UnderForge of Lack

----------

ThunderBirdがセキュリティアップデートしました。

Thunderbird 2.0.0.22 で修正済み

緊急は無いですが、任意コード実行の可能性のあるものが含まれますので、現在使用中の方はアップデートしましょう～
Thunderbird Ver2.0.0.22

----------

The Nine Ball

Another Messy Mass Compromise Emerges
いまだに１こも感染サイトを見つけられない The Nine Ball ですが（笑）
TrendMicroも
the Nine Ball domain is only one of hundreds of landing pages users can be redirected to
という微妙な表現を使って注意を促しています。

呼び出し側：
JS_DLOADR.ALP
トロイ本体：
TSPY_SILENTBAN.U

BHO(Browser Helper Object)のフックとか、恐ろしく昔の手口のような気がしないでもないですが・・・

XP/2000/2003サーバの方は（それなりに）気をつけましょう
※普通にアップデートして、普通のセキュソフトが入ってれば引っかからないはず。

----------

噂の岬ちゃん(旧コードネーム Morro)がいよいよ登場

Microsoft Security Essentials Beta

ITmedia は eWeek発の変な記事を載せてます。
Microsoftの「Security Essentials」は企業ユーザーを悩ませるか？
企業ユーザーは次のような質問を投げ掛け始めるかもしれない――「Microsoftはなぜ自社のOSをユーザーが安全に使えるようにするのに、セキュリティスイートを別途リリースする必要があるのだろうか？」
いまどきまだそんなこと言ってるような会社の DMZ の内側は Worm の巣窟なんじゃないですか？（笑）

----------

とある spammer のその後

The end of an era?

W. Bloomfield spam king pleads guilty
International spam king Alan Ralsky pleaded guilty this afternoon in U.S. District Court in Detroit to charges of violating federal anti-spam laws by sending millions of emails in a stock-fraud scheme.

Ralsky’s plea deal says prosecutors probably will recommend 35 to 43 months in prison when he is sentenced on Oct. 29.

----------

load.php系 インジェクション

こっちは静かに進行中の様子。感染サイトも発見しましたので、注意が必要です。

インジェクション nolohing.cn ， laed.ru
インジェクション nolohing.cn ， laed.ru 追記

laed.ru lead.ru 148

219.148.202.25 MAINT-CHINANET
58.251.56.239 China Unicom
200.112.152.42 Broadbandtech S. A.
210.1.248.252 FibreNet-Communications
217.219.20.242 Rayaneh Virayesh
以下２つはcNotesさんに記載されていたもの
220.164.82.72 MAINT-CHINANET
216.101.241.225 Barracuda Networks


nolohing.cn nolohing.cn 15 (NON BLOCKED)

92.38.1.11 Masterforex Ltd

Norton先生の検出：
Bloodhound.Exploit.196

使用されているのはおなじみの PDF getIcon Crushのようですので、普通にアップデートしていれば怖がることはありません。
CVE-2009-0927

--

MDLが復帰してたのでちょっとだけ追跡調査

210.1.248.252 は 2009.05.23 に Zeus/wsnpoemの binファイル撒布の履歴があります。
ドメインは ajal.ru
A レコードが laed.ru と同じなので、根っこは同じ Zeus系なのかもしれません。

他の履歴が無いので、範囲焼却はペンディングです。
robtexで見ると 206.101.241.225も存在しますね。


92.38.1.11 には同様に uplifing.cn というドメインが存在します。

ホスティング：
MFOREX-NET 92.38.0.0 - 92.38.7.255 CZ
ここには 92.38.0.41 という大量マルウェア投下(2009.06.07前後）のサイトも在りますので、防弾ホスト認定でいいかと思われます。


----------

アドビ、スマートフォン対応「Flash Player」ベータ版を10月公開へ

まぁ・・脆弱性さえなければ何でも・・・

でも、コレは無い（苦笑）

---------

EoF

濁った頭を、コーヒーでごまかしています

--------------

Apache 攻撃ツール公開

Apache HTTP DoS tool released -- 2009-06-18
According to the web site where the tool was posted, Apache 1.x and 2.x are affected as well as Squid, so the potential impact of this tool could be quite high considering that it doesn't need to send a lot of traffic to exhaust available connections on a server (meaning, even a user on a slower line could possibly attack a fast server). Good news for Microsoft users is that IIS 6.0 or 7.0 are not affected.

攻撃を受けると、reading requestでプロセスがハングアップ状態になってしまい、攻撃側が中断しても処理待ちで waiting queue を消費し尽くすまで無応答に近い状況になります。
Apacheもそうですが、Squid Proxyを運用している所も影響を受ける可能性があります（攻撃されたら）

X-a: b\r\n
を大量に検知した場合は IDS でブロックするルールを設定したほうがいいのかなぁ・・いろいろ調査してみましたが、コレダ！という対処が無い模様。

Apache HTTP DoS tool mitigation

SANSも、これらの緩和策をとる前に、運用中のサーバの稼動状況や稼動モジュールを熟慮した上で行うようにと警告しています。

TimeOut ディレクティブ

I did some testing with lowering this value down to 5 seconds – this might be too low because some slow clients will not be able to get the web page so don't blindly put this in your configuration files.

斜訳：
デフォルトのTimeOutは300秒-５分です。これはDoSツールが(POST/GET)コネクションヘッダを送ってから、5分間キープできることを意味します。デフォルト値の 256 セッションを食い尽くすのにはきわめて簡単です。私は色々試してみた後、TimeOutを 5 sec に変更してみました。この数値はきわめて小さいものであり、低速の回線から接続しているユーザは、処理が完遂するまえにタイムアウトしてしまうことになりかねません。
とりあえず、この(DoS)ツールで攻撃を仕掛けるApacheサーバに 4sec のタイムアウトを設定し様子を見ましたが、それは正しく緩和できているように見受けられました。ただ、このツールは、より余計なトラフィックを発生させます。私の実験では、5sec タイムアウトによるApache環境下で、2MB/min (= ~45 kb/sec) のトラフィック以上になると危険水域に達するようです。

また、mod_limitipconnを使用して、同時接続数を制限する方法も有効です。

いずれにせよ、DDoSにならない限り、単独IP（もしくはProxy経由）ですので、攻撃を受けてから考えるようにしてもよいかもしれません。

Apacheに新たな脆弱性発見

mod_limitipconnによる接続数制限

-----------

Slowloris and Iranian DDoS attacks

例のイランのWebサーバ攻撃にも使われてるっぽいですね

----------
EoF