【Gumblar/GENO】Web改竄ウイルス総合11【8080】

1 ：2012/08/14 〜 最終レス ：2013/09/14

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
＊＊＊ 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ＊＊＊
前スレ
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://kohada.2ch.net/test/read.cgi/sec/1279692828/

2 ：

Gumblar(.x)、8080系ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す

※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1）管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

3 ：

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

4 ：

ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer　ツール→インターネットオプション→セキュリティ→
　　レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
　　※ActiveXもOFF
●Opera　ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari　編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir　ツール→Sleipnirのオプション→ビュー（Trident）→
　　デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape　ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
　　※SP3でIE8を使うと重くなる場合、Sleipnir＆IE8Sleipnirエディション
　　　もしくはLunascape5を使うといいようです。
●Firefox　ツール→オプション→コンテンツでJavaScript有効にするをはずす

5 ：

ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
ttp://www.gred.jp/
・aguse
ttp://www.aguse.net/
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html

6 ：

改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/

サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック https://www.value-domain.com/webabuse.php
OCN http://www.ocn.ne.jp/info/rules/abuse/
さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml
ロリポップ https://lolipop.jp/support/inq/
GMOインターネットグループ https://secure.gmo.jp/contact/
インフォシーク (isweb) http://portal.faq.rakuten.co.jp/
DION http://www.auone-net.jp/security/knowledge/navi/index.html
NTTPCコミュニケーションズ http://www.nttpc.ne.jp/
ODN https://www.odn.ne.jp/support/question/input_netabuse.html
xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php
heteml ヘテムル https://secure.heteml.jp/support/inquiry/
ファーストサーバ http://www.firstserver.co.jp/contact/index.html
エキサイト http://www.excite.co.jp/help/support

7 ：

改竄を受けたら
ウイルス・不正アクセス届出状況について（3月分および第1四半期）
http://www.ipa.go.jp/security/txt/2010/04outline.html
（3）ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害（ウイルス感染など）の説明
・ ウイルスのチェック方法の説明（必要に応じてオンラインスキャンサイトの紹介など）
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/index.html

8 ：

■ 専ブラで右クリからの検索を有効にする方法。
設定例：JaneView
設定＞基本＞機能＞コマンド欄で
コマンド名　任意の名前
実行するコマンドに　任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

9 ：

>>8
WebGetterのドメインが変更になったもよう。
rd.or.tp → rd.or.tl

10 ：

.

11 ：

そ・う・か
氏・ね
そ・う・か
氏・ね　
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね　
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね　
そ・う・か
氏・ね
そ・う・か
氏・ね

12 ：

天麩羅以外殆どレスがついてないな。平穏で何より。

13 ：

さらみ復帰かきこ

14 ：

「Adobe Reader」の「サンドボックス」を回避する脆弱性はなぜ危険か（トレンドマイクロ）
scan.netsecurity.ne.jp/article/2012/11/28/30520.html
＞このエクスプロイトは、JavaScriptがソフトウェア上で無効になっている場合でも実行される。
＞ユーザが必要とされる唯一のやりとりは、PDFファイルを開き、Webブラウザを閉じるだけで、
＞それだけで脆弱性が悪用される。

15 ：

「ITSOKNOPROBLEMBRO」
It's OK no problem bro.
「bro」って、なんじゃろ？

16 ：

JPドメイン　Web改竄速報
tp://izumino.jp/Security/def_jp.html

17 ：

いろんなCMSがあるのね
ぱっと見、Joomla! 1.5が多いなん
「Joomla!」ってのはLTSが2.5で、まいなうｐだてJoomla! 2.5.8になってるね
トップページにMETA HTTP-EQUIV="Refresh"〜仕込まれてるとこがあるる
こりは故意にやってるのかどーかわかんね
どーすべさ

18 ：

＞＜ ；
> このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります。
ぁぅぁぅぁー
検体8080を送ったら、ベンダーからの返信がみーんなこーなってた…
って、ことは改竄サイトのホスティングにはつーほーめる届いてないかもん

19 ：

[Google セーフ ブラウジング診断ページ: microad.jp]
http://www.google.com/safebrowsing/diagnostic?site=microad.jp/
microad.jp は、過去 90 日間に 21 個のサイト（www34.atwiki.jp/no1mixisagi/, www16.atwiki.jp/godeaterburst-wiki/, soccer-douga.com/ など）への感染媒体となっていた形跡があります。

20 ：

RedKit Redirector Injected into Legitimate JavaScript Code | Xanda's Blog !~!
http://blog.xanda.org/2013/02/15/redkit-redirector-injected-into-legitimate-javascript-code/
マルウエア被害の実例と対策について || Joomla日本語コラム
http://www.joomla.jpn.com/joomla/column/joomlacolumn/1083-vol189.html
マカフィー株式会社 |　McAfee Blog - 最新のエクスプロイトキット、Red Kit
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1351
CMS以外のサイトもパパンがパンデミック
こうしてる合間にもまかひはEXTRA.DATを生産中
ひげおじさんもあびらもまいくろそふともがむばってます

21 ：

RedKitリダイレクターけっこう多いよね (´ω｀)
RedKit設置されてるサーバー
ぜんぶ正規のサイトだもんだからイヤラシイことこの上ない

22 ：

ESET参戦
> Dear ○○,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> *********_ahhd.htm_i.txt - JS/Exploit.Agent.NEN trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
>
> Regards,
>
> ESET Malware Response Team

>>21
もうね、どーしよーもにゃー
検体送付とつーほーがワンセット サンセット イーセット
(-Д-) ｻﾑｲﾈｪ

23 ：

>>20
> Hello,
>
> The files sent to us could be allocated to the following malware families:
>
> - EXP/Pidief.dtd
> - JS/Dldr.Agent.ahi
>
> The detections and repair routines of the malware samples will be available prospective with one of next update of the VDF.
>
> Best regards,
> Avira Sdn Bhd
うほ

24 ：

>>20のマカフィーが説明しているRedKitの中間Scriptが単純化したのを確認すた。。。しかも相対パスだぼ
現状、呼び出されるjar(exe)で検出されるのを待つしかにゃー
jar(exe)の進捗状況
Detection ratio: 6 / 45
Analysis date: 2013-03-14 12:13:28 UTC
↓
Detection ratio: 11 / 45
Analysis date: 2013-03-14 18:21:34 UTC
Analysis
Antivirus Result Update
DrWeb Trojan.DownLoader8.5817 20130314
Emsisoft Trojan.Win32.Agent.AMN (A) 20130314
Fortinet W32/Yakes.B!tr 20130314
Ikarus Trojan-Downloader.Win32.Karagany 20130314
Kaspersky UDS:DangerousObject.Multi.Generic 20130314
Malwarebytes Trojan.Agent.BVGen 20130314
McAfee PWS-FAQO!C7C63B63204E 20130314
Panda Suspicious file 20130314
TheHacker Posible_Worm32 20130314
TrendMicro PAK_Generic.001 20130314
TrendMicro-HouseCall TROJ_GEN.RC1H1CE 20130314
検出できないかもしれない中間Scriptとjar(exe)をメルで送れるベンダーに検体提出しました。

25 ：

国内Webサーバの大規模改ざん発生中。アクセスすると別サイトから自動的にマルウェアダウンロード
http://engawa.2ch.net/test/read.cgi/poverty/1363534745/

26 ：

国内Webサーバの大規模改ざん発生age

27 ：

【社会】環境省サイトが改ざんされる…閲覧者がウイルス感染する危険も
uni.2ch.net/test/read.cgi/newsplus/1363506806/
環境省に聞いてみました
改ざんされてると分かったのはなぜ？
ゼロデイ・ジャパン(0day.jp) | セキュリティ＆マルウェア研究所
0day.jp/
↑
ここで告知されていたからとのこと

28 ：

924 ：名無しさん＠お腹いっぱい。：2013/03/18(月) 16:11:10.81
環境省サイト改ざんウイルス
https://www.virustotal.com/ja/file/a22fdaff19722f4a4d92df3f0057761cf6834a36eb54862938b77ce6ee4539bc/analysis/1363349552/
https://www.virustotal.com/ja/file/a1bf517e91726f5e5dd57640b35e7bd4fc203ad843bbc7cdc472004a8d644933/analysis/1363559122/

29 ：

■NSX GT-ONE GT-ROM.NET
www●gt-rom●net/
>このサイトはコンピュータに損害を与える可能性があります。

30 ：

>>24
EXEのダウンロードパスが固定数値からランダム数値に切り替わってるね
xxxx.htm
yyy.jar
??.html ← EXEが入手できん！ (´ω｀)
>>29
改竄されてて
最終的にCridexというマルウェアの感染となーる

31 ：

ぅほっ
一日見ない間になんかすごいことに
>>25-28
リストが多くて挫折したのさ。。。orz....
>>29
ｱｯｰ
>>30
やっぱランダムだたのね
>24以後、DLできなくなたー
決め打ちもできんくなたー

32 ：

感染サイト一覧
unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html

つまり、周知キャンペーンw

33 ：

＜愛国者とネトウヨの11の違い＞
理路整然と意見を話すのが愛国者　　　　　　　　　　　　　出所不明な怪文書を貼るのがネトウヨ
　
有識で周りの評価が高いのが愛国者　　　　　　　　　　　　無職でプライドだけ高いのがネトウヨ
日本人である事を誇りに思うのが愛国者　　　　　　　　　　日本人である事だけが誇りなのがネトウヨ
討論で相手の愛国度をはかるのが愛国者　　　　　　　　　討論で相手を売国奴扱いするのがネトウヨ
君が代をきちんと歌えるのが愛国者　　　　　　　　　　　　　気味が悪いほどネットで吠えるのがネトウヨ
家族思いなのが愛国者　　　　　　　　　　　　　　　　　　　　　家族の重荷になっているのがネトウヨ
社会に出て一人前なのが愛国者　　　　　　　　　　　　　　　２ちゃんねるでだけ一人前なのがネトウヨ
　　
日本の歴史と政治に学が深いのが愛国者　　　　　　　　　　２ちゃんの書き込みとレスが不快なのがネトウヨ
日本人が逮捕されると残念だと嘆くのが愛国者　　　　　　　日本人が逮捕されると通名だとわめくのがネトウヨ
日本の事を敬虔（けいけん）に思っているのが愛国者　　　自分の事を聖戦士だと思っているのがネトウヨ
投票で清き一票を入れるのが愛国者　　　　　　　　　　　　　妄想でキモい文章を作るのがネトウヨ

34 ：

私は
一庶民
カスミソウの様に
密やかに

35 ：

>29 VTで検出されるよーになたー
難読化されたScript
BitDefender JS:Trojan.Crypt.MF
F-Secure JS:Trojan.Crypt.MF
GData JS:Trojan.Crypt.MF
Ikarus Exploit.JS.Blacole
MicroWorld-eScan JS:Trojan.Crypt.MF
nProtect JS:Trojan.Crypt.MF
呼び先のphp
Microsoft Exploit:JS/Blacole.GB
Sophos Mal/ExpJS-N
こっからさきはRんかった
ESETとひげおぢさんからめる
ESET
JS/Kryptik.AII trojan
JS/Kryptik.AIK trojan
JS/Exploit.Agent.NEO trojan
ひげおぢさん
Trojan-Downloader.JS.DarDuk.lb

CsideNet様から受領のお返事来てました。
VTとかが反応してきたので対応されるかと思ふぽ
頻繁に更新してるようですが
ドメインがSPAM扱いされてるようになったみたいで、検体メルで送り辛い ＞＜；

36 ：

あげ

37 ：

あびらからもきてた>35
JS/Expy.B〜F

38 ：

>>35
乙でし。
>Last-Modified: Tue, 19 Mar 2013 12:42:23 GMT
>Last-Modified: Tue, 19 Mar 2013 13:27:15 GMT
凄い勢いで更新？
※電話がボボンで代行依頼 orz ありがとう代行さん...

