2010.01.09 土曜日
[Notice]
メンテナンス・障害情報:www2,www4サーバのメンテナンスのお知らせとお願い(01月11日11時~18時予定)
となっておりますが、今日既に1度ダウン状態になりましたので、また堕ちるかもしれません。
移転先募集中(泣)
----------
風邪の日
寛政7年(1795)旧暦1月9日、横綱
谷風梶之助が風邪(
インフルエンザ)で亡くなったことに因む。「タニカゼ」というインフルエンザの俗称は、当時、谷風関が「土俵上で儂を倒すことはできない。倒れているのを見たければ儂が風邪にかかった時に来い」と語った(天明4年頃)ことに由来している。
クイズの日、とんちの日
一休さん(
一休宗純)[いっ(1)きゅう(9)]
----------
泣きの一手
7三と
シマンテック、Amebaのウイルス問題で「ノートン」90日体験版を無料配布
シマンテックは、ブログサービス「Ameba」のキャンペーンで配布したブログパーツが改ざんされ、閲覧者をウイルスに感染させていた可能性があることを受け、感染の可能性があるユーザーにセキュリティソフトの90日体験版を無料提供する。
ふむふむ・・太っ腹ですね~
404
・・・・・・・・
追記:
Norton Police City in Ameba キャンペーン -- ブログパーツ改ざんに関する対処方法のご案内
なお、株式会社シマンテック様にて今回の件で影響の可能性のある方を考慮され、特別に、90日無償版の「ノートン インターネット セキュリティ2010」 をご用意していただきました。2010年1月12日より下記よりダウンロードが可能ですのでご利用ください。
ちょっと早かったカナ
----------
後手
6三香成
Web サイト改ざんに関する情報提供のお願い
インシデントの届出 (Web フォーム)
必須
お名前
電子メールアドレス
報告目的 (情報提供 / 質問 / 関係サイトへの連絡を希望 / その他 )
電子メールアドレス
報告目的 (情報提供 / 質問 / 関係サイトへの連絡を希望 / その他 )
検体提出も可能のようですね。
とりあえずはコレでも貼っておきますか?
※BINGは半角 * をキーワードで検索可能
残念ながら、このパンデミック状態で、1個1個感染ノードを潰していくしかないのが現状です。
先手であれば、去年の5/19の martuz.cn テイクダウンの時にこういう措置+プラグイン等アップデートの徹底的な周知をやっておけば、ここまで感染拡大することは無かったでしょうに・・・・
放置によって汚染が拡大していく様子は
をごらんになれば一目瞭然です。
続く
----------
負の連鎖
凄惨な状況ですね::
8080のことが言及されていますが、so-netさんは既に去年の7月の段階で、この事態の警告を発しています。
セキュリティベンダーがまだ命名していないので、ここでは便宜的に8080攻撃と呼ぶことにする。編集部では、この攻撃を6月初旬から観測しているが、見るたびに誘導先が違うほど大量のドメインをとっかえひっかえ使用。編集部が把握しているだけでも、約200のドメインが現在も稼働し続けている状況だ。大半はCN(中国)だが、最近はIN(インド)やPL(ポーランド)、RU(ロシア)、AT(オーストリア)などもチラホラ見受けられる。
Googleのセーフブラウジングの診断では、個々のドメインの汚染度は多いものでも3000程度だが、なにせ数が多いので総計は6万を超える。再改ざんによる重複が多数あるとは思うが、Gumblar以来の規模ではなかろうか。今のところまだ国内サイトの被害は見つかっていないが、海外サイトの日本語ページが改ざんされている例はあり、1日付のウェブセンスの記事では、人気の高いファイル共有ソフトTorrentの総合サイト「Torrent Reactor」も改ざん被害にあったという。
使われている個々のドメインには、欧米のサーバー5基が1セットで登録されているが、全てのドメインが同じセットで動いているので、攻撃サイトは実質5基。早いサーバは1日で入れ替わるが、長いものは20日間以上使用されており、ボットネットの攻撃に見られるような短時間で入れ替わって行く、いわゆるFast-Fluxではない点がまだ救われる。
via
要するに、この時期のものがアップデートして戻ってきただけであって、根本は何も変わっていません。
更に続く
----------
8080(去年7月から仮称)
現在の状況:
使用されている攻撃ドメインとそのURL文字列:
blogcatalog-com.google.ie.google-co-jp.webnetloans・ru:8080/yandex.ua/yandex.ua/google.com.tw/google.com/robtex.com/
boston-com.symantec.com.cocolog-nifty-com.worldwebworld.ru:8080/msn.ca/msn.ca/iwiw.hu/google.com/yoka.com/
cbssports-com.shinobi.jp.gamer-com-tw.webnetenglish・ru:8080/foxsports.com/foxsports.com/google.com/statcounter.com/getiton.com/
google-com-sa.plala.or.jp.last-fm.webnetenglish・ru:8080/google.com/google.com/pchome.net/wrzuta.pl/careerbuilder.com/
immobilienscout24-de.zshare.net.ebay-com-au.worldwebworld・ru:8080/hudong.com/hudong.com/biglobe.ne.jp/google.com/wrzuta.pl/
iza-ne-jp.persianblog.ir.seriesyonkis-com.webnetenglish・ru:8080/google.com/google.com/yallakora.com/sabah.com.tr/orange.fr/
