10/01/27 23:49:17
>>909
本当
直接アクセスって意味がわかってないと思うけどFTPで直接
管理者のPCがウイルス感染してることも事実だけどそこから改ざんではないです
912:名無しさん@お腹いっぱい。
10/01/28 00:11:43
>>911
うむうむ。
改竄の原因はウイルスではないのね。
913:名無しさん@お腹いっぱい。
10/01/28 03:05:57
埋め込まれるスクリプトでコメント無しのがあるそうで
<script> try{window.onload=function(){document.write('<div id=megaid>
で、このへんに飛ばされるらしい
extrafreeweb.ru
limowebcam.ru
supernetbet.ru
topmediasite.ru
yourtopfilms.ru
914:名無しさん@お腹いっぱい。
10/01/28 03:30:26
それで突かれる脆弱性は何?
先週のIEのを含めて既知のものというか、普通にアップデートを怠らなければ問題ないのなら
コードの変更みたいな些事はもうどうでもいいよ。
915:名無しさん@お腹いっぱい。
10/01/28 03:50:13
勝手に仕切るなw
916:名無しさん@お腹いっぱい。
10/01/28 03:53:03
普通にアップデートを怠らなければ問題ない
917:名無しさん@お腹いっぱい。
10/01/28 04:06:53
>>916
フツーはそうなんだけど今回アドビがねぇ。
0-day発覚から一ヶ月放置。
そのせいだろ今回の騒動は。
918:名無しさん@お腹いっぱい。
10/01/28 04:14:43
アドビのjavascriptなんかデフォルトで無効にしとけっての
919:名無しさん@お腹いっぱい。
10/01/28 06:46:27
感染したら
netstat -ap tcp 10
で監視できないのかな
920:名無しさん@お腹いっぱい。
10/01/28 07:41:10
>>914
ソース見てコードないの確認してからNS許可してるんで、変更情報は自分には重要。
921:名無しさん@お腹いっぱい。
10/01/28 09:17:45
>>908
askul代理店、まだ残ってんのか。
LGPL...
922:名無しさん@お腹いっぱい。
10/01/28 10:15:09
新しい?
<script> try{window.onload=function(){document.write('<div id=megaid>addictinggames-com.z5x.ne</div>');以下長文略
923:922
10/01/28 10:17:46
これに掛かると、サイトは真っ白になって
addictinggames-com.z5x.neとだけ表示される
924:名無しさん@お腹いっぱい。
10/01/28 11:08:08
>>916
「普通にアップデート」したら、913のスクリプトが動かなくなるの?
それとも、このスクリプトの飛び先にある毒から守られるの?
925:名無しさん@お腹いっぱい。
10/01/28 11:09:52
/*・・・*/無し最新型はDEBUG(仮称)と記す
伊豆諸島/伊豆大島/大島町/TOP/総合情報(DEBUG)
URLリンク(park5)<)●co●jp/index●html
RONI大好きサイト(Exception)
URLリンク(roni)<)●roselog●net/
テレ東アニメDVD通販情報(たぶんDEBUG)
URLリンク(anime)<)●2pg●in/suzukiucar/index2●html
※コードまる見えw
各所につーほヨロ
また潜りに逝ってくる・・・
926:名無しさん@お腹いっぱい。
10/01/28 11:18:05
価格比較 GIOS ジオス(崩壊仕様)
URLリンク(shop)●relax-living●net
※/bike11/にGNU GPL
エラー崩壊は新コードの挿入ミスかな?
927:名無しさん@お腹いっぱい。
10/01/28 11:26:29
>>925
大田鋼業株式会社
電話に出たババア
「私たちにはそんなことは分かりません」とガチャ切り w
928:名無しさん@お腹いっぱい。
10/01/28 11:44:14
>>927
マジかwひでぇ会社だw
929:名無しさん@お腹いっぱい。
10/01/28 11:50:57
>>927
ふいたwwww
930:名無しさん@お腹いっぱい。
10/01/28 11:51:13
>>927
ちょwww
931:名無しさん@お腹いっぱい。
10/01/28 11:56:43
従業員10名の零細企業だからそんなもんだろ
932:名無しさん@お腹いっぱい。
10/01/28 11:57:01
>>864
エストニアのESET?