39 ：

>>38
お疲れ様です
4種類ぐらいのScriptが繰り返し交互に変わっているようです
happy-lemon、apmsolucionesweb、speciaalaangepast、vedelaar
んでそれぞれさらに違うとこへ誘導
ipodのとこには古い8080が（ｒｙ

40 ：

ぼぼん解除てすｔ

41 ：

>>24のRedKitの中間Scriptが難読化した
現状まかひのみ対応
File type: HTML
Detection ratio: 2 / 46
McAfee Exploit-Rekit.f 20130402
McAfee-GW-Edition Exploit-Rekit.f 20130402

42 ：

Exploit Kit が設置されてたはずのサイトへ逝ってみた
トップページには
> Hacked By CompLeXx* & XIX
( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼

43 ：

Trojan-Downloader.Win32.Karagany
新KwバルスECM:
90 34 00 00 21 00 17 02 0d ee 0c 56 5d 8a 9a 88 20 3c 69 26 e0 70 c0 dc 5c 04 15 de c8 a2 9f 0d be 5a 1b d8 e1 98 00
timeta70bledeva.ｒｒ．nu
https://www.virustotal.com/ja/url/ad520632542fa49f1a301af12c75b47925bedccc5f7964872dfbdc4b7938a52c/analysis/1364931178/
Mal/HTMLGen-A
n8vlzd5e9h.diipl.ｃｏｍ
https://www.virustotal.com/ja/url/ed70555e53241290b281985d0988ca0f8e8f898ee5d465f817ae966d0c124752/analysis/1364931361/
Mal/HTMLGen-A
https://www.virustotal.com/ja/url/a03758a568622c159348ce323beb9085367ed71afde257162b10a40528cb7007/analysis/1364931554/
ESET Malware site
Google Safebrowsing Malware site

44 ：

Google セーフ ブラウジング
このサイトは危険にさらされている可能性があります
http://www.stopforumspam.ｃom/ipcheck/
http://support.google.com/websearch/answer/190597?hl=ja

45 ：

BlackHole Exploit Kit Redirectorだと思うけど
ランダムにExploit Kitサイトや金融系っぽいサイトに飛ばされるので新手のフィッシングかと思ってたら
自分でも知ってるbloombergにも逝っちゃた
どうやらノーマルなサイトと混ぜて飛ばされるみたい
金融系の末尾あたりに付く「LBTG」ってなんじゃろか？
株価チャートのことかなん

46 ：

>>45の亜種
ひげおぢさんから自動お返事の件名「[!!Spam KSE]Re: 〜」
途中誘導されてるとこの一つのアドレスが薬物(Viagra等)販売サイトなのでこーなった…
他のベンダーに届いているのか心配
>>45との共通点
：ﾀｸﾞの文字列
：難読Script　デコードめんどいからaguse最高(´∇｀)　gredでも確認でけるYO
：誘導先に金融系サイトが混ざっている模様。恐らく検出逃れかと

47 ：

>>45
BitDefender Trojan.JS.Iframe.DDE 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415

48 ：

>>45
別件だけど関連
http://kohada.2ch.net/test/read.cgi/sec/1160377080/822

49 ：

>>47
Antivirus Result Update
BitDefender Trojan.JS.Iframe.DDE 20130415
DrWeb JS.IFrame.418 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415
Ikarus Trojan.JS.IFrame 20130415
Microsoft Trojan:JS/BlacoleRef.DD 20130415
MicroWorld-eScan Trojan.JS.Iframe.DDE 20130415
nProtect Trojan.JS.Iframe.DDE 20130415
TrendMicro-HouseCall TROJ_GEN.F47V0415 20130415

これくらい検出されれば、改竄されたことに気付くかなん

50 ：

>>46
BitDefender Trojan.Script.CDK 20130416
Commtouch JS/IFrame.RS 20130416
DrWeb JS.IFrame.418 20130416
Emsisoft Trojan.Script.CDK (B) 20130416
F-Prot JS/IFrame.RS 20130416
F-Secure Trojan.Script.CDK 20130416
GData Trojan.Script.CDK 20130416
Microsoft Trojan:JS/BlacoleRef.CZ 20130416
MicroWorld-eScan Trojan.Script.CDK 20130416
nProtect Trojan.Script.CDK 20130416
Sophos Mal/Iframe-AO 20130416
TrendMicro-HouseCall TROJ_GEN.F47V0414 20130416

51 ：

>>49
Avira
JS/Iframe.CI
HTML/Iframe.CN
JS/Iframe.CL

52 ：

>>45
また変わった
パパンがパンデミック
DrWeb JS.IFrame.418 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416

中間Script
McAfee Exploit-Rekit.f 20130416
Norman RedKit.B 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416

BlackHoleもRedKitも同じ中間Scriptになったのかな？ ＞ Norman

53 ：

>>52増えた
BitDefender Trojan.JS.Agent.IYS 20130417
Commtouch JS/IFrame.RS.gen 20130417
DrWeb JS.IFrame.418 20130417
Emsisoft Trojan.JS.Agent.IYS (B) 20130417
F-Prot JS/IFrame.RS.gen 20130417
F-Secure Trojan.JS.Agent.IYS 20130417
GData Trojan.JS.Agent.IYS 20130417
Ikarus Trojan.JS.BlacoleRef 20130417
McAfee JS/Blacole-Redirect.aa 20130417
Microsoft Trojan:JS/BlacoleRef.DD 20130417
MicroWorld-eScan Trojan.JS.Agent.IYS 20130417
Norman Blacole.TB 20130417
nProtect Trojan.JS.Agent.IYS 20130417
TrendMicro-HouseCall TROJ_GEN.F47V0416 20130417
確認できてから三度改竄されてるけど
どんなセキュリティソフト使ってんだろ？
Fxやちょろめ、ぐぐるを使わないんだろか？
孫やほーだと警告でにゃーし
とっくの昔に直接めるしてるし
NTTPCコミュニケーションズからも通達されてるはずなんだけど。。。
ドメインがスパムとかに登録されちゃってるのかな？
Wab上での機会損失関係ない企業なぬか？
ついったーやってるっぽいんだけどにゃー
ひょっとして蜜壷？

54 ：

>>53
四度目
AntiVir JS/BlacoleRef.CZ.7 20130418
Commtouch JS/IFrame.RS.gen 20130418
DrWeb JS.IFrame.418 20130418
F-Prot JS/IFrame.RS.gen 20130418
Ikarus Trojan.JS.IFrame 20130418
McAfee JS/Blacole-Redirect.aa 20130418
Microsoft Trojan:JS/BlacoleRef.DD 20130418
Norman Blacole.TB 20130417
つーほーめる届いてなくても
いーかげん気付かないかなん

55 ：

>>54
五度目
AntiVir JS/BlacoleRef.CZ.7 20130419
BitDefender Trojan.Script.CDS 20130419
Commtouch JS/IFrame.RS.gen 20130419
DrWeb JS.IFrame.418 20130419
Emsisoft Trojan.Script.CDS (B) 20130419
F-Prot JS/IFrame.RS.gen 20130418
F-Secure Trojan.Script.CDS 20130419
GData Trojan.Script.CDS 20130419
Ikarus Trojan.JS.IFrame 20130419
McAfee JS/Blacole-Redirect.aa 20130419
McAfee-GW-Edition JS/Blacole-Redirect.aa 20130419
Microsoft Trojan:JS/BlacoleRef.DD 20130419
MicroWorld-eScan Trojan.Script.CDS 20130419
Norman Blacole.TB 20130419
nProtect Trojan.Script.CDS 20130419
もうﾍﾞﾝﾀﾞｰに送る気力がにゃい

56 ：

こりもころころ変わるっぽい＞中間Script
Sophos Troj/ExpJS-II 20130419
55ひっくるめて送った＞ﾍﾞﾝﾀﾞｰ

57 ：

>>55
七度目
Detection ratio: 2 / 46
Analysis date: 2013-04-21 16:31:34 UTC
Antivirus Result Update
McAfee JS/Exploit-Blacole.ht 20130421
Norman Blacole.TH 20130421
六度目は>>47>>49とおなじものですた

58 ：

中間Script >>57
久しぶりにひげおじさん登場
Detection ratio: 18 / 46
Analysis date: 2013-04-21 17:25:00 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.7 20130421
BitDefender Trojan.JS.Agent.IYT 20130421
Commtouch JS/IFrame.RS.gen 20130420
Comodo UnclassifiedMalware 20130421
DrWeb JS.IFrame.418 20130421
Emsisoft Trojan.JS.Agent.IYT (B) 20130421
F-Prot JS/IFrame.RS.gen 20130420
F-Secure Trojan.JS.Agent.IYT 20130421
Fortinet JS/Agent.GWA!tr.dldr 20130421
GData Trojan.JS.Agent.IYT 20130421
Ikarus Trojan.JS.IFrame 20130421
Kaspersky Trojan-Downloader.JS.Agent.gwa 20130421
McAfee JS/Exploit-Blacole.eu 20130421
McAfee-GW-Edition JS/Exploit-Blacole.eu 20130421
Microsoft Trojan:JS/BlacoleRef.DD 20130421
Norman Blacole.TB 20130421
nProtect Trojan.JS.Agent.IYT 20130421
TrendMicro-HouseCall TROJ_GEN.F47V0420 20130421
単純化しちゃったのがまた出た
Detection ratio: 0 / 46
Analysis date: 2013-04-21 17:15:56 UTC

ねもい

59 ：

( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼
スパムとかのドメインがあったもより
まかひには送れない

60 ：

>>57
八回目…
Detection ratio: 6 / 46
Analysis date: 2013-04-23 04:15:16 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.8 20130423
DrWeb Exploit.BlackHole.182 20130423
McAfee JS/Exploit-Blacole.ht 20130423
NANO-Antivirus Trojan.Script.IFrame.bohxwi 20130423
Norman Blacole.TH 20130422
VIPRE Trojan.JS.Obfuscator.aa (v) 20130423

61 ：

> Dear *****,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> Regards,
>
> ESET Malware Response Team
いつもごめんよぉー
肝心の大ボス捕まえられなくて

62 ：

これまで蜜壷状態だったとこが正常になった模様です。
お疲れ様でした。
定点観測おはり

63 ：

こんな夜中にGMOの中の人が受理してくれました＞インシデント
ゴールデンなウィークですがお疲れ様です。
ありがとうございます。
この場を借りてお礼申し上げます。

64 ：

一回目
AntiVir JS/BlacoleRef.CZ.12 20130503
Avast JS:Decode-ADH [Trj] 20130504
GData JS:Decode-ADH 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
二回目
AntiVir JS/BlacoleRef.CZ.12 20130504
Avast JS:Decode-ADH [Trj] 20130504
BitDefender Trojan.JS.Iframe.DDQ 20130504
Emsisoft Trojan.JS.Iframe.DDQ (B) 20130504
F-Secure Trojan.JS.Iframe.DDQ 20130504
GData Trojan.JS.Iframe.DDQ 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
MicroWorld-eScan Trojan.JS.Iframe.DDQ 20130504
nProtect Trojan.JS.Iframe.DDQ 20130504
三回目
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
Script更新して殆どのベンダー半日もたんかった
てーてんかんそくなぬか
サイトの対応は早くても明後日、火曜日以降になるんだろーな

65 ：

>>64
> 三回目
増えた
BitDefender Trojan.JS.Iframe.DDT 20130505
Comodo UnclassifiedMalware 20130505
Emsisoft Trojan.JS.Iframe.DDT (B) 20130505
F-Secure Trojan.JS.Iframe.DDT 20130505
GData Trojan.JS.Iframe.DDT 20130505
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130505
MicroWorld-eScan Trojan.JS.Iframe.DDT 20130505
nProtect Trojan.JS.Iframe.DDT 20130505
TrendMicro-HouseCall TROJ_GEN.F47V0504 20130505

66 ：

覚音山　西徳寺
www●saitoku●net/
iframe name=Twitter scrolling=auto･･･
競馬の予想屋
keibaky●com
<!--c3284d--><script>try{1-prototype;}catch･･･

two2readblog●com
>不正なソフトウェアには 550 trojan(s) など
ｗｗｗｗｗｗｗｗ

67 ：

上二つGMO、ばりゅどめにつーほー

68 ：

別件ばぅぁー
ひげおぢさん
> Hello,
>
> New malicious software was found in the attached file. Its detection will be included in the next update.
>
> All these 4 files will be detected as Trojan-Downloader.JS.Iframe.ddg
>
> Thank you for your help.