kohls-com.ibm.com.corriere-it.worldwebworld・ru:8080/yimg.com/yimg.com/google.com/jugem.jp/ebuddy.com/
meinvz-net.fifa.com.feedburner-com.thechocolateweb・ru:8080/hatena.ne.jp/hatena.ne.jp/ggpht.com/xinhuanet.com/google.com/
orbitz-com.yaplog.jp.tube8-com.webdesktopnet・ru:8080/google.com/google.com/dell.com/myfreepaysite.com/orkut.com/
petardas-com.sitepoint.com.yomiuri-co-jp.carswebnet・ru:8080/realitykings.com/realitykings.com/4shared.com/google.com/ifeng.com/
rottentomatoes-com.google.com.gazzetta-it.thelaceweb・ru:8080/google.com/google.com/dion.ne.jp/anonym.to/playstation.com/
seznam-cz.hsbc.co.uk.kakaku-com.webnetenglish・ru:8080/google.com/google.com/marca.com/allabout.co.jp/iza.ne.jp/
southwest-com.mapquest.com.secureserver-net.guidebat・ru:8080/tigerdirect.com/tigerdirect.com/google.com/uploading.com/yaplog.jp/
stern-de.linkhelper.cn.wikipedia-org.carswebnet・ru:8080/irctc.co.in/irctc.co.in/yaplog.jp/ovguide.com/google.com/
travelocity-com.google.co.za.vnexpress-net.xboxliveweb.ru:8080/google.com/google.com/robtex.com/slickdeals.net/fc2.com/
wiktionary-org.ameba.jp.freeones-com.thelaceweb・ru:8080/bu520.com/bu520.com/businessweek.com/scribd.com/google.com/
xici-net.infoseek.co.jp.wellsfargo-com.thelaceweb・ru:8080/google.com/google.com/sponichi.co.jp/megaclick.com/ipicture.ru/
2ch-net.topshareware.com.gmodules-com.webnetlender・ru:8080/exbii.com/exbii.com/biglobe.ne.jp/voila.fr/google.com/
ggpht-com.news3insider.com.sponichi-co-jp.superore・ru:8080/imdb.com/imdb.com/newegg.com/multiply.com/google.com/
geocities-jp.depositfiles.com.reuters-com.johnsite・ru:8080/en.wordpress.com/en.wordpress.com/ca.gov/google.com/craigslist.ca/
という感じでかなり日本にターゲットをシフトしている様子。
それだけガードが甘いと見られたのか、おいしいと思われたのか・・・
チェッカーを走らせてたすべてのサイトのコードがキレーにすげ変わってちょっと驚きました。(^^;
Gumblar.x vs 8080の宿命の対決(何か間違ってる)の関連話は
を参照してください。
誤解とその危険点がよくわかります。
もうちょっと続く
----------
8080≒ZeuS?
by Symantec(US):
The final payload includes malware like
xin765.comの攻撃って、WoWのInfoStealerだったかなぁ・・?
xin765.com 2009-07-04
a0v・org/x.jsの流れを汲むと?
なんかありとあらゆるBotnet系がゴチャゴチャにされてるような・・・
さてはて?
----------
いつか来た道・・・
Office.Microsoft.Comの検索結果が "Office.Microsoft.Com"のリダイレクションを使っているため、一見 Microsoft.comからの正規リンクに見えてしまう・・・っと
results on office.microsoft.com can lead users to a Rogue AV page.
リダイレクトされる先の Rogue AV(FakeAV)
googleにも昔ありましたね・・
----------
ZeuS attack against OWA
We are informing you that because of the security upgrade of the mailing service your mailbox (targeted.user@our.org) settings were changed. In order to apply the new set of settings click on the following link:
httx://our.org/owa/service_directory/settings.php?email=targeted.user@our.org&from=our.org&fromname=targeted.user
Best regards, Our.org Technical Support.
