありません・泣)に変更され、地味に余勢を誇っています。
インジェクション
bmsblog
一見普通のサイトのように見え、検索エンジンにだけ別リンクを返す、大規模なFakeAV誘導サイトも根絶はされていません。
Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.
Scan your account for directories with names mdblog, bmblog, bmsblogs, bsblog, blog. Search for files named index.php and css.js. You can also use the following keywords if you perform full-text searches: coooooool, HAHAHAHAHAH, Blogger Templates.
あと、自分のサイトを毎週1回くらい Google/Yahoo(Bing!) で検索してみるのもよいでしょう。
※隔離サイトの場合には Google/Yahoo バーでの検索は気をつけましょう。
take yourself
あと、納会にむけて胃腸の調整もやっておきましょうね(笑)
----------
déjà-vu
Gumblarと類似したWebサイト改ざんを利用する攻撃【Tokyo SOC Report】
Adobe Reader / Acrobatの脆弱性
どの脆弱性なのか特定できてないのか、種別が多すぎなのか、CVEナンバーがありません。
これまで「一般的に」使用されていたのは
CVE-2007-5659 (Collab.collect.EmailInfo)
CVE-2008-2997 (postnewsubmit via util.printf)
CVE-2009-0927 (Collab.getIcon)
CVE-2009-1492 (getAnnots)
今回は
CVE-2009-4324 (Doc.media.newPlayer)
で、相変わらず ZLibで圧縮・難読化されています。
Dec. 23. CVE-2009-4324 Adobe 0 Day. Attack of the Day VERY Merry Christmas from everyone
二宮隆弘 takahino_ninomiya@yahoo.co.jp
なる人物から、
sub: merry x-mas
Merry Christmas and Happy New Year.
という PDF添付のメールが送られていることも報告されています。
AS24572 : YAHOO-JAPAN-2 Yahoo Japan
PDFファイルにJavaScriptなど必要ありません。(断言!)
永久に JavaScript機能をカットし、1/12まで Adobe (Acrobat) Readerの使用を中止し、他社PDFリーダであっても信頼の置けないPDFファイルを開かないようにしてください。
特にメール添付の PDF には細心の注意を払ってください。
だ・・・断言しちゃだめですか!?
amen
どこぞの電子入札と一緒で、こういうのは、IPX/SPXとかNetBEUIあたりの隔離プロトコルでやってほしいですね(笑)
----------
釣果
グリーをかたるフィッシング(2009/12/25)
モバゲーをかたるフィッシング(2009/12/25)
ミクシィをかたるフィッシング(2009/12/25)
hXXp://alpaslanyilmaz・com/gree/
AS21844 : ThePlanet AS2
マタオマエカ・・・
THE PLANETのBGP:
AS13884 THEPLANET-AS ThePlanet.com Internet Services, Inc.
AS21844 THEPLANET-AS2 ThePlanet.com Internet Services, Inc.
正規サービスも多々あるようですが、防弾ホストを使用し続けるリスクを意識することも大切です。
----------
IIS fell into PIT
Microsoft IIS File Parsing Extension Vulnerability
Microsoft IIS ASP Multiple Extensions Security Bypass 2
Restrict file uploads to trusted users only.
MicrosoftのIISに脆弱性、ファイル拡張子の処理に問題
SANSによると、例えば「malicious.asp;.jpg」のような複数の複数の拡張子を持つファイルを、ASPファイルとして処理してしまう問題があることが分かった。この問題を悪用すれば、攻撃者がファイル拡張子による制限をかわしてWebサーバ上に悪質な実行可能ファイルをアップロードすることができてしまうとしている。
キーワードは ";"
----------
お届けものは・・
Not-so funny jokes
見たことも無い面白い動物の動画
→偽Flash 誘導
(Not So) Happy Holidays from Koobface
A hidden Christmas greeting from Koobface
FacebookのようなMerry X'masカードは・・
→ Koobface
----------
その他
USEN、ISP事業を19億6800万円でSo-netに譲渡
so-netさんガンバレ(笑)
ID/パスワード不正利用の責任は誰にあるのか
利用規約を目を皿のようにして読めと?
過去10年でリリースされたOS、「ベスト」、「ワースト」は何?
XPを知らない私~(win2K→Visたぁん→Win7 / Slackware→SUSE→CentOS) にとっては、セキュ的な暗黒面の多い XP に文句がイロイロ・・・
でもそれゆえに「良いOS」なのは否定しません。
Win2Kは、そもそも余計な使用法をしないので、意外と堅牢かも(笑)
あ・・MacOSは完全にサポート外です・・
※cNotesさん(ise.chuo-u.ac.jp)がメンテ中
----------
| 1261771226 | B | [goog-black-hash 1.47377 update]
| 1261771206 | M | [goog-malware-hash 1.18164 update]
| 329981 | -2246(332227)
| 1179236 |
EoF