>>64-65
なおた ヽ(´ー｀)ノ

69 ：

RedKit Exploit Kit Redirector Site 某所のJSファイル
AntiVir 　 HTML/TwitScroll.B 　 20130508
Avast 　 JS:Iframe-AML [Trj] 　 20130508
AVG 　 HTML/Framer 　 20130508
BitDefender 　 Trojan.Iframe.CBN 　 20130508
Commtouch 　 IFrame.gen 　 20130508
Comodo 　 TrojWare.JS.Iframe.FK 　 20130508
Emsisoft 　 Trojan.Iframe.CBN (B) 　 20130508
ESET-NOD32 　 JS/Iframe.HH 　 20130508
F-Prot 　 IFrame.gen 　 20130508
F-Secure 　 Trojan.Iframe.CBN 　 20130508
Fortinet 　 JS/Iframe.HH!tr 　 20130508
GData 　 Trojan.Iframe.CBN 　 20130508
Ikarus 　 Exploit.HTML.IframeRef 　 20130508
Kaspersky 　 HEUR:Trojan.Script.Generic 　 20130508
McAfee 　 JS/IFrame.gen.j 　 20130508
McAfee-GW-Edition 　 JS/IFrame.gen.j 　 20130508
Microsoft 　 Exploit:HTML/IframeRef.DM 　 20130508
MicroWorld-eScan 　 Trojan.Iframe.CBN 　 20130508
NANO-Antivirus 　 Trojan.Html.TwitScroll.bklyhq 　 20130508
Norman 　 Iframe.UW 　 20130508
nProtect 　 Trojan.Iframe.CBN 　 20130508
PCTools 　 Trojan.Webkit 　 20130508
Sophos 　 Troj/Iframe-JG 　 20130508
Symantec 　 Trojan.Webkit!html 　 20130508
VIPRE 　 Malware.JS.Generic (JS) 　 20130508
おしんさん、がむばって

70 ：

改竄サイトをホスティングにつーほーしてるなまかへ
ドメインがブロックされることが多いので、めんどいけどフォームからもつーほーしてね

71 ：

BlackHole Exploit Kit Redirector Siteの新種のScript
File type:　HTML
Detection ratio:　 1 / 46
Analysis date:　 2013-05-11 18:18:17 UTC
Antivirus 　 Result 　 Update
Norman 　 BlacoleRef.BA 　 20130511

んで、飛び先のひとつ
File type:　HTML
Detection ratio:　 6 / 46
Analysis date:　 2013-05-11 18:39:21 UTC
Antivirus 　 Result 　 Update
BitDefender 　 Trojan.Html.Fakealert.P 　 20130511
Emsisoft 　 Trojan.Html.Fakealert.P (B) 　 20130511
F-Secure 　 Trojan.Html.Fakealert.P 　 20130511
GData 　 Trojan.Html.Fakealert.P 　 20130511
MicroWorld-eScan 　 Trojan.Html.Fakealert.P 　 20130511
nProtect 　 Trojan.Html.Fakealert.P 　 20130510
ESETもどきに連れてかれたん

72 ：

apple-hikkoshi●co●jp/
403、404が改竄されとるんｗ
ishigo●sytes●net
※電凸済み

73 ：

>>72 コード
＜!-- . --＞＜iframe width="1px" height="1px" src="ｈｔｔｐ：／／ishigo●sytes●net/openstat/appropriate/promise-ourselves●php" style="display:block;" ＞＜/iframe＞＜!-- . --＞

74 ：

>>72
修正を確認すた…

75 ：

お疲れ様です。
某公益社団法人のサイトがやられていますた。＞BlackHole Exploit Kit
おしんにめる済み

76 ：

kusuo-o●net
ど　う　し　て　こ　う　な　っ　た　？
c o m m o n / j s / s c r i p t . j s

77 ：

gakunavi●net

78 ：

>>76-77
どーん
>76
>>75と同じBlackHole Exploit Kit Redirector
ユーザーへのメールは届かなかったみたい。
toやccが多いと不通になるようです。。。
>77
2013-05-07 08:28:11 UTC （日本時間 : 2013/5/07 17:28:11）にはVirusTotalに投げられてますた。

あきた寝る

79 ：

>>78
乙カレー丼
>>76はミンスのＨＰに投げてみた

80 ：

210●148●117●65/
色々な意味でｽｹﾞｪｗ

81 ：

>>76 の件
ミンスから返信
・鯖業者と相談して対応
・JPCERTにはミンス(党本部)から連絡済
とのこと。
kusuo-o●net
>ただいまメンテナンス中です。
>後日公開させていただきます。
見に行ったらメンテ中だた...

82 ：

>>80
逆引きもぁぅぁぅぁー
きゅう電工のWebフォームは漏れのメアドをスパム認定。。。orz......
上流のIIJにつーほー

>>81
他のページやjsは生きてるお　ﾌﾐﾀﾞｲかも
再要請すた。

83 ：

> 再要請
さくらにつーほ >>6

84 ：

>>82 >>76
ｱｰｯ　　　orz

85 ：

コテ忘れるし、sageてないし…　orz

86 ：

>>76
さくら対応
>>80
御本人様から対応のお返事頂きました

以上確認しました。
皆様お疲れ様です。 m(_ _)m

87 ：

BlackHole Exploit Kit Redirector
検体2通、いくつか宛先不通になってた
1通目は、薬物(Viagra等)販売サイトのドメインがあったので
同じとこ逝く2通目アドレス伏せたけど、中間スクリプトのドメインがNGだったもより orz...........
薬物販売サイトにも罠があるっぽい
File size:[TAB]50.3 KB ( 51517 bytes )
File type:[TAB]HTML
Detection ratio:[TAB] 2 / 47
Analysis date:[TAB] 2013-05-22 16:21:42 UTC
Antivirus [TAB] Result [TAB] Update
Avast [TAB] HTML:Script-inf [TAB] 20130522
GData [TAB] HTML:Script-inf [TAB] 20130522

88 ：

JaneViewの設定だお＞[TAB]
>87やりなおし
File size:　50.3 KB ( 51517 bytes )
File name:　pl.txt
File type:　HTML
Detection ratio:　 2 / 47
Analysis date:　 2013-05-22 16:21:42 UTC
Antivirus 　 Result 　 Update
Avast 　 HTML:Script-inf 　 20130522
GData 　 HTML:Script-inf 　 20130522
んで感染サイトのスクリプトは
File size:　8.4 KB ( 8624 bytes )
File name:　index.html
File type:　HTML
Detection ratio:　 4 / 47
Analysis date:　 2013-05-22 15:50:35 UTC
Antivirus 　 Result 　 Update
Fortinet 　 JS/Iframe.DDG!tr.dldr 　 20130522
Kaspersky 　 Trojan-Downloader.JS.Iframe.ddr 　 20130522
McAfee 　 JS/Exploit-Blacole.ht 　 20130522
NANO-Antivirus 　 Trojan.Script.Expack.bqgmvl
中間スクリプト
File size:　241 bytes ( 241 bytes )
File type:　HTML
Detection ratio:　 2 / 47
Analysis date:　 2013-05-22 16:12:15 UTC
Antivirus 　 Result 　 Update
McAfee 　 Exploit-Rekit.f 　 20130522
Sophos 　 Troj/ExpJS-II 　 20130522

89 ：

ァッｰ

追っかけてたら、辿り付いた
http://www.google.com/safebrowsing/diagnostic?site=ime.nu
クッションサイトだからかな

90 ：

RedKit Exploit Kit Redirector
ランダムな中間スクリプト
File type:　HTML
Detection ratio:　 3 / 47
Analysis date:　 2013-05-26 14:39:38 UTC
McAfee 　 JS/Exploit-Blacole.lt 　 20130526
McAfee-GW-Edition 　 JS/Exploit-Blacole.lt 　 20130526
Sophos 　 Troj/ExpJS-II 　 20130522
まかひとそふぉぉぉぉすががむばってるん
相変わらずこちらの環境ではﾌﾞﾂ落とせないままぽ

91 ：

memo
g01pack exploit kit
エフセキュアブログ : g01pack
http://blog.f-secure.jp/tag/g01pack

92 ：

>>91
現在の最新情報
エフセキュアブログ : g01packがシェア拡大の兆し
http://blog.f-secure.jp/archives/50701223.html

93 ：

www●muse●dti●ne●jp/~ohyes/

94 ：

>>93
お疲れ様です。
夢列車につーほーしますた。

95 ：

まだ直ってないようですが、
恐らくひげおぢさんがﾋﾟｺｰﾝしたら対応されるかも>93
んで関連
2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df/analysis/1166513002/
コメントしてる人やベンダーを責められないと思ふ
ひょっとして>>15なぬかようか

96 ：

>>95
MD5: 444bcb3a3fcf8389296c49467f27e1d6
http://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Ejaipa%2Eor%2Ejp%2Fevent%2Foki%5Fict2011%2F111215%5Fmicrosoft%5Fhan%2Epdf

97 ：

www●trajal●net/k-b●html
www●f-airline●com/
lukes-world●co●jp/
www2●patt●gr●jp/~ryo/

98 ：

松浦とみよし 市議会議員
www4●ocn●ne●jp/~tomiyosi/
連絡したのにこの状態。。。

99 ：

>>97-98
お疲れ様です。
つーほーしました。
以前にもつーほーしたのがあったやうな
つーほー漏れかなん。。。orz...........

100 ：

申告しても対処しないサイト
www●yanagita-kk●co●jp/
www10●ocn●ne●jp/~kuushuu/ussbsindex●html
www●arpak-cdc●co●jp/
w01●tp1●jp/~a541677231/
nanaplan●jp/kako_kenngakusai●html
ir06●com/
www●garage-yamato●com/
www●fp-kazuna●com/insu/
www1●hinocatv●ne●jp/baba/
harakirievent●toypark●in/

101 ：

archivo-semiotica●com/
www●dorf●co●jp/access●html
www●utsunomiya-es●com/
mado-works●com/staff●html
www●86919●com/
xn--n8jxcwb2fra8229bokzg●com/
angelstone●co●jp/
bbs-beppin●com
www●presen●co●jp/SERV●html
harmony8●com
g2g2●jp/
caiquesarepeopletoo●com/
cairo123●com/
www●antwarp●jp/souvenir/monthly_select/

102 ：

>>100乙です
�Aまで上流に電話連絡済（対応する旨の事）
残件8
>>101乙です
残件14

103 ：

>>102
>>102
�Cまで済
尚、�Cに関しては、HI BIT 経由の情報として
警視庁サイバー犯罪対策課がHPの所有者に連絡済とのこと

104 ：

>>103
残権に関しては、警視庁のお手並み拝見ということで撤収

105 ：

何ヶ月も放置する駄目なOCNのユーザが大量感染
OCNはあてにならないので直接ユーザのメルアドに警告中。
メルアドがないのを助けてください
www1●ocn●ne●jp/~ganja/
www1●ocn●ne●jp/~oohata/
www1●ocn●ne●jp/~takano8/
www11●ocn●ne●jp/~uten/
www12●ocn●ne●jp/~kaido/rw/

106 ：

www14●ocn●ne●jp/~yu4127/
www15●ocn●ne●jp/~nakanoah/
www15●ocn●ne●jp/~toshikaz/
www15●ocn●ne●jp/~vento/
www17●ocn●ne●jp/~skynet/
www18●ocn●ne●jp/~answer/
www18●ocn●ne●jp/~cos/

107 ：

４０件はHPのメルアドに警告完了
wwww2●ocn●ne●jp/~esi/
www18●ocn●ne●jp/~myouga/
www2●ocn●ne●jp/~littleb/
www2●ocn●ne●jp/~seafood/
www2●ocn●ne●jp/~skbld/
www2●ocn●ne●jp/~suwan/
www3●ocn●ne●jp/~charinko/
www3●ocn●ne●jp/~nino38/

108 ：

www4●ocn●ne●jp/~htgifu/
www8●ocn●ne●jp/~bito/
www8●ocn●ne●jp/~gzwave/
www8●ocn●ne●jp/~k-chico/
www9●ocn●ne●jp/~alingo/

109 ：

皆様お疲れ様です。
>>105-108
以前の分でおしんにめる届いてたっぽいので纏めてつーほ
フォームどーすべ
>>104
なので診ませんですた。>>100-101
目がｲﾀｲのでしばしﾘﾀｲｱ
さいとあどばいざがｇｄｇｄ。。。orz............

110 ：

>>109
お大事に
>>105-108
連絡完了
OCNの中の人へ
対応窓口を誰にも分かるよう明確に、対応フローをしっかりとね
ついでに↓も見ておくといいかも
jpサート http://www.jpcert.or.jp/
Web サイト改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2013/at130027.html
IPA https://www.ipa.go.jp/
2013年6月の呼びかけ「ウェブサイトが改ざんされないように対策を！」を公開しました。
https://www.ipa.go.jp/security/txt/2013/06outline.html
「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け
http://www.itmedia.co.jp/enterprise/articles/1306/04/news108.html
[データ] 「Webサイト改ざん」が急増、「ガンブラー」流行時に匹敵、IPAまとめ
http://bizmash.jp/articles/45655.html
国内サイト20件以上で、政治的な改ざんが発生 - 扇動しており規模拡大に警戒を
http://www.security-next.com/040525
国内Webサイト改ざん事例続報：攻撃手法の詳細と得られる対策の教訓
http://blog.trendmicro.co.jp/archives/7367
国内のWebサイトの改ざんが拡大中 | トレンドマイクロ セキュリティ ブログ ...
http://blog.trendmicro.co.jp/archives/3317
日本のWebサイト狙った改ざん攻撃に注意 - トレンドマイクロ
http://news.mynavi.jp/news/2013/05/31/282/index.html
国内Webサイト改ざん事例、攻撃手法の詳細が判明 ― トレンドマイクロ
http://is702.jp/news/1369/partner/101_g/

111 ：

>>105-108 知ってるとこあって驚いた。どうやってこんなに大量に感染サイトを見つけてくるんですか？

112 ：

ブラウザがブロックする元の情報となっている
stopbadware　です。

113 ：

>>110
�@のganjaに電話で確認してみました
OCNからの連絡はないとのこと
月曜以降に>>100の�Aに連絡した窓口に
お財布と相談しながら、もしかしたら連絡するかも

