[Gumblar] 次のワンセット
IP:
87.106.103.122
Domain:
| DOMAIN | Google Block | Google blocked count | Google Last Date |
| autobestwestern.cn:8080 | BLOCKED | 8 | 2009-05-16 |
| bestfindaloan.cn:8080 | SAFE | 0 | NOT YET |
| bestlitediscover.cn:8080 | BLOCKED | 76 | 2009-06-05 |
| bestlitetopfind.cn:8080 | BLOCKED | 5 | 2009-06-03 |
| bestwebfind.cn:8080 | BLOCKED | 772 | 2009-06-06 |
| bigbestfind.cn:8080 | SAFE | 2 | 2009-05-31 |
| bigtopcabaret.cn:8080 | BLOCKED | 1830 | 2009-05-14 |
| bigtopmanagement.cn:8080 | SAFE | 3 | 2009-06-01 |
| giantbeaversdiet.cn:8080 | BLOCKED | 29 | 2009-05-25 |
| giantnonfat.cn:8080 | BLOCKED | 4 | 2009-05-19 |
| findbigbrother.cn:8080 | BLOCKED | 492 | 2009-06-06 |
| finditbig.cn:8080 | SAFE | 0 | NOT YET |
| findyourbigwhy.cn:8080 | SAFE | 1120 | 2009-06-06 |
| greatbethere.cn:8080 | SAFE | 1 | 2009-03-27 |
| homenameworld.cn:8080 | SAFE | 3 | 2009-05-29 |
| hugebest.cn:8080 | SAFE | 1793 | 2009-06-06 |
| hugebestbuys.cn:8080 | BLOCKED | 1023 | 2009-05-15 |
| hugepremium.cn:8080 | SAFE | 0 | NOT YET |
| hugetopdiscover.cn:8080 | SAFE | 1428 | 2009-06-06 |
| litepremium.cn:8080 | SAFE | 0 | NOT YET |
| litetopdiscoversite.cn:8080 | BLOCKED | 1457 | 2009-05-28 |
| litetopfinddirect.cn:8080 | BLOCKED | 10 | 2009-05-29 |
| litetopseeksite.cn:8080 | BLOCKED | 5 | 2009-05-25 |
| lotbetsite.cn:8080 | SAFE | 0 | NOT YET |
| lotwageronline.cn:8080 | SAFE | 0 | NOT YET |
| namebuyfilmlife.cn:8080 | BLOCKED | 3096 | 2009-06-06 |
| nanotopdiscover.cn:8080 | BLOCKED | 3 | 2009-06-02 |
| nonfathighestlocate.cn:8080 | SAFE | 1 | 2009-06-03 |
| mediahomenameshoppicture.cn:8080 | BLOCKED | 1467 | 2009-06-06 |
| mediahousenamemartmovie.cn:8080 | SAFE | 1 | 2009-05-30 |
| mynewnameshop.cn:8080 | SAFE | 0 | NOT YET |
| technologybigtop.cn:8080 | BLOCKED | 705 | 2009-06-06 |
| thefilmmusic.cn:8080 | BLOCKED | 1132 | 2009-06-06 |
| topfindworld.cn:8080 | SAFE | 270 | 2009-06-06 |
| toplitesite.cn:8080 | BLOCKED | 656 | 2009-06-06 |
| thebestyoucanfind.cn:8080 | SAFE | 1058 | 2009-06-06 |
| tvnameshop.cn:8080 | BLOCKED | 456 | 2009-06-06 |
| usednamestore.cn:8080 | SAFE | 1 | 2009-06-03 |
| yourlitetopfind.cn:8080 | BLOCKED | 1583 | 2009-05-21 |
ていうかしつこいよ(泣)
ぐぐる先生のブロック基準がよくわかりません・・・(2009.06.07 15:00-JST 時点の調査です)
-------------------
1&1 Internet AG SCHLUND-CUSTOMERS
Great Britain(United Kingdom)87.106.100.0 - 87.106.103.255
あれれ? 1&1 ですか・・??
こういうとこに差し込まれるのが一番困る
MSも泣いているかもしれない
海外での導入事例集:1&1 Internet AG私も泣いてますよ、ええ・・関係者がモロにここホスティングだし!
とりあえず、他の悪事に引っかからないので単体指定です。
ドイツの1und1ルータ群から飛んでるので、本当に英国なのかどうかは?ですが(たぶん)英国内のデータセンターなのでしょう
ま、ドイツのデータセンター内の「英国向けラック群」かもですけどね
-------------------
もともと、4-job。com というサイトがあり、そのアカウント情報を不正使用されているのかもしれないという意見を貰いました。
4-job。com 自体は現在も運用中。
1und1のシステムに限らず、FTP PASSを知られるとDomainの移管なんかも可能なサイトは多いかもしれません。
つまり、自分が知らない間にサイトが乗っ取られて、どんどん悪事に加担しているかもしれないと・・・
これって、「過去に Gumblar に感染したサイトの末路はこうなるかもしれない?」という恐ろしい示唆なんですが・・・・
-------------------
現時点で過去の攻撃手順との明確な差異は見当たりません。
Adobe Flash Player の最新版へのアップデートAdobe Acrobat Reader の最新版へのアップデート 注意:最新版 9.1.1 は、まず
9.1をインストールした後、9.1.1 Updaterを使用します。また予防措置的にAdobe Acrobat Reader の PDF-JavaScriptの機能停止を行いましょう。
Update on Adobe Reader Issueできればブラウザの JavaScript も何らかの予防措置が必要ですが、恐れていた「陥落サイト内で全てを実行させられてしまう」環境が整ったことにより、NoScriptだけでの安全性保持が難しくなってきました。
現時点では、まだ有効ではありますが・・・
-------------------
人様の環境にウィルスなんかダウンロードできるわけもなく
出向中の身なので、解析とかできないんですけど、一応・・・
どうもコレらしい?というリンクをもらいました。
MD5:0xB9E6EC4AE89C7CBF5FB7AF30B5751F1A何だか、従来型の Zlkon/Gumblar (sqlsodbc.chm使用 / drivers32:aux= に登録)とはうって変わっていますね・・
というか、LuckySploits のマルウェア動作に似ているような印象を受けます。
しかし・・・この悲惨な状況はいったい?
load.exe -- 2009.06.07 02:24:26 (UTC) 2/39 (5.13%)
6 月 8th, 2009 at 5:47 AM
[...] YET 2009.06.08 AM5:00 JST現在の調査 MDLリストを元にしたもの (*)印は昨日と重複 また、別のIPも確認されています。 IP: 213.165.80.179 [...]