933:名無しさん@お腹いっぱい。
10/01/28 11:57:34
社内ネットワーク内のPCからFTPでアップロードしている場合、
そのPCが感染して無くても他のPCが感染してたらパス抜かれる?
934:名無しさん@お腹いっぱい。
10/01/28 12:10:33
>>931
だからってガチャ切りは普通しないだろ
935:名無しさん@お腹いっぱい。
10/01/28 12:13:19
詐欺とか思われたんだろ
aguseで調べるとタイムアウトだらけだ
936:名無しさん@お腹いっぱい。
10/01/28 12:26:58
大田鋼業株式会社(笑)のコードだが
URLリンク(counterbest)<)●ru:8080/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/
この認識で良いのかな?
937:名無しさん@お腹いっぱい。
10/01/28 12:30:07
闇金業者の融資だと思われたんだな
938:名無しさん@お腹いっぱい。
10/01/28 12:41:31
例どんな相手でも普通の企業でガチャ切りなんてありえん
939:名無しさん@お腹いっぱい。
10/01/28 13:03:43
立て続けに何人もの「善意の第三者」から掛かってきていたとか
940:名無しさん@お腹いっぱい。
10/01/28 13:10:43
KDDIのマイライン勧誘電話はガチャ切りしてる。
そうしないと延々喋り続けるから。
941:名無しさん@お腹いっぱい。
10/01/28 14:32:18
いやいや町工場とか土建屋なんかそんな対応がデフォだぞ
942:名無しさん@お腹いっぱい。
10/01/28 15:10:44
つーか、もうNoScriptのホワイトリストとかIEの信頼済ゾーンとか意味ない感じだよな。
一時許可だけは含めた全拒否か、突かれる穴だけを埋めて全許可の二択だわ。
943:名無しさん@お腹いっぱい。
10/01/28 15:26:24
信じられぬと 嘆くよりも
サイトを信じて 感染するほうがいい~
944:名無しさん@お腹いっぱい。
10/01/28 15:27:31
それはない。
945:名無しさん@お腹いっぱい。
10/01/28 15:29:20
求めないで 対策なんか
臆病者の 言いわけだから~
946:名無しさん@お腹いっぱい。
10/01/28 15:40:05
あると思います。
947:名無しさん@お腹いっぱい。
10/01/28 15:43:27
>>942
おれもそう思って、NoScriptをアンインストールした
そうしたら、FireFoxがけっこう軽くなったよw
穴を詰めておいて、これは絶対やばいだろと思うところは
仮想環境で行くことにした
で、最近のメインンブラウザはチョロメになってる
948:名無しさん@お腹いっぱい。
10/01/28 15:44:30
かっけっすね
949:名無しさん@お腹いっぱい。
10/01/28 15:50:18
外向き8080遮断でいいんじゃねーの?
950:名無しさん@お腹いっぱい。
10/01/28 15:51:44
>>922と全く同じコードが埋め込まれてたんだが(もう復旧済み)
これって表示するだけでウイルスやバックドア感染はしないの?
951:名無しさん@お腹いっぱい。
10/01/28 15:55:11
穴があれば感染する。
952:名無しさん@お腹いっぱい。
10/01/28 15:57:34
俺のアナルはゆるゆるだ
953:名無しさん@お腹いっぱい。
10/01/28 15:58:21
>>951
ありがとう…先方に警告出すわ…
コード解析しても意味ないのかな。仕方がいまいち分からん
先方の鯖管が報告してればいいけど
954:名無しさん@お腹いっぱい。
10/01/28 16:05:22
>>925
izushichi めるしました。
oota 直っているようです。ぐぐるキャッシュに/*LGPL*/
roni、test roselog●netは全滅か?、whoisからめるしました。
sunrise●2pg リンク先はみなかったことにして、whoisからめるしました。
955:名無しさん@お腹いっぱい。
10/01/28 16:14:09
>>922
>>950
みたいに画面真っ白表示するのってなんだろう
感染してるってブラウザで丸わかりじゃ意味ないんじゃないのかな?