114 ：

ISPはOCNでだらしのないAbuseだし
何度もユーザにメールしても放置。
pacific-ocean●co●jp/

115 ：

あいぴーあどれすも ぁぅぁぅ

116 ：

icweb●jp/~mantashokudo/
www●fp-kazuna●com/insu/
showa-ts●co●jp/
www1●ocn●ne●jp/~niryo/
www32●ocn●ne●jp/~sirotaya/

117 ：

www4●ocn●ne●jp/~music-wa/
www6●ocn●ne●jp/~guuska/rink●htm
www6●ocn●ne●jp/~sumika/
www8●ocn●ne●jp/~waga/

118 ：

おぱようごぜぇやす
くこまでメルとかしまひた
補足
>>116にもあいぴーあどれす ぁぅぁぅがありますた
んで、いちばんすた、外部さいとが ぁぅぁぅ　こりもつーほ
>>117のいちばんすた、壊れてるけどAviraがぴこーん

119 ：

今北三ｇ・・・　orz

120 ：

OCNはこのスレを巡回リストに入れたとの事なので自助努力して貰いましょう
つまり、このスレのOCNの改ざんサイトは、OCNが自主的に対応するということです
あんまり頑張り過ぎると禿げたり目が痛くなるので少しは楽をしましょう＞＞all
>>110
追加
5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点
http://www.security-next.com/040688

121 ：

とはいえ>>113の>>110
�@のganja ← これはHPの所有者に電話したので閉鎖されている様ですが
�Aoohataは対応されていません
おそらくOCNは口先だけなのでしょうね
なので、警視庁サイバー犯罪対策課の方
お話した通り逮捕しちゃってください

122 ：

申告したものも真面に対応できないOCNが。。。
デタラメでしょうね。
昔に、出会い系サイトにたいし警察から警告を受けたホスティング屋が
対応が遅かったりしなかったとして幇助で捕まったことがありましたが
本当に逮捕してくれるといいですね。OCNだと良い刺激になるでしょう

123 ：

そういえばOCNのメアドがわかる２９サイトには、直接警告しましたが
５０％は２日で対処している。OCNの案内は対処の仕方の案内が駄目なんでしょうね。
期限も切って表示停止にもできないチキンがOCNということでしょう

124 ：

>>105
>>106
別経由で連絡先わかったとこに電凸。
ほとんど皆さんからの警告も、OCNからの警告も気づいてないです。
むしろ、こっちが疑われて「この電話番号を警察に言う」とか逆切れされた（泣）
やっぱりおしんに元から強制排除してもらうのがいいかもしんない。

125 ：

> システムメンテナンス作業に伴うサービス停止のお知らせ
>
> ただ今、システムメンテナンス中のため、
> 弊社ホームページをご利用いただけません。
>
> ご不便おかけしますが、しばらくお待ちください。
ｶﾞ━━━━━━��(ﾟдﾟlll)━━━━━━ﾝ

126 ：

んー、だめぽ
>>124
お疲れ様ですお疲れ様です。
それとなくJPCERTやIPAにこのスレのこと伝えてあるので……

127 ：

>>117のいちばんすた、Script追加されてた
ゆーどーさき こちらの環境だと>>96

128 ：

復帰カキコ
頭隠して尻隠さず ってのが某所にあるぽ
ﾌﾐﾀﾞｲかなん

129 ：

operation name:hyaena
http://engawa.2ch.net/test/read.cgi/isp/1370760773/

130 ：

いやービックリ！あのOCNが本当に止めましたよ。
それでは、OCNさん以下も止めてください
www1●ocn●ne●jp/~niryo/
www32●ocn●ne●jp/~sirotaya/
www4●ocn●ne●jp/~music-wa/
www6●ocn●ne●jp/~guuska/rink●htm
www6●ocn●ne●jp/~sumika/
www8●ocn●ne●jp/~waga/
www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm
www17●ocn●ne●jp/~skynet/

131 ：

www1●ocn●ne●jp/~agraph/
www1●ocn●ne●jp/~pageone/
www10●ocn●ne●jp/~akachanf/
www11●ocn●ne●jp/~gen0929/
www13●ocn●ne●jp/~yaesu/
www15●ocn●ne●jp/~yktk/
www17●ocn●ne●jp/~omura/

132 ：

www18●ocn●ne●jp/~b-miz/
www2●ocn●ne●jp/~kyowawin/
www2●ocn●ne●jp/~stkr/
www4●ocn●ne●jp/~sakura77/
www8●ocn●ne●jp/~daitou/
以下はリダイレクトページ
www17●ocn●ne●jp/~addtech/
www17●ocn●ne●jp/~kinsicho/

133 ：

OCNを動かしてくれた皆さん感謝です。
これも明日止まることを期待。。。

134 ：

それは無理かと
準備期間が必要でしょ（確認作業＋連絡＋猶予期間等々）

135 ：

むにゃむにゃねむい
先程フォームからつーほ>>6
すぐにお返事来ました。>>63
>>130-132
お疲れ様です。
>>120とゆーことで診ませんですた
って、いくつかつーほー済みのやうな…

136 ：

新規
www11●ocn●ne●jp/~sayacha/
www5●ocn●ne●jp/~fukuzen/
www7●ocn●ne●jp/~sclamp/

再感染（それも初めて見たパターン　新種？）
www16●ocn●ne●jp/~chesnuts/
Toppageだけ対処
www14●ocn●ne●jp/~teamf/touroku●html
www17●ocn●ne●jp/~clover4/cosmet_hair●html
www5●ocn●ne●jp/~sfuru/houshu/houshu_menu●htm
www8●ocn●ne●jp/~aikamu/company●html
www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm

137 ：

サーキュレーター探してたらいきなりMSEが開いた。
トロイの木馬ってのを検出して自動で削除画面が出る。
更新しても、そのたびに出る。
俺だけ？それともこの会社のページがだれかにやられたの？
株式会社ナカトミ　｜　45cm工場扇 OPF-45S
http://www.nakatomi-sangyo.com/fan/opf-45s.html

138 ：

Trojan:JS BlacoleRef.CZ
と名前はでてる
他にも一緒に入れられる？MSEはそれしか検出してないんだけど

139 ：

誤検出っぽい。お騒がせした。

140 ：

Aviraがﾋﾟｺｰﾝ
つーほー作業に入ります。。。

141 ：

つーほすた

142 ：

www●horizonz●co●jp
satochokusen●co●jp

143 ：

>>130-132,136
なかなか対応されないので電話してみました
訃報です
OCNはこのスレの巡回を止めたそうです
正規のフロー（フォームから）に従って連絡があれば対応するとのこと
お問い合わせフォーム
http　s://　cgi01.ocn.ne.jp/support/abuse/blog.html
今回は罪滅ぼしの意味合いで私がフォーム発射＆完了
＆担当部署（セキュリティ）に電話

144 ：

皆様
お疲れ様です
>>142
NTTPCコミュニケーションズにめるしました。
>>143
ｶﾞ━━━━━━��(ﾟдﾟlll)━━━━━━ﾝ

145 ：

閑話休題　漏れがVTに投げた懐かしの8080
https://www.virustotal.com/en/file/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921/analysis/1262711933/
SHA256:　64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921
File size:　4.5 KB ( 4651 bytes )
File name:　JavaGame.jar
File type:　JAR
Detection ratio:　 8 / 41
Analysis date:　 2010-01-05 15:35:32 UTC
2年半経って誰かが投げてた
https://www.virustotal.com/en/file/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921/analysis/1340451906/
File size:　4.5 KB ( 4651 bytes )
File name:　jar_cache8170738606501754937.tmp
Detection ratio:　 31 / 42
Analysis date:　 2012-06-23 11:45:06 UTC
同じ日に漏れがVTに投げた8080
https://www.virustotal.com/en/file/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4/analysis/1262711712/
SHA256:　a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4
File size:　63 bytes ( 63 bytes )
File name:　win.jpg
File type:　unknown
Tags:　exploit
cve-2008-0015
Detection ratio:　 20 / 41
Analysis date:　 2010-01-05 15:38:31 UTC
3年経って誰かが投げたの
https://www.virustotal.com/en/file/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4/analysis/1363173304/
File name:　win[1]
Detection ratio:　 16 / 45
Analysis date:　 2013-03-13 11:15:04 UTC
定期的に誰かが過去のﾌﾞﾂを診てるんだろか
しかも検出率が下がってるのがあるってのは……

146 ：

http://kohada.2ch.net/test/read.cgi/sec/1370942055/10
いつもお世話になってます。 m(_ _)m
改竄数20倍かぁ。。。

147 ：

www●miwax●co●jp/
nishikutu●co●jp/
chiyoda-nagoya●co●jp/
kaigokeieigakkai●jp/
www●hanabusa-office●jp/
casinotaro●com/
coscos●info/
orpheus●6●ql●bz/top●html
defi-pro●com/
himesou●jp/
www●eekuchikomi●com/
www●deaipeace●com/

148 ：

queenuruga●weblog●tc/
77x●info/
bukyu●net/
etaiken●info/
www●etaiken●info/
safetyzone●jp/
curesmile●net/

149 ：

>>147
�Hdefi-pro●com/　連絡済
�Ihimesou●jp/　404
�D�E�F�J�K　デジロックは放置
>>148
�@�A�B�C�D　デジロックは放置
�Fテラワロス

150 ：

お疲れ様です。
こちらからも受け取ってくれるかは不明ですが一通にてつーほーしました。
時間が掛かったので、既に対応してるっぽいのがあるん。。。orz......
>>149
＞ 404
ｗｗｗ草付けるとﾋﾟｺｰﾝ
リダイレクトされてるお

151 ：

www●chiyoda-nagoya●co●jp/
curesmile●net/
shmj●jp/

152 ：

ﾊｹﾞｽｸﾈﾓｲ
お疲れ様です。
>>151
上二つは>>150で一つに纏めてホスティングにめる送付済み
最後のはIPアドレスもあばばばばば
誘導先もあばばばばば
これもIPアドレスあばばばばば
それぞれ分けて二通めるしました。

153 ：

Analysis Center (jpcert_ac) on Twitter
https://twitter.com/jpcert_ac/status/343936667083751424
> ここ最近の Web サイト改ざんですが、そのシグネチャである 6桁の 16進数からコードネーム: COLOR として我々は調査・分析を進めています。
https://twitter.com/jpcert_ac/status/345343485387345920
> Color 改ざんですが、現在確認できているパターンは画像のとおりです。他にも情報があれば是非ともご報告ください。

154 ：

相次ぐWebサイト改ざん被害 遅れる対応-ばびぶべぼBlog
blog.babibubebo.org/archives/648

155 ：

vol1●co●jp/
favorite-place●co●jp/
aa287●net/
27●50●104●30/
bluepower●jp/

156 ：

www●ocn●ne●jp/~usp
yc-oiso●co●jp/
www●vertex-co●jp/
vertex-co●jp/
sub-lease●co●jp/

157 ：

越谷市議会議員 大石みえこ
www●me-oec●jp/

158 ：

一箇所診るのに3時間……
おつかれさまです
っと、ゆーわけで155の一番目だけめるしました。
(ﾟνﾟ) 説明ﾑｽﾞｶｽｨﾈｰ

159 ：

www1●ocn●ne●jp/~hiroin/
www1●ocn●ne●jp/~ruri-5k/
www3●ocn●ne●jp/~kyouei/
www3●ocn●ne●jp/~ootsuka3/
www3●ocn●ne●jp/~yuuaikai/
www5●ocn●ne●jp/~itosj/
www5●ocn●ne●jp/~pogo/index5●html
www6●ocn●ne●jp/~no-seki/espanol/este_instituto●htm
www6●ocn●ne●jp/~snwest/
www6●ocn●ne●jp/~yoko-yh/

160 ：

www7●ocn●ne●jp/~jasmine1/
www8●ocn●ne●jp/~ntlkk/
www10●ocn●ne●jp/~usp/
www11●ocn●ne●jp/~noburu/
www12●ocn●ne●jp/~hokuyou/
www13●ocn●ne●jp/~tpark/
www15●ocn●ne●jp/~super/4rinbkpad/click-htm/honda-click●htm
www16●ocn●ne●jp/~m●hiroba/
www16●ocn●ne●jp/~permayav/
www16●ocn●ne●jp/~voyager3/
www18●ocn●ne●jp/~yrfc/
www2●ocn●ne●jp/~oimo/

161 ：

福島県商工会連合会
www●do-fukushima●or●jp/fukuseiren/
商工会ってどこも感染しまくっている

162 ：

>>155
�@�A�B�C�D
NTTコミュニケーションズのブツは>>143のOCNのフォームでおｋなので発射完了
担当部署（セキュリティ）への電話は月曜以降
>>156
�@ 404
�A�B�C
NTTコミュニケーションズのブツは>>143のOCNのフォームでおｋなので発射完了
担当部署（セキュリティ）への電話は月曜以降
�D私に分からないのでパス
>>157
議員本人に連絡、完了
>>159-161
後程

