Home > セキュリティ関連 > 【再警告】ブログの改ざんに注意！

【再警告】ブログの改ざんに注意！

2008.03.22 Saturday
セキュリティ関連

　
※18:40 一部加筆しました / 23:15さらに追記 / 3/23 11:30さらに追記
※3/24 11:50 さらに追記
※3/25 8:50 記述の一部（緊急告知部分）を削除

ブログ改ざん被害の続報です。
以前とりあげた<iframe>による別サイトの呼び出しではなく、<script>タグを利用した外部スクリプトの呼び出しでトロイの木馬をダウンロードさせるタイプの新しい罠が確認されました。おそらく2月末～3月はじめにかけて報告されたものと同じ、Realplayerの脆弱性をついてPOLのパスワード記録ファイルを盗むものです。

最新情報は　→こちら
（ネ実アカウントハック情報スレの本スレ）※3/25 21:50埋まりました

ブロガーの方は自分のサイトのテンプレートの再チェックを。
読者の方は、念のためPOLパスワードの変更と、アンチウィルスソフトによるスキャンをおすすめします。

なお、パスワード変更時に、かならず「パスワードを保存しない」設定を選んでください（重要！）現在発見されているほとんどのマルウェアは、POLのパスワード保存ファイルをこっそり外部に送信してその内容からIDとパスワードを特定しています。面倒でも、ログインの都度パスワードを自分で入力するように設定してください。

ここまでサポセン休業日を狙い撃ちされて被害が広がってるんだから、いい加減に週末も対応しろよヽ(;´Д`)ノ　＞■e

※3/24さらに追記
発覚を遅らせるための工作もされているようです。
・ブログのテンプレ書き換え後、しばらく経過してから正常に戻す
　（一定期間後再度書き換えられる可能性あり）
・ハックしたアカウントのパスワードを一時書き換え後、元に戻す
巡回先のブログが「今は」正常だからといって安心しないでください！
POLに「今は」正常にログインできるからといって安心しないでください！
心当たりがある人もない人も、一度自分の環境をチェックして
怪しいところがないか確認を！
くそぅなんでこんなことを何度も何度も書かないといけないんだ。

以下は詳細（●●　RMT業者の垢ハックが多発している件14　●●より抜粋）。

　
　

----
■改ざん被害にあったブログ主の方の報告。
「ブログのテンプレ書き換え→元に戻す」ところまでやってるらしいです。ちなみに「某有名ブログの中」の人は、これまでにコテハン＆トリップ付で何度もネ実（主に検証系）のスレに書いている人です。信憑性は高いと猫の中の人は判断します。

40 ：（某有名ブログの中の人）：2008/03/24(月) 04:37:53.33 ID:*****
>>21
テンプレ改竄問題は知ってたけど、
ウチがテンプレ改竄されたの今知って飛んで来たところなんだが
毎日毎日業者のコメントがウザかったので丁度数日前にhttp://をNGワードにしたんだよな
その報復なんだろうか
でテンプレチェックしてるんだけど、どう直せばいいのか教えて欲しいんだが
テンプレには%77とか入ってないぞ？

45 ：既にその名前は使われています：2008/03/24(月) 04:43:33.34 ID:*****
>>40
（某有名サイト）の人こんばんは
私が夕方に見たときにはすでに無くなってたのでなんとも

46 ：既にその名前は使われています：2008/03/24(月) 04:43:37.03 ID:*****
>>40
本人キター、って・・・あれ？直してないの？
ソースチェッカーで改ざんされてたのをオレは確認してて、
ソースが消えたのも確認したんだが・・・・なんで消えたんだろう？

47 ：（某有名ブログの中の人）：2008/03/24(月) 04:44:07.46 ID:*****
というかもう直ってるの？>>21でしれっと直してって書いてあるんだけど
俺は何も弄ってないんだけどな

３週間くらい前だったかな？ブログにFC2のブログがハックされて～
（サイト名）さんも注意してくださいってブログにコメントくれた人が居たんだよね
でその時もチェックしたけどそれっぽいのは無かったし

