[EMERGENCY] 8080系更に拡大中
連日の警報ですねぇ(嘆息)
HONDA陥落
Hondaホームページ 「ストリーム」サイトに関する報告とお詫び
ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。
OMG!
JR東日本に続いて2件目の「大手正規サイト」陥落です。
しかも放置期間が長かったため、事態はきわめて重篤です。
1261064262.dat -- 2ch.net
名無しさん@そうだドライブへ行こう sage 2009/12/19(土) 00:51:12 ID:BUJ0xUOP0
今公式見ようとしたらカスペが
入力したURLのWebページを表示できません
入力したURL: hXXp://www.honda.co.jp/STREAM/
このWebページはウイルスに感染しています
次のウイルスが見つかりました:Trojan.JS.Agent.awm
この情報が正しくないと考えられるときは、ご利用のサービスプロバイダーにご連絡ください
こんなん出たんだけど俺だけ?
カスペルスキーは 12/13には検出していた模様
Wordpress blog hacked – security issues -- Dec.13
コメント内 12/24
Trojan-Clicker.JS.Iframe.db h t t p ://szn-cz. voila. fr. commentcamarche-net. wintersaleonline. ru: 8080/google. com/google. com/xnxx. com/weather. com/vnet. cn/
同一のものですね。
ペイロード
Trojan-Dropper.Win32.HDrop.aa [Kaspersky Lab]
※MicrosoftはBredlabとして検出
もっとも、いつもおせわになっている さまれぼ 管理人様より
【サイト改竄報告】いよいよ8080系改竄サイト出現!
Kasperskyが無反応だったとの報告も受けていますので、過信は禁物です
WEB/SERVER管理者へ
JR東日本やHONDAのような一流企業が、こんな初歩的な対策を執っていなかったとは俄かに信じ難いものがありますが
・FTP(平文)の全面使用禁止
・(無いとは思いますが)TELNETをポート(23)単位で閉塞
・FTPoSSLでのアクセスは必ず固定IPアドレスのみを受け入れ、その他は DENY ALL する。
・FileZilla使用の場合、パスワードをクライアントに保管しない。
・SSHは基本的には外部開放しない(当たり前ですが!)
・SSHは鍵とパスフレーズを併用し、プロジェクト終了後、個人鍵を破棄する。
このインシデントを起こしてしまったWeb制作会社にはお悔やみ申し上げます。
冗談ではなく、「明日は我が身」くらいの姿勢で臨まないと取り返しの付かないことになりそうです。
参考:
8080 -- FFXI(Ilion様)
※adobeの件は後ほど
CVE-2009-4324の技術的解析(pdf解体)
悪意あるPDF(malicious PDF)に含まれる Exploit コードを pdf-parser.py で確認する -- 思い立ったら書く日記
Let's parse PDF!
outline of interview.pdf
outline of interview.pdf 26/41 (63.41%)
注視部分:
/JS 2
/JavaScript 3
注意!「GNU GPL」「CODE1」Webサイト改竄拡大中
ブラウザのJavaScriptは基本的にOFFにして(それで見れないサイトなんて大抵切り捨てて構わないでしょ?)、心中してもいいサイトだけJavaScriptを許可しましょう。
インシデントを起こしたら全責任は制作会社に降りかかってくるわけですからね~
追記:
Mooterフリー検索
Mooterフリー検索 の検索結果 約 34,900 件中 1 - 10 件目 (0.05 秒)
さて・・どんな対応を取るんでしょうね・・・
----------
Anniversary No.800 が 8080 の Emergency Postでした(笑)
EoF