163 ：

>>159-160
フォーム発射完了
>>161
月曜以降

164 ：

kobeiccgolf●or●jp/kita_kobe/gdo/
c-house●or●jp/
akashikaisei-hp●or●jp/recruit_contact
kumamoto-norimen●or●jp/
www●la-la-la●or●jp/

165 ：

>>164
�@�BOCNフォーム発射完了
�A�C�D月曜以降

166 ：

esn●co●jp
futurebud●co●jp
h-seiken●co●jp
haruyamakensetsu●co●jp/include/url●js
kizaitecto●co●jp
kk-nishimaki●co●jp/js/window●js
kk-nishimaki●co●jp/js/navi●js
mikic●co●jp
morisaki-kk●co●jp
muratasekkei●co●jp

167 ：

advance-sakura●co●jp
eishin-maoyi●co●jp
favorite-place●co●jp
grow-ltd●co●jp
h-refresh●co●jp
innk●co●jp
k02●co●jp
kaigai-inc●co●jp/resource/secure/ 改ざん
kasuga-mfg●co●jp
okamoto-denki●co●jp

168 ：

www●znet●ne●jp/msd/
www●createur-net●com/
www●araiyasan●jp/
www●tuziwa●jp/
ichigu●memopad●org/
8080並みやね…これ

169 ：

>>166
�@�A�C�D�G�H OCNフォーム発射完了
�E�F0c0896確認 OCNフォーム発射完了
�B私には分からないのでパス
>>167
�@�A�B�C�D�E�F�H�I
OCNフォーム発射完了
�G私には分からないのでOCNへ、改ざん有無の精査を依頼

170 ：

>>168
www●znet●ne●jp/msd/
鯖丸ごとやられてる感じｗ
↓
www.google.co.jp/search?hl=ja&source=hp&q=site%3Awww.znet.ne.jp%2Fmsd%2F&btnG=Google+%E6%A4%9C%E7%B4%A2&gbv=1

171 ：

>>169
>>167 �Gのやつ
jsunpack
411eac06a7475cdd11450051ca075fdc17594caf
virustotal
www.virustotal.com/ja/url/7362a2240ccdabcebe7ad4cb0e90512da40669fbe56bb8b881564610d49f2f4e/analysis/1371959125/
www.virustotal.com/ja/file/9da5a899b9d55e1d43718ec0ad6368f9e9ef0242a4e88cd5ddb2cc6d7bfa5fb3/analysis/1371830823/

172 ：

znetはコンピュータソフト開発のパティオシステムズですね。
どうりで最近三重県ばかりが何故多いのかと思ってた。

173 ：

お疲れ様です。
166の三番目みます

174 ：

病理ウイルスも、パンデミックを通り越して常態化した場合は個人の体力や免疫に頼るしかないように
コンピュータウイルスも、脆弱性の無い最新の環境（新しいPC、最新のOS）を整えるしかないのでしょう
w7が出る前のガンブラー騒動、w8.1が出る直前の今回
タイミング的にもやはり、マイクロソフトの販促キャンペーンでしょうかw

166の�Bはおそらく
＜!--0c0896--＞ から
＜!--/0c0896--＞ まで
www.virustotal.com/ja/file/e4422ac4ca9fafa8110127ddfff298f9f78065f336dafaacaf8ce9db294a03f1/analysis/1371976952/
窓口が休みなので月曜以降にフローを確認してから

175 ：

>>173
ど−ん
フォームはlynx使ってみた。
ちょん切れちゃった。。。orz.......
>>174
んだなす

176 ：

167の八番目みます
applet archive="otxUB.jar"

177 ：

>>176
とりあえずベンダーに送付
なんか他にもありそう……

178 ：

めも
http://wepawet.iseclab.org/view.php?hash=0eae6985b6ab7467ae764e066a3f3d45&t=1369380290&type=js
Hash
52390e6a6c74db94eb86c72034328989
https://www.virustotal.com/en/file/fc5cdd4cbc7ba76979088d4afadbf97456069206545a37fc390aa6210a2fb501/analysis/1369643146/
SHA256:　fc5cdd4cbc7ba76979088d4afadbf97456069206545a37fc390aa6210a2fb501
SHA1:　9c702e0865b1be8fbfa743bcb7fea45bcc09bf87
MD5:　52390e6a6c74db94eb86c72034328989
File size:　336.9 KB ( 345005 bytes )
現時点404

179 ：

( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼
SPAM扱いされて、いくつかベンダーに届かないでやんよ>>177

180 ：

>>170
www.google.com/safebrowsing/diagnostic?site=www.znet.ne.jp/msd/&hl=ja
検索結果を見ると…
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
>このサイトはコンピュータに損害を与える可能性があります。
＼(^o^)／ﾊｼﾞﾏﾀｗｗｗ

181 ：

http://kohada.2ch.net/test/read.cgi/sec/1295261877/329 誤爆orz
>>166
�B 完了
ドメイン管理＝ステージグループ（ホームページ制作）ここの対応も優
>>168
�@ 一応完了※但し、馬鹿過ぎて話にならず　
�A完了
クレアトゥール 福井 ← そもそも電話に出ないので上流へ電話
→ GMOインターネット株式会社
�B一応完了
残念な人達の様なので無理ぽ
�C 一応完了
残念な人達の様なので無理ぽ
�D 完了
ＮＰＯ法人 一隅を照らす会の馬鹿女に伝えておきました
ドブス馬鹿女へ、 関係ないなら何故閉鎖するのか、R!

182 ：

>>180
znet.ne.jp は禿にリダイレクトされてるもより
これで対応したつもりなんでしょ

183 ：

ｵﾂｶﾚｻﾏﾃﾞｽ
こちらの環境では>168の五番目がぁぅぁぅのままだったので鯖管にめるしました。
フォームでは漏れのめあど蹴られちゃう

184 ：

>>183
>>183
ドブス馬鹿女が一旦閉鎖した後、一時間程で再開しくさったのです

185 ：

saitoadobaizanikisaishimasuta

186 ：

>>181-185
乙ｶﾚｰ
www●fukushima-l●com/forrent/
www●nifa●co●jp/
www●guitaristlip●com/
www●moonshot●co●jp/
www●montessori-japan●com/
消えてもらったほうがいいようなサイト
rockbook01●awe●jp/dekome/

187 ：

【忍者ホームページ】ホームページの改ざん被害にご注意下さい ※要確認※｜お知らせ｜忍者ツールズ
http://www.ninja.co.jp/information/all_category/info/8449/

間に合うかな？ 時間がｷﾋﾞｼｰのもあって
>>186の一番目だけみます
とっぷからぁうぁう

188 ：

>>187
どーん
結構根が深かった……

189 ：

>>186
�@サイト所有会社に電話連絡完了（すでに把握していたもより）
�Aパス（対応済みと思われ）
�BOCNフォーム発射完了
�Cサイト所有会社に電話連絡完了
�Dサイト所有会社に電話連絡完了
�Eデジロックは放置（そもそも無理ぽ）
※デジロック以外は全力で対応
いずれweb改ざんの元凶はデジロックであるとして
司直の手により殲滅

190 ：

www12●ocn●ne●jp/~kabanos/
www7●ocn●ne●jp/~takara3/
www10●ocn●ne●jp/~clubpome/
www6●ocn●ne●jp/~ohisama1/
www5●ocn●ne●jp/~yukio●ok/
www13●ocn●ne●jp/~touki/
www17●ocn●ne●jp/~bonsai/
www2●ocn●ne●jp/~kikikm/

191 ：

>>190
OCNフォーム発射完了

192 ：

バリュードメインvalue-domain.com（デジロック）正規フロー窓口を聞き出しました
www.value-domain.com/webabuse.php
↑の一番下にフォームがあります
>>186�E
フォーム発射完了
対応されるかtest

193 ：

>>186の2番目
JSとかぁぅぁぅ
さいとあどばいざにきさいしますた
ntt.netはあぶせにめるだけでいいのかな？

>>183
鯖管から対応かんりょのお返事いただきました
上流になるのかな？＞鯖管

194 ：

>>193
＞>>186の2番目
./common/js/thickbox.js　./common/js/jquery.fontScaler.js"他いっぱい確認しました
www.virustotal.com/ja/file/15652cb5a2c3ec3abecd5530c2615cd863f1fa633a8878a434b43c196082ed11/analysis/1372406516/
トップの0112722100にお知らせしましたが、HPを製作した委託先とは切れていて分かる人はいないそうです
jpサートとIPAの相談電番を案内してみました
＞>>183
＞鯖管から対応かんりょのお返事いただきました
乙です
＞上流になるのかな？＞鯖管
ジャマイカ

195 ：

>>194
お疲れ様ですお疲れ様です
んでも>>186の2番目、今の時点でぃれくとりぃぐゎ（ｒｙ
なぜん？

196 ：

21:00からですん
以前の委託先に緊急連絡したんでしょ
そんなんかな
ついでに言わしちくり
やられたでござる←むかつくねん

197 ：

りねーむすてるん。なんか公開修正みたいな木が汁
ご愁傷様 ＞ やられたでござる

198 ：

話題のwww●nifa●co●jp/
2013XXXXCopy_of_info.php
2013XXXXCopy_of_index.php
コードそのまま引きずってるとか・・
なんだよこれｗｗ
もしかして露出狂？

199 ：

別件
> Google セーフ ブラウジング
>
> 内容を送信しました
>
> Google にご報告いただきありがとうございます。これで報告は完了です。よろしければこちらもご覧ください。
>
> 1. ウェブ環境の安全性向上に貢献したご自分の功績を、しばしの間称えてあげましょう。
>
> 2. ウェブブラウザが最新バージョンであり、使用しているオペレーティング システムに最新のパッチが適用されていることを確認しましょう。
>
> 3. Stopbadware.org にアクセスしてパソコンに感染する可能性のあるマルウェアの詳細について確認しましょう。
超ﾈﾑｲのでこくまで……
つかぐぐるにBlockされっぱなし。。。orz...........

200 ：

www4●ocn●ne●jp/~sawa/get-novel●htm
www4●ocn●ne●jp/~kiyotomo
chiyoichi●com/
www●h-seiken●co●jp
art-tokugawa●com
vol1●co●jp
auseiki●com/
www●okamoto-denki●co●jp/

201 ：

>>200
�@�A�B�C�D�E�F�GOCNフォーム発射完了
�E>>155�@　又貸ししてると無理らしいが、リベンジ
�Gテスト的に岡本電気工業株式会社に連絡してみました

202 ：

>>194さま
6/28　WEB改ざんに関して丁重にご指導して頂きまして、ありがとうございました。
おかげさまで、ホームページを復旧させることができましたことをこの場をお借りしてご報告させて頂きます。
また、教えて頂いた対策を一通り行いました。
今後は、発見される脆弱部のアップデートと、改ざんされた際の早急な対応を心がけていきたいと思います。
ご教授して頂いたことに深く感謝申し上げます。

203 ：

>>110,120,146,153
追加
ウェブサイト改ざんの増加に関する一般利用者（ウェブ閲覧者）向け注意喚起
www.ipa.go.jp/security/topics/alert20130626.html
相次ぐWeb改ざん、原因はまたもや“Gumblar”か
itpro.nikkeibp.co.jp/article/NEWS/20130702/488823/
Web改ざん検知と脆弱性診断をセットにした「BIGLOBE Webホスティング セキュリティセット」
提供開始〜8月30日までのご契約で3カ月無料キャンペーンを実施〜
www.sankeibiz.jp/business/news/130701/prl1307011548082-n1.htm
>>202
セキュ板の集合知の為せる業です
わざわざ最果ての過疎地へ報告どもですー

204 ：

同じ日に取材なのね
急増するWebサイト改ざん、原因は「ガンブラー」か　：日本経済新聞
http://www.nikkei.com/article/DGXNASFK0203F_S3A700C1000000/
なんでもかんでも「ガンブラー」ってのには無理があるような＞報道論調

まだところどころでぃれくとりぃぐゎ>>197

205 ：

まあ既存の何かと似たものがあればそれに例えたほうがわかりやすいからね

206 ：

･ω･

207 ：

Last-Modified: Wed, 03 Jul 2013 13:41:32 GMT
81a338確認

208 ：

https://www.virustotal.com/en/file/53ba09c116e4fdd7881e8a1c55b59686ff83345b61a852d7e8cda0e25e466ee3/analysis/1372949390/
20 / 47

209 ：

>>207-208
鯖管に凸
さいとアドバイザのばぐやろー！！！！！！！！！！！！！！！！！！！！！！

210 ：

ベターまたはベストに近いロータリー
国際ロータリー第2830地区 WEBサイト不正改ざんの概要及びサーバー復旧のご報告.pdf
https://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609houkoku%2Epdf
http://www.google.co.jp/gwt/n?u=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609houkoku%2Epdf
不正アクセスによる各クラブの被害状況（詳細）.pdf - 国際ロータリー第2830地区 「レンタルサーバー（rotary-aomori.org）への不正アクセスによるデータ改ざん等の被害状況」
https://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609list%2Epdf
http://www.google.co.jp/gwt/n?u=http%3A%2F%2Fwww%2Erotary%2Daomori%2Eorg%2F2012%2FPDF%2F20130609list%2Epdf

