UnderForge of Lack

EMERGENCY martuz.cn

＊＊＊　緊急　＊＊＊

gumblar.cn : 94.229.65.172 の代わり
IP アドレスが変更されています。

------- EMERGENCY --------
If you're looking for "martuz.cn" info, just watch here

Gumblar .cn Exploit - 12 Facts About This Injected Script

"martuz.cn" is new virus scatter instead of "gumblar.cn". It had been changed their IP Addr and Google still not awared here. Unfortunatery, if you visit here without any protection, you'll be yielded same behavior as "gumblar".

for more infos
ScanSafe

Thank you.

-----------------------------------

martuz.cn
95.129.145.58

IP アドレスも変更されています。 BLOCK 推奨（HIGH PRIORITY）です。

martuz.cn の診断ページ
martuz.cn の現在のステータス
現在のところ、このサイトは疑わしくないと認識されています。

すり抜けます。

Google Analizer Account をお持ちの方は 報告をお願いします～
11:18 送信済み


95.129.145.58
MDLにまだ報告なし！？
過去の悪行検索 [95.129.14x.xxx] : 2009/03/18 - 2009/05/15 60件ヒット
というわけで個人的に焼いちゃおうかな？焼かなくてもいいですよ：
※MDLのクエリリンクはあまり貼らない方向にしています（アクセス過多っぽいので）

Ventrex LLP customers UK(GB)
95.129.144.0/23 (95.129.144.0-95.129.145.255)

------------
[実験中] : 触るな危険！

-------------
見苦しいから 取り消し線を消せ！と怒られました・・
確かにもう意味ないですよね
どんなミスをしていたか？はコメントあたりを見て笑ってください。

ちょっと補正：（穏便になさいと怒られ）　（；＿；

えーっと、できれば zlkon に関してですが

問題となった IP: 94.247.2.195
逆引き: hs.2-195.zlkon.lv
94.247.2.0 - 94.247.3.255
ZLKON Latvia

このへんにしてください。

94.247.2.195 は現在はマルウェア配布が停止しています 2009.05.16 20:00 JST 確認
しかし、他の関連ＩＰは元気に活動していますので注意が必要です。
またいつ再開するかも予断を許さない状況です。

正規サイト改ざん(3)　ウイルスに感染しないための対策
So-netさんも推奨する、由緒正しい焼却対象ですので安心して焼いてください（苦笑）

----------
Gumblar の最小範囲を焼くためなら

94.229.65.172
94.229.65.160/27 (94.229.65.160 - 94.229.65.191)
でも OK です

過剰防衛気味の方は、以下の範囲でもＯＫです。

********** WARNING HIGH PRIORITY **********
94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
gumblar - 2009.05.02
UK Dedicated Servers Limited
- (gumblar -- Russian )



-----------
ひとりごと・・・・個人的には

78.109.29.112 (BotNet C&C)
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
Botnet C&C by Gumblar - 2009.05.09
Datacenter Hosting.UA Ukraine


195.216.160.0 - 195.216.191.255
Junik New range -- 2009.05.15
JUNIK Riga Network Latvia


********** WARNING HIGH PRIORITY **********
213.182.192.0 - 213.182.223.255
gumblar relative 2009.05.07
JUNIK Riga Network Latvia

個人責任で、このへんを焼いておくのもいいかもしれませんね。

-------------------
一部記事が間違えていた部分の修正を行いました。

一般の方は見る必要はありません。
ほんとですよ！

ウチはScanSafeの広報担当じゃないんですが・・ココしか詳細なレポを上げてくれないので・・・

Gumblar Compromised Sites Up Another 9%

5:30AM PST(※あれ・・ScanSafeって英国の会社じゃなかったのかな）
Gumblarに感染したサイトが更に9%増加、先週から 215%の増加となっています。しかしこの状況にも光明が見えます。9%の増加という数値は、我々が Gumblarを見かけてから最低の増加率です。これはメディアによる警報によりサイトオーナーが気がつき、クリーニングを始めたということ（だと信じたい）です。