ウチ宛にはまだ来てないなぁ・・残念(何が!?)
settings-file.exe
----------
すっかり忘れてましたよ・・
なんか手順がカナリうっとおしいのですが、ユーザの方は手を打っておきましょう。
----------
まただ・・
ESX 4.0 ESX ESX400-200912403-SG
セフセフ・・
4.0ESXの方はご愁傷様・・じゃなかったアップデートの準備をしましょう(笑)
----------
Microsoft Silent January
小野寺です。
本年もよろしくお願いいたします。
ことしもよろしくお願い致します。
余談ですが、今月のBulletin1は、「緊急」評価ですが、これはWindows 2000のみが緊急で、他の影響を受けるソフトウェアは、「注意」となっています。 Windows 2000も今年の7月でサポートを、いよいよ終了しますが、
WindowsXP RTMって・・・まだ使ってる人いるのか・・・
2000SP4が意外と低いのは、そもそも妙なコンポネンツが動かないから・・・
----------
768RSA DOWN
768bitRSAの鍵が破られましたとさ~
768-bit RSA moduli can no longer be recommended." 1024-bit values should be good for a few years still.
あと数年・・・
この研究にはNTTのKazumaro Aoki氏も共同寄稿されています。
Factorization of a 768-bit RSA modulus
----------
Adobeの通ってきた道・・
----------
ZIPでくれ
Q10:2ちゃんねるなどの掲示板では、画像などをまとめて全部欲しいというユーザーが「ZIPでくれ」などと書き込むことがあります。音楽や映像のファイルをまとめたZIPファイルのリンクが掲示板に貼られて、それをダウンロードした場合は違法?
A10:まず、「ZIPでくれ」というのは、そもそも違法なアップロードを依頼しているという意味で、「教唆行為」と見なされる可能性があります。ZIP ファイルをダウンロードする行為については、誰でもダウンロードできる状態に置かれたケースであれば、違法ファイルと知りながら行えば、違法です。
----------
| 1262980807 | B | [goog-black-hash 1.48383 update]
| 1262980802 | M | [goog-malware-hash 1.18495 update]
| 306609 | -735(307344) もうちょっとで30万を切る!
| 1215616 |
EoF
1 月 9th, 2010 at 1:59 PM
URLブロックについて教えてください。
Ganmlar対策として飛び先のURLブロックが有効と教えていただいたのですが
少し教えてください。
現在はロシアからなので「*.ru:8080/*」を追加すればいいそうなのですが
過去に中国もあったので「*.cn:8080/*」も有効と聞きました。
インドもオーストラリアもとも聞きますが、
まとめて「*:8080/*」をブロックするのは良くないのでしょうか?
1 月 9th, 2010 at 2:43 PM
まず、現在のところ、"Gumblar.x"では 8080ポートの明示的な使用はされていませんことを但し書きしておきます。
8080ポートは、様々なWebアプリケーションで普通に使われているポートですので、一般的には塞ぐことの難しいポート番号です。
例えば apache+IISで運用されているJava ASP環境は、通常の通信が80で、Tomcat向け通信が8080という形で、一般の人が特にポート番号を意識せずに通信しています。
研究者様のおっしゃる「URLブロック」がどのレイヤーで行われるのかにも因りますが、「ブラウザレベルで URLを明示的に 8080 指定しているもの」を弾くということであれば、(多少は)効果があるかもしれません。しかし、Firewallで 8080 を閉塞してしまうことはお奨めできません。
今回の攻撃は脆弱性攻撃であって、防止ということであれば、まずはソフトウェアの脆弱性の払拭を徹底的に行い、脆弱性の情報に少しだけ耳を傾け、セキュリティ・リテラシィを高めることが重要だと考えています。
1 月 9th, 2010 at 10:46 PM
いつも、とても参考にさせていただいています。
さて、JPCERT/CC様にも別途連絡してありますが、/*LGPL*/,/*GNU GPL*/系の改竄は難読化解除のreplace関数がほぼ共通なので、replace関数の方で検索すると、結構改竄サイトが発券できます。こんな感じですね。
ttp://www.bing.com/search?q=%22replace%28%2F%26%7C%5C%24%7C%5C%21%7C%23%7C%5C%29%7C%5C%5E%7C%5C%28%7C@%2Fig%22&form=QBRE&filt=all
なかなか楽しい数のサイトが引っかかったりします。(×_×)
1 月 10th, 2010 at 12:42 AM
K.Yz様
ありがとうございます。
目を覆いたくなる惨状ですね・・
今後もよろしくお願い致します
1 月 10th, 2010 at 11:27 AM
説明不足でした。
ブラウザレベルで*LGPL*/,/*GNU GPL*/系に対する対応策でした。
「*:8080*」「*ru:8080*」でサイト制限をかけれれば、
飛び先のURLに飛べなくなると考えます。
もちろん基本的な対策はいうまでもありませんが、
元祖の時にドメインで弾くのを教えていただきその応用編を模索しました。