サーバーの複数管理による改竄被害は不可避に近い状況なぬで、ﾊﾞｯｻﾘした判断・対応は賞賛に値すると漏れは思ふ。

211 ：

書き忘れ
>>207-208
対応済み
お疲れ様です。＞鯖管様

212 ：

www●gakysyuu●jp/hutyuu●html
ぐぐるが警告してるが私には分からないのでm(__)m

213 ：

(2013/07/10 9:40), JPCERT/CC wrote:
> --------- This is an automatic email from JPCERT/CC. ---------
>
> We would like to acknowledge the receipt of your incident report.
>
> Your incident report will be handled based on our policy. In certain
> situations, we may forward your report to the corresponding
> person/parties in a coordinated manner. Please promptly inform us if
> you do not wish to have your report forwarded.
>
> If you are not the appropriate person to receive this email, please
> disregard this message.
>
> Please feel free to contact us for further questions or comments.
>
> Best regards,
>>192
403
昨日、別件で#0c0896を確認
↑は検体送付の受理返信。一部詳細はさいとあどばいざに
http://megalodon.jp/2013-0709-2158-26/online.drweb.com/result/?url=http%3A%2F%2Frockbook01%2Eawe%2Ejp%2Fdekome%2Findex%2Ehtml
やったこと、ばりゅどめと親会社のGMOにつーほ

>>212
こちらの環境ではわからなかったん
くいんしーじょーんずぁゃゃにちかまつもんざぇもんでどぞー

はっぽーしゅうんめぇ

214 ：

Web閲覧でのマルウェア検知が日本で急増、カスペルスキーが注意喚起
www.itmedia.co.jp/enterprise/articles/1307/05/news082.html
＞7月1日以降は減少している
とりあえず収束かな
二ヶ月くらいはのんびり出来るかな

215 ：

www1●ocn●ne●jp/~aoyamaco/
www1●ocn●ne●jp/~blitz/
www1●ocn●ne●jp/~satou●mc/
www1●ocn●ne●jp/~tei-teru/
www10●ocn●ne●jp/~kerotyan/
www10●ocn●ne●jp/~win-now/

216 ：

1ヶ月の第１週に改竄のピークが有り、１００サイト位は毎日改竄されているような
状況なので、減ったなんて言えないのではないかな。

217 ：

www12●ocn●ne●jp/~act53/
www15●ocn●ne●jp/~asla/
www16●ocn●ne●jp/~kaigo-ok/
www2●ocn●ne●jp/~mi-yoshi/
www3●ocn●ne●jp/~kougetsu/
www3●ocn●ne●jp/~nml/

218 ：

>>216
ｶﾞ━━━━━━��(ﾟдﾟlll)━━━━━━ﾝ

219 ：

www4●ocn●ne●jp/~a-6118/
www5●ocn●ne●jp/~camel/
www5●ocn●ne●jp/~kcoreyge/
www5●ocn●ne●jp/~zaitack/
www6●ocn●ne●jp/~kmkk/
www6●ocn●ne●jp/~onodensh/
www7●ocn●ne●jp/~ecoromy/
www8●ocn●ne●jp/~dutchrek/
www8●ocn●ne●jp/~ruah/
ds-sinjo●co●jp
www●raisu●co●jp
tt-ins●co●jp/

220 ：

>>215
ocnフォーム発射完了
>>217
ocnフォーム発射完了
>>219
�@-�H�J�K
ocnフォーム発射完了
>>219
�I
どうしましょうね
明日考えますね

221 ：

>>219
�I
ocnフォーム発射完了＆対応出来るのかを確認中
更に、ドコモからショップへ連絡の段取り完了

222 ：

>>221
ocnセキュリティから回答あり
ocnフォームでは受けられないもより
別経由でverio の窓口を聞き出しました
inquiries@verio.jp
力尽きたので放置
ドコモ神奈川総務さん、がんばって
使用ブラウザがwindwsと言い張るドコモショップ新城店の相手は私には無理

223 ：

っ https://www.virustotal.com/en/ip-address/204.227.180.5/information/

224 ：

>>222
担当窓口はso-net法人向け窓口
当該ドメインはメールサーバーのもので作ったのはソネット、とDSは主張しています
昨日、DSサイドからソネットに問い合わせしたところ
改ざんはなく問題ないと回答したとのこと…
と、DSは主張しています
私がソネットに問い合わせしたところ、会員以外の問い合わせには応じられないと電話を切られました（笑
ウイルスに感染したとしても責任は取らないそうです
月曜以降に別の窓口に問い合わせする予定です
余談ですが、改ざんコードが
難読が解かれた不正な iframe に変更されてます
Kaspersky で検出できる様なのでDSにカスペルスキーを導入して貰うのも有りかと

225 ：

www12●ocn●ne●jp/~dz577-91/
www13●ocn●ne●jp/~smile-cd/
www3●ocn●ne●jp/~nml/
www3●ocn●ne●jp/~skk-west/

226 ：

>>225
�@�A
ocnフォーム発射完了
�B → >>217�E　リベンジ
ocnフォーム発射完了
�C対応されてるもより

227 ：

>>223 (2013/07/13 0:15),
> Greetings from the NTT Communications Global IP Network Security Team,
>
> This is an automated reply to inform you that we have received your e-mail
> regarding an alleged violation of our Acceptable Use Policy by a customer
> of NTT Communications.
>
> If your issue involves unsolicited commercial e-mail, please reply to us
> with the entire unsolicited e-mail with complete headers if you have not
> already done so. Please limit your e-mail to essential information that
> would help us with investigating the incident. Personal commentary may
> delay the processing of your request.
>
> Please be advised that we can only address abuse issues regarding NTT
> Communications customers. Spam and/or abuse issues involving non-NTT
> Communications customers need to be reported to the Abuse address of the
> originating domain or service provider for proper handling and disposition.
> Please be aware that it is common for spam and Usenet abuse to be generated
> with false or manipulated return addresses, thus the issue may not involve
> NTT Communications or its customers. Please look at the full header
> information, including the received lines, to determine the true origin of
> the e-mail. For Usenet, you can use the 'NNTP posting host' IP address or
> hostname.
>
> We appreciate the time you have taken to report the alleged abuse, however
> due to the volume of e-mails we receive, we are not able to respond
> personally to each complaint received.
[省略]
ntt.netのabuseからは自動返信きてた
>>225-226
お疲れ様です。

228 ：

memo>>223
http://megalodon.jp/2013-0713-1602-32/online.drweb.com/result/?url=http%3A%2F%2Fds%2Dsinjo%2Eco%2Ejp%2F
http://megalodon.jp/2013-0713-1603-34/online.drweb.com/result/?url=http%3A%2F%2Fds%2Dsinjo%2Eco%2Ejp%2Findex%2Ehtml
http://megalodon.jp/2013-0713-1604-21/online.drweb.com/result/?url=http%3A%2F%2F204%2E227%2E180%2E5%2F
http://megalodon.jp/2013-0713-1605-06/online.drweb.com/result/?url=http%3A%2F%2F204%2E227%2E180%2E5%2Findex%2Ehtml
> infected with JS.IFrame.425
http://megalodon.jp/2013-0713-1325-49/https://www.virustotal.com:443/en/ip-address/204.227.180.5/information/
http://megalodon.jp/2013-0713-1622-32/https://www.virustotal.com:443/en/domain/ds-sinjo.co.jp/information/
https://www.virustotal.com/en/url/f6d10cdb3b54a5c49da2ee9fc446063561abb2924ddf7c0f9d4be75d656e514e/analysis/1373688884/
https://www.virustotal.com/en/url/4c905e198445135d490073ebeea523832e38aedc52631c1a6c9b011a11a9a4a8/analysis/1373688760/
https://www.virustotal.com/en/url/20411b453b7e8687afb5252dbc7b38d60345558518fb2c1cf95c6149b4571578/analysis/1373691510/
https://www.virustotal.com/en/url/e7843e3e8c2b49a935feffa309b442fc972a9265dda47d8ad6aa85c83bc167a8/analysis/1373691510/
https://www.virustotal.com/en/file/c70b6b722553beb6156aa57c9a58169fc2ebb4bc18f1b4c8c70732399a9885a9/analysis/1373689116/

229 ：

sinei-kitchen●com/
kyoei-medical-o2●co●jp
fruits-lunch●com/
aomoriya●jp/basic●js
www12●big●or●jp/~zero-one/
www2●big●or●jp/~zero-one/
www22●big●or●jp/~zero-one/

230 ：

>>229
�@�A�B
FirstServer正規フロー窓口↓
supportorder.fsv.jp/form/toiawase_input.aspx ← フォームから対応されるかtest
フォーム発射完了
�C�D�E�F
月曜以降に正規フローを確認した後に（お盆なので時間が掛かるかも）

231 ：

>>203,214
追加
www.npa.go.jp/cyberpolice/detect/pdf/20130626.pdf
winXPは更新しても脆弱性は解消されない方向にあるんじゃなかろうかと思われるのですが
警察庁は低能集団ですかw

232 ：

>>231
OSかえろってのは経済的な問題も出てくるので残念ながら非現実的
ユーザーが自力で持続可能な範囲で基本的な対応を促すしかないんじゃないかと
知り合いに対してでもいきなりPC変えろとは言い難いし

233 ：

>>232
・個人が趣味でホームページをもっている場合、趣味であるならお金は惜しまないはず
・企業である場合、企業なら金は惜しむべきではないでしょう
新しいOSの乗ったPC5万有れば買えます
分割でもいいでしょう
ホームページを持たずに趣味でPCを使っているだけならいざしらず
不特定多数が閲覧するホームページを所有するなら必要不可欠な出費であると覚悟するべきでしょ

234 ：

>>233
>>231のは閲覧側の注意喚起じゃん

235 ：

>>234
web改ざんされないための注意喚起でもあります

236 ：

サイト所有者が>>231を真に受け「最新の状態に更新してるからおｋじゃん」と錯誤させることが問題なのです

237 ：

n-sagami●com/ryoko/ryoko1●html
sanyogiken-gp●co●jp/
nature-nail●com/
m-filled●com/

238 ：

>>237
ocnフォーム発射完了

239 ：

ここも全く対応しない
aiweb●or●jp/nagoya-handbag/

240 ：

インターネット三重　　プロバイダが感染！
三重に感染が多いのはこういうところが感染しているからなのでしょう
inetmie.or.jp/

241 ：

>>239
ocnフォーム発射完了
>>240
明日以降

242 ：

お疲れ様です。
240 Lynxでフォームからつーほーしてみました。
文字入力数の限界ぽかった
saitoadobaizanimokisaisuta

243 ：

atene●co●jp/
eishin-maoyi●co●jp/
esn●co●jp/

244 ：

Redkit により Web で赤信号が点灯 | Symantec Connect コミュニティ
http://www.symantec.com/connect/ja/blogs/redkit-web

245 ：

>>243
お疲れ様です
上下　https://cgi01.ocn.ne.jp/support/abuse/blog.html
中　viaVerio Customer Service >222 inquiries@verio.jp
つーほーすますた
saitoadobaizanobaguyaro
検体どーすべ

246 ：

>>243,245
乙ですー
んで�Aのネームサーバ www.secure.net/? が siteadvisorがレッド＆
not found ですが何かあったのでしょうか（棒

247 ：

詳細とかさっぱりなんですが、ぐぐるとこんなのが
BKDR_BIFROSE.FUU | 危険度： 低 | トレンドマイクロ：セキュリティ情報
http://about-threats.trendmicro.com/Malware.aspx?id=47811&name=BKDR_BIFROSE.FUU&language=jp
> ダウンロード活動
> マルウェアは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
> ・ http://{BLOCKED}secure.net/ABIUSP/setup.exe
サブドメインだったのかな？

248 ：

>>242
進捗状況
http://megalodon.jp/2013-0714-2246-24/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/
http://megalodon.jp/2013-0715-0145-15/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/
http://megalodon.jp/2013-0715-0941-35/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/
http://megalodon.jp/2013-0715-1607-48/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/
http://megalodon.jp/2013-0715-2241-04/https://www.virustotal.com:443/en/ip-address/61.114.231.60/information/