愉快犯ってことなのかな
956:名無しさん@お腹いっぱい。
10/01/28 16:18:24
真っ白表示された時点で(穴があれば)感染しているから目的は達成されるだろ。
愉快犯ってことにして閲覧者には無害ですとかアナウンスしたいのかもしれんが
覚悟決めろや。
957:名無しさん@お腹いっぱい。
10/01/28 16:28:43
いやいや、普通ならなるべく多く感染させたいから隠すだろ
感染させてやったって表示してるんだから愉快犯(反応を楽しむ)なんじゃね
当然感染もするけどな
958:名無しさん@お腹いっぱい。
10/01/28 16:30:09
愉快犯=実害がないわけじゃないだろjk
959:名無しさん@お腹いっぱい。
10/01/28 16:31:37
>>926
whoisからめるしました。
飛び先は同じなのでコードの貼り付け失敗かも
960:名無しさん@お腹いっぱい。
10/01/28 16:37:51
ウィルス作る奴が何考えてるかなんてわからねーよ
961:名無しさん@お腹いっぱい。
10/01/28 16:45:44
自サイト感染してた知人、ページ復旧してもう安心な気持ちになってる。
話突っ込んだけどもう元に戻したしって危機感もってないみたい。
いや感染してたら危ないって!って言っていいんだよね?
何故あんなに自信満々なんだ……
962:名無しさん@お腹いっぱい。
10/01/28 16:57:19
お前の説明がヘタクソだから
963:名無しさん@お腹いっぱい。
10/01/28 17:01:10
>>927
吹いた
964:名無しさん@お腹いっぱい。
10/01/28 17:04:54
>>961
知人ともども、so-netの記事を読んでみるといいと思う
このへんとか
URLリンク(www.so-net.ne.jp)
965:名無しさん@お腹いっぱい。
10/01/28 17:05:39
sunrise●2pg●inは
<!--<script>--> (省略) <!--</script>-->
になってるのは何なんだろw
966:名無しさん@お腹いっぱい。
10/01/28 17:07:45
superhighest.ru:DEBUG ってなんだよw
967:名無しさん@お腹いっぱい。
10/01/28 17:12:34
DEBUGだけにまだ試行中なんだよ
968:名無しさん@お腹いっぱい。
10/01/28 17:13:59
>>966
(/DEBUG/g, '8080')
969:名無しさん@お腹いっぱい。
10/01/28 17:27:05
>>965
たぶんだけど、やられたことは知っていて
証拠保全とか何か理由があってコメントアウトしたんじゃないかな。
970:名無しさん@お腹いっぱい。
10/01/28 17:56:16
>>922 >>950
これって新しいやつ?報告見たことないけど
971:名無しさん@お腹いっぱい。
10/01/28 17:58:31
>>970
新しいやつ
>>925のDEBUGで報告されてる
972:名無しさん@お腹いっぱい。
10/01/28 18:00:01
ローカルの8080ポートを閉じるのって効果があるの?
リダイレクト先にロシアサーバの8080ポートが使われるってだけで、ローカルの8080ポートは
関係ないと思っていたけど違うのかな?
973:名無しさん@お腹いっぱい。
10/01/28 18:09:50
>>933
ぬかれる
974:名無しさん@お腹いっぱい。
10/01/28 18:11:41
>>972
ない
975:名無しさん@お腹いっぱい。
10/01/28 18:15:49
>>970
この記事にあるコードがそうだと思う
URLリンク(www3.atword.jp)
976:名無しさん@お腹いっぱい。
10/01/28 18:34:37
DEBUG型、未だどこも検知せず…orz
URLリンク(www.virustotal.com)
avastには提出しました。他のもよろしく
977:名無しさん@お腹いっぱい。
10/01/28 18:48:10
>>976
スレリンク(sec板:329番)
で、やってるっぽい
978:名無しさん@お腹いっぱい。
10/01/28 18:57:33
>>972
ローカル8080開けてるヤツなんてそんないないからな
979:名無しさん@お腹いっぱい。
10/01/28 19:56:51
提出した人はうpロダに物を上げてもらえんか?
対応してないAVソフトのユーザーは、それ使って検体の提出ができるからさ
980:名無しさん@お腹いっぱい。
10/01/28 20:04:35
>>976
>>925izushichiの分
かすぺ @返信日時:17:34
> Hello,
>
> index.htm_, mikura_index.html_, oshima_index.html_, toshima_index.html_ - Trojan.JS.Agent.bcb
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
> --
> Best regards, Sergey Prokudin
> Virus analyst, Kaspersky Lab.