51 ：既にその名前は使われています：2008/03/24(月) 04:49:45.63 ID:*****
iframeもなかったのかな。勝手に消えたって、業者が埋め込んでまた消すってあるのかな？？？

57 ：既にその名前は使われています：2008/03/24(月) 04:56:23.92 ID:*****
>>47
エントリーのブロックが終わって
<<--！コメント-->>の直下に
＜script language="javascript"
　src="hｘｘp://%77%77%77%（※註：誤操作による被害防止のため削除）"＞＜/script＞
こんなんがあった
本来はhttpだったが誤アクセス防止にｘｘにしといた。

本人が直したんじゃないってことはグーグルに気づかれたために業者が直したかのかな
（サイト名）をグーグルで検索すると危険サイトに指定されている。

59 ：既にその名前は使われています：2008/03/24(月) 04:58:18.68 ID:*****
>>55
広告が原因って意味不明なんだが
ちなみに（上記のサイトとは別の改ざん被害サイト）は最初ｉｆｒａｍｅだったのがいつのまにかscriptにかわってた
業者が何度も改竄してるとみるべきじゃねーか？

60 ：（某有名ブログの中の人）：2008/03/24(月) 05:02:56.71 ID:*****
3/19の夜にhttp://をNGワードにしたんだよな
それからパッタリ業者のコメント無くなってたんだが
それの報復ぽよなぁ。
となると3/19以降に仕掛けられた可能性が高いと思う。
つーか他のFC2のサイトと違うテンプレ使ってるし
防ごうとして防げるのこれ？

62 ：既にその名前は使われています：2008/03/24(月) 05:04:26.58 ID:*****
>>60
テンプレ何つかってるとかそういう問題じゃない
あとNGとか関係ねーとおもうよ
割とアクセス多いところを狙ってるみたいだし

最初は検索トップにでるサイトだけだったが
今はなりふり構わず無差別になりつつある

66 ：既にその名前は使われています：2008/03/24(月) 05:06:33.24 ID:*****
>>60
自分で直したんじゃないのなら業者が再利用するために消したって可能性あるね。
まずはfc2のパスワード変えてみたらどうだろう？

■こちらはパス抜き被害に合われた方の報告。

・パスワードを変えられてPOLにログインできなくなった
・とりあえずPCをチェックしてみた（大量にウィルス検出されたorz）
・翌日POLにログインできた
・ちょっとまてなんで昨日ログインできなかったのに今ログインできたの？
という流れ。

123 ：既にその名前は使われています：2008/03/24(月) 09:36:11.19 ID:*****
これが落ち着くまでの最後の書き込みです。
>>119
会員情報で自分が操作した履歴を見れるんですが
機能私が変更したのは一回だけですが↓のような結果が…orz

サービス利用履歴の確認 > プレイオンライン
年月日サービス名アクション
2008/03/24 プレイオンライン
POLパスワード変更
2008/03/23 プレイオンライン
POLパスワード変更
2008/03/23 プレイオンライン
POLパスワード変更
2008/03/23 プレイオンライン
POLパスワード変更
2008/03/23 プレイオンライン
POLパスワード変更
2008/03/03 プレイオンライン
POLパスワード変更

つまり自分では1回しかパスワード変えた覚えがないのに何故か何度も変更されている形跡がある……ということらしいです。
　

Comments:4

ぬこ 2008/03/22 04:32 PM: 対応はやっ
乙であります
にゃんこ ◆j7Y5ApadNQ 2008/03/22 06:41 PM: ペコろぐ。さんとうちは読者さんがかぶってるので、
緊急措置として告知させていただきました。
少しでも被害が未然に防げればよいのですが。
　
逆毛 ◆u0qjpme9BM 2008/03/23 12:37 AM: 勉強させていただきました・・・・
世知辛すぎますね・・・最近
気をつけます、ありがとうございました
どうぞお気を落としになられないよう・・・
にゃんこ ◆j7Y5ApadNQ 2008/03/23 09:02 AM: 他にも有名どころでいろいろ見つかってるようですね(´Д｀;)ヾ
ほんとにここまでくると何を信用していいのやら。
うちは今のところ無事みたいですが気をつけないと。