249 ：

>>242
完了

250 ：

大阪府文化財センターのページやられてるのにまだ改善なしか？

251 ：

>>250
大阪府文化財センターの公式サイトにバイ＠グラの隠し宣伝リンクがっ！ - 無題な濃いログ - Yahoo!ジオシティーズ
http://geocities.yahoo.co.jp/gl/gbmogiki/view/20130715/1373872947
0day.jp (ゼロデイ.JP): #OCJP-109：RedKit転送仕組みにやられた国内のサイト
http://unixfreaxjp.blogspot.jp/2013/07/ocjp-109redkit.html
こんなの
http://wepawet.cs.ucsb.edu/view.php?hash=ea87827ea1f4ace820cb839bd0d20cb7&t=1373783744&type=js
http://wepawet.cs.ucsb.edu/view.php?hash=45b6a121d0f67e3503e07dbe12dfdbe8&t=1373785897&type=js
http://kohada.2ch.net/test/read.cgi/sec/1369932406/177
ウィルス撒布者［occh-i］に告ぐ
http://homepage2.nifty.com/HAYAKASA/tawake.html
南河内考古学研究所 情報掲示板 -考古学関連の情報・博物館展示情報・図書刊行情報など-
http://www.skao.net/arcbbs/minibbs.cgi?ff=38887&cmd=rm
pc1.occh-unet.ocn.ne.jp　（当時）

絶句
情報セキュリティ・個人情報保護　ブログ: パソコンソフトの違法コピーは絶対ダメ！
http://www.azport.jp/weblog/2009/03/post_180.html

252 ：

>>251
http://namidame.2ch.net/test/read.cgi/news/1208918626/
http://academy6.2ch.net/test/read.cgi/archeology/1234569515/

253 ：

>>240
forbidden(403)になってます
昼間電話したのですが、すでに把握していました

254 ：

残権は以下だけでいいかな?
>>219
�I
>>230
�C�D�E�F

255 ：

>>254
>>219
�Iドコモの偉いひとに協力要請
>>230
�Cわからない
�D�E�F403

256 ：

>>229の4は8080系で古そうに感じたけど本当に古いのかもしれない
Last-Modified: Thu, 24 Jun 2010 05:44:22 GMT
レンタル元に確認してみる

257 ：

>>219
�I
対応した模様

258 ：

txtどこー？
IPA 独立行政法人 情報処理推進機構：2013年7月の呼びかけ
Last-Modified: Mon, 08 Jul 2013 09:53:17 GMT : http://www.ipa.go.jp/security/txt/2013/07outline.html
> 更新履歴
> 2013年 7月 8日　「（2）改ざん有無の確認方法」を「（2）ウェブ改ざんへの対策」へ修正
> 「（3）ウェブ改ざんの被害発生時の対処」内のセキュリティ関連の組織や企業が提供している、無料でウイルスチェックができるウェブサイトへのリンクを修正
> 2013年 7月 5日　「（3）ウェブ改ざんの被害発生時の対処」内のセキュリティ関連の組織や企業が提供している、無料でウイルスチェックができるウェブサイトへのリンクを修正
> 2013年 7月 1日　掲載

259 ：

>>229の4
レンタル元より返信
サイト管理者への連絡および該当サイトを停止
401になってるね
レンタル元さんの問い合わせフォームから連絡し対応してもらいました
http://www.future-s.com/contact/index.html

260 ：

>>259
乙ですー

261 ：

>>250
たった今、ラジオニュースで謝罪してるとやってた。
通報したみなさん乙です。

262 ：

大阪府文化財センターに凸して聞いてみました
委託業者は、サン・ネットワークスとのこと
サン・ネットワークスが具体的にどこなのかは分かりませんがw
www.siteadvisor.com/sites/http%3A//www.sunnetworks.jp/
イエロー判定カワウソw

263 ：

AVG2013インターネットセキュリティ使ってますが踏む勇気が出ない・・・・

264 ：

【LINE】「NAVERまとめ」などに不正アクセス、169万件のID流出ﾆﾀﾞ━━━<丶｀∀´>━━━━!!!!
hayabusa3.2ch.net/test/read.cgi/news/1374231868/
【緊急】LINEで有名なNAVERの個人情報流出 アカウント名・パスワードなどが漏れる
engawa.2ch.net/test/read.cgi/poverty/1374227937/
ネバよ！お前もか！注意せネバネバ

265 ：

nature-nail●com/
ohuk●jp/
tb9●jp/js/jquery●fademover●js
www●esn●co●jp/
www●kk-nishimaki●co●jp/newshop/event/springfare●html
www7●ocn●ne●jp/~gbusters

266 ：

>>265
�@ → >>237�B
ocnフォーム発射完了
�A�Bocnフォーム発射完了
�C → >>166�@,>>243�B
ocnフォーム発射完了
�D�Eocnフォーム発射完了

267 ：

>>265-266
お疲れ様ですお疲れ様です。
>>261
いや、まだ懸念材料が（ｒｙ
今、完全閉鎖の要望をめるすたん
>>262
げげーん

268 ：

げはしくねもい
よくよく検索し直したら18金げむのさいとの跡地のようだたー＠さいとあどばいざ

269 ：

>>237
�C m-filled●com/
対応されていないので電話してみました
業者には対応するよう依頼しているそうですが、何て言うのか(ry

さて、金銭を要求し対応してあげるという電話があったそうですが
私達のスキルはお金を払って習得したものではなく
善意の方が無償で公開＆授けてくれたものです
もしかしたら、お亡くなりになった方もいるかもしれません
私達は力を託されたのです
全てを一人の力でやっているのではありませんよ
身に覚えのある香具師さん
調子こいてると追い込み掛けますよw

270 ：

> 金銭を要求
ぽかーん
>>268
ｴﾛｹﾞ追加
見つけてしまう漏れのｽｷﾙ(?)にｶﾝﾊﾟｲ

271 ：

belleohtsu●co●jp
featurepics.promos●co●jp
ident-prex●co●jp 　　　

272 ：

申告しても対応しないサイト
colx●co●jp
bio-pf●co●jp
kyuhaisui●jp/
nanautsuki●lals-inc●com/
invoke●co●jp
arow●co●jp
humans●co●jp
nom-osaka138●co●jp
p-web●co●jp
miura-sports●com
beridansu●catch-the-future●com/cat130/
netjohono1●com/
takarakuji-ataru●com/
e-ibh●com/
coach-take●com/
www●green-w●co●jp/
www●koubegyuu●com/about●html
miidayori●xmiix●com/　　　

273 ：

>>271,272
全部GMOなんですね…
GMOは嫌いです
とりあえず、>>272�M e-ibh●com/
営業していたので電話しました
一応現状404になりましたが…
四次元の住人と話をしている様で
むかつきましたね

274 ：

>>272
�K
対応済なんじゃないのかな

275 ：

www.npa.go.jp/cyberpolice/detect/
www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf
↑
こんなものね、誰も見ないと思うんですね
なので、直接全ISPに注意喚起の連絡を直接警察庁からした上で
更にプロバイダからユーザに対して注意喚起をして貰う様
警察庁に要請してみました
朝日ネットはやったそうなので出来るはず
so-netの件も伝えました
もうね、手に負えなくなる悪寒がするねんw

276 ：

>>271,272
正規フローなのかは不明ですが
一応↓からフォーム発射完了
secure.gmo.jp/contact/

277 ：

>>275
お疲れ様です
> 注意喚起
Domain登録業者にも通達してそのユーザー向けにもしてほすぃ
鯖が海外業者だとちょいﾒﾝﾄﾞｲ
Domain登録業、代行業は我関せずの姿勢が多いのは間違ってる
あと上流のISPの中にも下流に関して手を触れないのがあるのは困りもの
危険なサイトなのでつーほーめるそのものがフィルタリングされちゃうんだから
受け取ったら責任を持って下流にも伝えるべっきー
>>276
お疲れ様ですお疲れ様です

278 ：

にゃんと……
http://kohada.2ch.net/test/read.cgi/sec/1370942055/47 からん
ＯＣＮ ４００万人の会員情報流出か
http://hayabusa3.2ch.net/test/read.cgi/news/1374671659/
http://www3.nhk.or.jp/news/html/20130724/k10013271121000.html
【速報】「ＯＣＮ　ＩＤ」に不正アクセス　最大で約400万人のメールアドレスとパスワード盗難か
http://hayabusa3.2ch.net/test/read.cgi/news/1374671630/
http://news.livedoor.com/article/detail/7890046/
OCN IDサーバーへ外部から不正アクセス　最大400万のIDと暗号化パスの流出の可能性
http://engawa.2ch.net/test/read.cgi/poverty/1374663426/
http://www.ntt.com/release/monthNEWS/detail/20130724.html

279 ：

イベントセミナー情報 緊急開催！【開催日時】2013/08/06 14:30〜16:00(受付開始14:15)
jp.trendmicro.com/jp/events/detail/20130717001103.html
「90分でわかる、多発するWeb改ざん事件と、なりすまし不正ログイン、
脆弱性悪用による情報漏えい事件の解説と対策」

280 ：

IPA 独立行政法人 情報処理推進機構：2013年8月の呼びかけ
http://www.ipa.go.jp/security/txt/2013/08outline.html

281 ：

CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには？ | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）
http://blog.trendmicro.co.jp/archives/7662

282 ：

GMOもだめですねー
bio-pf●co●jp
kyuhaisui●jp/
humans●co●jp 配下のページ
p-web●co●jp
takarakuji-ataru●com/
coach-take●com/

283 ：

お疲れ様です
>>282
一番二番発射
くこでリタイヤ m(_ _)m
ι(´Д｀υ)ｱﾂｨｰ

284 ：

何度申告しても対処しないサイト
crystalj●co●jp/　　　　canonet
n-washington●co●jp/　　　　canonet
pazuru●co●jp/　　　　canonet
saitokoumuten●co●jp/　　　　canonet
officekens●co●jp/　　　　CPI
nakamura-kogyo●co●jp/　　　　CSIDENET
belleohtsu●co●jp/　　　　GMO
chemi-cal●co●jp/　　　　GMO
generic-shinnei●co●jp/　　　　GMO
jamsoftware●co●jp/　　　　GMO
ayabekikou●co●jp/　　　　NTTPC
popup●co●jp/　　　　NTT-PC
fujiken2464●co●jp/　　　　OCN
gysekkei●co●jp/　　　　ride

285 ：

neurosystem●co●jp/kozukai/　　　　sakura
life-ac●co●jp/　　　　smileserver
issaku●co●jp/zen_issaku/shinosaka/　　　　vectant
foods-dream●co●jp/　　　　Verio
eight-s●co●jp/　　　　デジロック
nabeya-zakka●co●jp/file/slideshow/　　　　ファーストサーバー
ishiko●co●jp/　　　　大塚商会
ishitabi●co●jp/　　　　大塚商会

286 ：

>>282
�@ bio-pf●co●jp >>272�A
�A kyuhaisui●jp/ >>272�B
�B humans●co●jp 配下のページ >>272�F
�C p-web●co●jp >>272�H
�D takarakuji-ataru●com/ >>272�L
�E coach-take●com/ >>272�N
>>283
乙ですー
GMOからのメールによれば現在進行形であり対応完了してはいない旨の認識はあるようなので生温かく見守ってあげてください
>>284
�@鯖が見つかりません（対応済のもより）
�A休日のもよりなので営業日に凸予定
�B現在凸中

287 ：

CANONET は8/10〜8/18までお休みなのでw
>>284�Dofficekens●co●jp/
＞KEN'Sは、業務サポート専門会社です
笑わせるんじゃありませんよ
把握してるから、対応中だから何だというのでしょうね
偉そうな物言いや電話を切るような輩はクタバレばいいと思いますね
本当に対応してるなら、そんなもの3秒で完了するっしょw

288 ：

お盆が明けるまでは打つ手がないもよりですが
この状況でどうするかを思案するのもまた一興w

289 ：

ググって踏んでも真っ白だったり開かないのはこれのせいだったのか

290 ：

>>285�Alife-ac●co●jp/
所有会社に連絡
いい感じでした

291 ：

>>284-285
【努力】の「ど」作戦終了
明日からゆるゆると＆
お盆明け以降は通常フローでガンガル
>>286の>>284�Bpazuru●co●jp/
情報だけ貰って閉鎖をしておきながら
当店は元々HPを持ってないとぶっこきくさって
更に警察に通報しくさった馬鹿女＆店長
お前達には天罰が下るはず…といっておきますよんw

292 ：

>>291
間違えたので訂正です
>>286の>>284�Bpazuru●co●jp/ ← 間違えたので訂正し謝罪いたします
>>285�Enabeya-zakka●co●jp/file/slideshow/ ← こっちでした

293 ：

疲れてるなら休もうそうしよう

294 ：

自分は大体レンタル元に直接連絡するわ
サイト管理者で対応できる人もいるけどそうじゃない場合非常にめんどいし
レンタル元なら安全第一でサイト停止等の行動をしてくれる
レンタル元がダメなときはJPCERTに投げちゃう

295 ：

ｄ

296 ：

っ http://megalodon.jp/2013-0811-0227-19/https://www.virustotal.com:443/en/ip-address/164.46.131.23/information/
とりあえず雲で有名になったとことかにメル発射
( ﾟДﾟ) ﾈﾑﾋｰ
saitoadobaizanobaguyaroooooooooo

> ＥＲＲＯＲ：変なホスト規制中！
＞＜；

297 ：

▼GMO CLOUD
www●tokyo-suidouya●jp/
zero-edit●com/
ips●vc/
kyuhaisui●jp/
belleohtsu●co●jp/
bio-pf●co●jp