ESET @返信日時:19:00
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> index.htm - JS/TrojanDownloader.Agent.NRP trojan
> mikura_index.html - JS/TrojanDownloader.Agent.NRP trojan
> oshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
> toshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
>
> Regards,
>
> Daniel Novomesky
> Virus Researcher
> ESET spol. s r.o.
981:名無しさん@お腹いっぱい。
10/01/28 20:18:43
>>925gyomu-yoの分
Fortinet @返信日時:16:09 (あちらの時刻かも。)
> Dear Customer,
>
> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.
>
> The sample you submitted will be detected as follows:
> index.html - JS/IFrame.FAC!tr
>
> Best Regards,
> AV Lab - Bob
982:名無しさん@お腹いっぱい。
10/01/28 20:20:24
>>981補足
anime●gyomu-yo●netではなくgyomu-yo●netです。
983:名無しさん@お腹いっぱい。
10/01/28 20:43:39
次スレは重複したここでいいのか?
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
スレリンク(sec板)
984:名無しさん@お腹いっぱい。
10/01/28 20:49:42
>>922
それ今朝やられた。自分とこの場合、一瞬正規のページが表示された後に、nhl-com.stc.com.sa.googleと表示。
avast!で検出されず、aguseで調べたら、「ガブンラー感染の恐れあり」。
今年に入って、これで2回目です。
前回はユーザーからメールと電話で報告を受け、今回は運良く自分で見つけたけど、これって、FTPのパスワードとかの
設定変えたほうがいいのかな?ちなみに鯖はXREAですw
985:名無しさん@お腹いっぱい。
10/01/28 20:50:17
>>984
ぉぃw
986:名無しさん@お腹いっぱい。
10/01/28 20:50:50
毎日変えろ糞が
987:名無しさん@お腹いっぱい。
10/01/28 20:53:49
改ざんされたソース保存してて、ブラウザで閲覧してもまだavast!では検出されませんね。
反映されるまで時間かかるのかな?
988:925
10/01/28 20:55:53
検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"
・やふー
URLリンク(search.yahoo.co.jp)
・えきさいと
URLリンク(www.excite.co.jp)
つーほしてくれた人>乙です
989:名無しさん@お腹いっぱい。
10/01/28 20:55:56
987=984です。
>>986
パスワードの変更の仕方がよくわからんのよ
990:984
10/01/28 21:03:06
>>988
けっこう改ざんされてるとこあるんだね。通報してくれた人本当に乙です
991:名無しさん@お腹いっぱい。
10/01/28 21:06:28
>>988
その中から探してきてくれたあなたこそ乙ですぽ。
992:名無しさん@お腹いっぱい。
10/01/28 21:07:31
>>988
J U M P E R Z . N E T - BBS -
感染のオンパレードわろた
993:名無しさん@お腹いっぱい。
10/01/28 21:07:46
>>984
XREAってこれのこと?
URLリンク(www.so-net.ne.jp)
994:984
10/01/28 21:09:00
パスワード変更の方法が分かりました。これからは定期的にパスワード変更します。
995:名無しさん@お腹いっぱい。
10/01/28 21:09:23
次スレ誘導
スレリンク(sec板)
※このスレが重複したやつだが気にすんな
996:984
10/01/28 21:12:40
>>993
今回の改ざんはそうかもしれないですね。でも前回は、今月の中旬頃でした
997:名無しさん@お腹いっぱい。
10/01/28 21:15:26
>>996
OSのクリーンインストールもしてね。
998:名無しさん@お腹いっぱい。
10/01/28 21:20:49
So-net 三つの謎
※中の人ねらー疑惑
※何故マカフィーなのか
※中の人は美少女なのかオサーンなのか
999:名無しさん@お腹いっぱい。
10/01/28 21:23:41
>>998
3番目が最重要だにゃ。
↓1000どぞー
1000:名無しさん@お腹いっぱい。
10/01/28 21:24:09
>※中の人は美少女なのかオサーンなのか
これだけは判る、きっとオサーンなのだw
1000ゲト!
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。