次の２つの点に留意してください。

ScanSafeのデータは顧客の実ブロックデータを基しています（※顧客先に入っているIDSの警報と連動している）。したがって、顧客がGumblarに汚染されているサイトを訪問したことを検知した際に、そのユニークなドメインを感染サイトとして検知、「gumblar感染ドメイン」としてカウンティングしています（そう、すべてのScanSafeの顧客は我々の提供するアンチ・マルウェアサービスによって保護されています）。留意すべきは、ScanSafeがレポートする「感染ドメイン数」は、実際に感染している（であろうと思われる）サイト数よりもはるかに少ないのです。

第２に、Gumblarに感染したサイトの所有者は、その感染の手段が「盗まれたFTPアカウント」経由での改ざん「だけ」がアクセスの手段のように解釈しているかもしれません。しかし、もし貴方のＰＣが感染していれば、バックドアによるアクセス監視が行われていることを理解すべきです。これは、単純にFTPのパスワードを変更しても安全では無いことを意味しています。このことにより、サイトオーナーは過去に侵入されたかもしれないことをチェックすべく、(FTPの）ログを丹念に検証する必要が発生するかもしれません。これらは、.htaccess、php の _include、その他の設定等と同様に、ディレクトリのパーミッション設定なども正常かどうかチェックする必要があります。

補足になりますが、Gumblarに感染したサイトには悪意をもったイメージファイルがアップロードされていたとの報告を受けています（原文：malicious image files may also have been uploaded）。ある状況によっては、MIME-sniffingとして知られたプロセスを通し、Internet Explororブラウザは html と同様に、この image fileを実行してしまいます。このことは、ブービートラップのように埋め込まれたイメージの中のスクリプトを実行してしまうことを意味しています。附記的な注意になりますが、すべてのイメージファイルをバックアップから再アップロードしてください。
※注意：先に全サイト内の全部のディレクトリからすべてのファイルを消す必要があります。


最後になりますが、重要なことです。あなたがGumblarによって汚染されたウェブサイトの管理人なら、あなたがそのサイトの管理に使用したひとつ、あるいは複数のＰＣがウィルス汚染されているかもしれない点を留意すべきです。結果的に、攻撃者はあなたから窃取したＦＴＰパスワードを使用して最初の攻撃を行っています。ですので、絶対に感染したＰＣで感染したサイトのクリーンアップを行わないでください。貴方はまず先に、感染しているかもしれないローカルなＰＣのクリーンアップから開始しなければなりません。

また新しい情報が・・・・

MIME-Sniff

Internet Explorer 8 のセキュリティ : 総合的な保護
MIME 処理 : Sniffing オプトアウト
IE8によって修正された MIME-処理変更

逆説的に言えば IE7以前はこうなるということです・・・

[SECURITY] Atom や RDF を利用したXSS Atom や RDF を利用したXSS -- 2007.08
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。

Yahoo UK(英国)のヘッドラインにどっかでみた文字列が

'Gumblar' attack explodes across the web


へぇ～ Gumblar こわいねぇ
自分で書いてても自己嫌悪になりそうです

'Gumblar' attack explodes across the web
Because the infection is so hard to get rid of, researchers say that Gumblar has enjoyed far more success than previous malware attacks.
このインジェクションは以前にくらべて除去（検知）が難しく、研究者は'Gumblar'は前回のマルウェアアタックよりも、「より効率的」な攻撃の成功を楽しんだ(enjoyed)であろうと話した。

被害の拡大を未然に防ぐことが出来た気がしないでもないんですが、どうすることもできなかったんでしょうね（嘆息）


--------------
ヨミサーチを設置後、htmlソースがおかしくなりました。

私の朝の（ささやかな至福の）コーヒーがコボレました。