298 ：

>>269
いまだに２ちゃんで「香具師」という言葉を使っている
原始人みたいな人もいるんだなｗ

299 ：

>>297
お盆明け以降に
>>285�Enabeya-zakka●co●jp/file/slideshow/
証拠隠滅したつもりのなべやさん
当店は元々HPを持ってないと主張したなべやさん
↓これはなんでしょw
http://www.aguse.jp/?url=http://www.nabeya-zakka.co.jp/mob.htm
www●nabeya-zakka●co●jp/i/index●htm
>>298
ヤホー(^0^)/

300 ：

なべやさん
お前達が頼みの綱の中原警察は、今日乗り込んで完全にしめてきましたよんw

301 ：

ファイルは昼頃404になったん>>296
この頃は正常だったみたい
http://ikura.2ch.net/test/read.cgi/jfoods/1070740162/68
>>299-300
お疲れ様です

302 ：

いろいろと腹の立つことや納得できないこともありますが
修正されたり閉鎖されたりすることは、対応完了であり
勝利…
なのではありまっするまっするw

303 ：

神奈川県警なのが不安要素

304 ：

フロリダ州の退役軍人のサイトが盛大にやられてるん
正常
ソース
http://megalodon.jp/2013-0815-2338-34/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Ffloridavets%2Eorg%2F%3Fpage%5Fid%3D217
http://megalodon.jp/2013-0815-2355-26/rd.or.tl/get.php?site=http%3A%2F%2Ffloridavets%2Eorg%2F%3Fpage%5Fid%3D217&act=view
スクショ
http://megalodon.jp/2013-0815-2345-02/gw.aguse.jp/?aguse_url=http%3A%2F%2Ffloridavets.org%2F%3Fpage_id%3D217
ぁぅぁぅ
ソース
http://megalodon.jp/2013-0815-2340-40/rd.or.tl/get.php?site=http%3A%2F%2Ffloridavets%2Eorg%2F%3Fpage%5Fid%3D217&act=view&ua-freetext=google&ua=textbox
スクショ
http://megalodon.jp/2013-0815-2343-13/gw.aguse.jp/?aguse_url=http%3A%2F%2Fwww%2Egoogle%2Eco%2Ejp%2Fgwt%2Fn%3Fu%3Dhttp%253A%252F%252Ffloridavets%252Eorg%252F%253Fpage%255Fid%253D217

google…… 恐ろしい子。

305 ：

みんなどうやって改竄されてるサイトを見つけてくることができるんだ?
俺ができる対策はテンプレとUrl.Voidやvirus totalで調べることくらいだけど

306 ：

さて、どうしたものか。
DQpodHRwOi8vbWVnYWxvZG9uLmpwLzIwMTMtMDgxNi0yMzI3LTAxL2d3LmFndXNlLmpwLz9hZ3Vz
ZV91cmw9aHR0cCUzQSUyRiUyRnd3dyUyRXNpdGVhZHZpc29yJTJFY29tJTJGc2l0ZXMlMkZodHRw
JTI1M0ElMjUyRiUyNTJGaWNoaWd1JTI1MkVtZW1vcGFkJTI1MkVvcmclMjUyRmluZGV4JTI1MkVo
dG0NCg==

>>305
ぐぐる

307 ：

>>306
ぐぐるって
まじでそんだけ?
まあ確かにグーグル先生は定評あるけど

308 ：

以前はやほーさーちがダントツだった。
余りにも高性能すぎて、使うのに躊躇すたん。
今は孫やほーはぐぐる、本国※やほーはびーいんぐになったけど
それぞれ元となった検索サービスにはあったせーふぶらうじんぐ（警告）が無くて一般人が使うには（ｒｙ
ぐぐる
> このサイトはコンピュータに損害を与える可能性があります。
びーいんぐ
> コンピューターに被害を与えるおそれのある、悪意のあるソフトウェアがダウンロードされる可能性があるため、このサイトへのリンクが無効になりました。

309 ：

あと、このスレ1から読むとそのものずばりのがあるよん
200レスぐらい読もー

310 ：

NTTPC
jisyubo●co●jp/
sign-s●co●jp/
stork●co●jp/t_sakuraba/album/
tokiwakaigo●co●jp/
vtc●co●jp/seminer/china_tettai/

311 ：

>>305
鑑定関連スレが2chにはいくつかあるが
そこに張り付いているとたま〜にだけど新種にやられたサイトに出会える

312 ：

グーグルさんは確かに危険サイトに良く反応するけど
脅威がないサイトも良く検出する（いわゆる誤反応）

313 ：

▼canonet
shinko-engineer●co●jp/
shouwa-lab●co●jp/
straightword●co●jp/
▼CPI
re-media●co●jp/user/trust_onoda/
seiwa-trading●co●jp/
stylecars●co●jp/
▼GMO
hinokilab●co●jp/
ten-on●co●jp/
wakana-fc●co●jp/

314 ：

▼GMOcloud
ach●co●jp/
shin-ei-net●co●jp/　配下のページ全て
sigakuin●co●jp/　　配下のページ全て
wakaki●co●jp/
▼inforyoma
www●e-tokushima●co●jp/vw/　配下のページ
▼Joe'sウェブホスティング
www●abe-auto●co●jp/
www●aizen-p●co●jp/recruit/
wingfoot●co●jp/　配下のページ全て
takarabe-hrj●co●jp/clock/
takarabe-hrj●co●jp/images/
sunfoods-o●co●jp/

315 ：

▼LOLIPOP
negizen●co●jp/
shintendo●co●jp/
▼Nifty
fujii-kensetsu●co●jp/
▼vectant
issaku●co●jp/zen_issaku/shinosaka/

316 ：

▼canonet
>>284�@�A�B�C
>>313�@�A�B
0367327573に連絡（すでに対応済のところもありましたが）
メアドを聞き出しました
support@canonet.ne.jp
今回はjpサート経由で既に連絡があったそうです
jpサートに連絡した方乙です
多分他のところにも連絡したんじゃないのかなと思われるので
他の残権は連絡済とみなし様子見とします

317 ：

お疲れ様です。
>>168,181,183-184,306 JPCERT : CodeName : COLOR #d68107
Wepawet http://wepawet.cs.ucsb.edu/view.php?hash=73bd268a264f33a9b9e1d2329195b598&t=1376999711&type=js
urlQuery http://urlquery.net/report.php?id=4640111
aguseGATEWAY http://megalodon.jp/2013-0820-2114-56/gw.aguse.jp/?aguse_url=http%3A%2F%2Fichigu%2Ememopad%2Eorg%2Findex%2Ehtm
VIRUSTOTAL
https://www.virustotal.com/en/url/e2c1f014719be0ac0e95afe7c61e657e68fc4aa7766c7f85c938efe587617f6d/analysis/1377001053/
Detection ratio: 10 / 39
Analysis date: 2013-08-20 12:17:33 UTC
Additional information
last-modified: Mon, 19 Aug 2013 10:07:53 GMT
Response content SHA-256
ea1111b0e6e54c498633c99e95ebb9aea4eb9f2f3810feee92e86de1f70f6058
https://www.virustotal.com/en/file/ea1111b0e6e54c498633c99e95ebb9aea4eb9f2f3810feee92e86de1f70f6058/analysis/1377001013/
SHA256: ea1111b0e6e54c498633c99e95ebb9aea4eb9f2f3810feee92e86de1f70f6058
SHA1: 0d51cc0372565fb485f832439595f9117b4ddd46
MD5: 8b28c0e8d3da4893926a0796e6e946ec
File size: 13.1 KB ( 13436 bytes )
File name: index.htm
File type: HTML
Detection ratio: 7 / 45
Analysis date: 2013-08-20 12:16:53 UTC
検体送付かんりょ　さいとあどばいざはまだだお
「d68107」は初見？
https://twitter.com/jpcert_ac/status/345343485387345920
https://pbs.twimg.com/media/BMroEfxCEAID-K-.png

318 ：

情報搾取を狙う「Web改ざん＋不正ログイン＋詐欺」の連鎖攻撃が顕著に-2013年08月19日
http://www.itmedia.co.jp/enterprise/articles/1308/19/news105.html

>>314�Dwww●e-tokushima●co●jp/vw/に何気に聞いてみたのですが
OS：Windows 7
ソフトウェア；最新に更新
セキュリティソフト：ウイルスバスター（最新に更新）
さて、この環境で何故web改ざんされるのでしょうね
警視庁サイバー犯罪対策課に>>314�Dに事実確認をした上で
トレンドマイクロに対して、さりげなく詰問するよう要請しておきましたw

319 ：

てすと

320 ：

めも
http://www.landerblue.co.jp/blog/?p=8402
http://ja.forums.wordpress.org/topic/24503
http://ja.forums.wordpress.org/topic/24503/page/2
これ関係か >>16
共有鯖の場合CMSのバージョン上げても、同居人がバージョン上げてなかったら改竄被害に巻き込まれてしまうでFA？

321 ：

>>320
当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ - レンタルサーバーならロリポップ！
http://lolipop.jp/info/news/4149/

322 ：

memo
http://kohada.2ch.net/test/read.cgi/sec/1279428532/711

323 ：

復帰ｶｷｺ

324 ：

ロリポップ！への大規模攻撃 〜 そういやPHPでtelnetモドキやるプログラムがあってね 〜
http://kohada.2ch.net/test/read.cgi/pcnews/1377980797/
【チカッパ】ロリポップ (lolipop)41【プラン追加】
http://toro.2ch.net/test/read.cgi/hosting/1377869840/

325 ：

ウイルス撒き散らしているとこ以外にも、偽造医薬品販売の踏み台になっているとこが多いの
日本共産党柏原市会議員団
http://www.siteadvisor.com/sites/msgpage/%6a%63%70%2d%6b%61%73%69%77%61%72%61%2e%6f%72%67
三度目のつーほーすた
今回もスルーなぬかようか

>>324
ｵﾂﾃﾞｽ
こりは……

326 ：

>>325
http://search.yahoo.co.jp/search?n=100&dups=1&p=site%3Ajcp%2Dkasiwara%2Eorg%20%22jcp%2Dkasiwara%2Eorg%2Fimg%22
http://search.yahoo.co.jp/search?n=100&dups=1&p=%2Dsite%3Ajcp%2Dkasiwara%2Eorg%20%22http%3A%2F%2Fjcp%2Dkasiwara%2Eorg%2Fimg%22

327 ：

つーほーしたのは404だけど直ってなかた。。。orz......... >>325

328 ：

www1●ocn●ne●jp/~animal30/
www1●ocn●ne●jp/~kandn/
www3●ocn●ne●jp/~orange_t/
www4●ocn●ne●jp/~kyowa●k/
www6●ocn●ne●jp/~morizen/
www8●ocn●ne●jp/~chateau/
www8●ocn●ne●jp/~b-jack/
iidazeirishikai●jp/
whitecube●org/
fujinosato●co●jp/
amakusa-princehotel●jp/
loftjazz●jp/
60●43●234●181/

329 ：

>>328
�@-�G�I-�Locnフォーム発射完了
�Hgmoフォーム発射完了
/counter●php
/washi/
↑こりも

330 ：

セキュリティに関するニュースを淡々と伝えるスレ8
http://kohada.2ch.net/test/read.cgi/sec/1370942055/62
62 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2013/09/10(火) 13:52:22.39
IPA 独立行政法人 情報処理推進機構：ウェブサイト改ざん等のインシデントに対する注意喚起〜ウェブサイト改ざんが急激に増えています〜
http://www.ipa.go.jp/security/topics/alert20130906.html

331 ：

>>328
�D~morizen/
朝aguseで確認したところ ロリポップにリダイレクトされていました
win-iwate●com/
検出名：Trojan-Downloader.JS.Iframe.deu
今はaguseでは検出されませんが
ウイルストータルによるスキャン結果 検出率:9/ 47
https://www.virustotal.com/ja/file/d564422f0fd81a0aeda330094cfcf026b9eea8c36c2a83ec5d74237dba6d3225/analysis/1378805082/
GMOに連絡＆>>6 のフォームhttps://secure.gmo.jp/contact/から発射したのですが
GMOのアビューズの人がもっと効率の良い連絡先として下記を教えてくれました
abuse@gmo.jp

332 ：

ベネッセのサイトにXSS脆弱性がある教えてあげないと→プロバイダにネット接続を止められる
http://engawa.2ch.net/test/read.cgi/poverty/1378950516/
>>329
下記のGMOクラウド（gmocloud.）専用のフォームもしくは>>331のabuse@gmo.jpでないと時間が掛かりそうですが、ひたすら待つのだー
http://www.gmocloud.com/contact/
↓
https://contact.gmocloud.com/form/contact/

333 ：

＼(^o^)／ｵﾜﾀ

334 ：

>>332
Officeさんの件があったからダメだよなあ

335 ：2013/09/14

ふっきっき