Archive for 6 月 28th, 2009

日曜日の落穂ひろい

Posted in RiskHedge on 6 月 28th, 2009 by gnome

日曜日はまた・・・・雨

----------

ほんとに何て呼べばいいのかわからない :8080 インジェクション攻撃ですが
現在のところ以下のような IP での攻撃が続行中の様子

64.91.254.692009.06.25AS32244
77.37.18.362009.06.25AS44146
77.37.19.432009.06.25AS44146
77.37.19.1732009.06.26AS44146
77.37.19.1792009.06.26AS44146
84.16.247.122009.06.24AS28753
89.171.115.102009.06.23AS12968
88.191.78.482009.06.23AS12322
90.156.144.782009.06.24AS25532
91.121.146.1012009.06.24AS44146

84.16.247.12 は従来とは違う形(偽AV誘導)ですので、少し注意が必要です。
この AS28753 (NETDIRECT) も防弾ホストっぽいですねぇ

ちなみに
77.37.18.36
77.37.19.173
77.37.19.179
77.37.19.43
90.156.144.78
この5つのドメインのラウンドロビン (MDLでは Fast-Fluxと言ってますがどうなのかな?)で存在する ドメインは・・・

この有様

ドメインを Hosts に登録するのもイヤになりそうです。

----------

すっかりお馴染みの LeaseWeb (AS16265)です

95.211.9.25に、michael-jackson-and-brooke-shields.a2h.usとか変なドメインがいっぱい・・・

まぁ・・もう何も言わないことにしましょう(苦笑)

----------

最近、クラウドクラウドと言われてますが・・・


2010年版コンシューマ市場向け “超軽量級(ウルトラライト)”マルウェア対策4製品をリリース(日本語版含む)

コレの販売版ですね。
Panda Cloud Antivirusをリリース: 業界初の無料クラウド型アンチウイルス シンクライアントプロテクション 2009.04.29


私も100%理解しているわけではありませんが、IDE(ウィルス定義ファイル)を内部に持たずに挙動が変なファイルを検出したらその都度、ネット経由のデータベースに紹介するものです。

誰かが saclifice になると、他のみんなのタメになるという自己犠牲精神バンザイのシステム・・・いう認識ですけど、間違ってるかな?(笑)
こうしたシステムの要は、どれだけの数のユーザがシステムに参加しているか?によって検出率に直結しますので、シェア=検出率ということにもなりますね。

同様のネット経由の自動検体を行っているのは
TrendMicro (Smart Protection Network)
McAfee (Artemis)
F-Secure (Deep Guard)
Kaspersky Lab (Kaspersky Defense Network)
BitDefender
ってとこなのかな?

しかしこれ、MD5/SHA-1ハッシュの提出ならいいけど、自動で実ファイルを送られることに懸念をもつ企業も多いでしょうね・・
あと・・名前とFaviconがなぁ・・かわいいんだけど(苦笑


ともあれ、メモリ不足のユーザはお試しあれ~

----------

パスワードのマスキングは廃止すべき

んーん・・
ヒトによるかなぁ・・

特に今後増えていく、高齢のネットユーザはパスワードそのものを嫌う傾向があるのも事実

4桁の数字だけのパスワードにしてほしいって要望は意外と多い・・・
それってパスワードじゃなくて PIN ですがな・・

----------

Leave A Comment »

2009.06.28 SUN

Posted in security on 6 月 28th, 2009 by gnome

日曜日は曇り~

----------

マイケル・ジャクソンの悲報の影響は大きくて・・

MSN Bot Plays on Controversy over Michael Jackson’s Death

MSN(Microsoft Messenger)のspamが横行しているようです。

ここに出てくる HI5 というキーワードですが、現在はおとなしくなっている米国のSNSで、以前はspamまがいの勧誘やらで話題にのぼったこともありました、

今日は「Hi5」どころじゃない。SNSのナンバー3が人員の10~15%をレイオフ

というニュースの後はパッタリと話題に上らなくなっていたのですが・・・


Michael Jackson News Affects Web Traffic

the % of long-tail URLs associated with Michael Jackson
グラフに単位がないんだけど・・・たぶん 20% 前後ってことなんでしょうね(笑)

----------

The Nine Ball

厄介な大規模Webサイト改ざん事件が再発生

こないだの記事の日本語訳なんですが、ちょっとだけ気になったのが

CVE-2007-2496
Word Viewer OCX ActiveXコントロールに関するバッファオーバフロー
The WordOCX ActiveX control in WordViewer.ocx 3.2.0.5 allows remote attackers to cause a denial of service (Internet Explorer 7 crash) via a long (1) DoOleCommand, (2) FTPDownloadFile, (3) FTPUploadFile, (4) HttpUploadFile, (5) GotoPage, (6) Save, (7) SaveWebFile, (8) HttpDownloadFile, (9) Open, (10) OpenWebFile, (11) SaveAs, or (12) ShowWordStandardDialog property value.

聞いたこともないアプリだったわけですが・・

Edraw Viewer OCX For Word v3.2
http://www.officeocx.com/
現行バージョン 3.2

Office OCX Word Viewer Multiple Method Remote Command Execution Vulnerability
Affected: Office OCX Word Viewer version 3.2.0.5 and prior
ってことは放置状態ってことですか?(苦笑)

しかし、この単体アプリの問題のために、IE全体で ActiveXをとめるってのもどうなんでしょう?(苦笑)
Internet Explorer で ActiveX コントロールの動作を停止する方法

まぁ・・これをきっかけにActiveXコントロールを KILL してしまうのは悪いオプションではないのかもね

----------

DNS amp

DNS amp - impactpoint.ru , editdns.info

いろんなアナリスト?ネタとしてどこかでしゃべってた人たちがいたのに、攻撃発生状況は継続しているけど最近は全然情報として聞かないですね。。。

被害規模の問題なのか、目立つ被害が見えない?から、それとも他のDDoSと同じで珍しいものではなくなったから?古いネタになったから?確かに去年かおととし最初にさわがれた時点でもbotを利用したDDoSの中の割合でいえばかなり小さな、地味な話だったわけで、、、

で、まぁ、とりあえずDNS ampはいまだに継続してますということで。

ウチもそうならないように気をつけないといけませんね・・・

とりあえず DNS amp に関する情報は

分散サービス拒否(DDoS)攻撃を仕掛けるDNS ampとは? -- 2006.08

DNS ampの踏み台サーバになるのを防ぐ(コンテンツ・サーバ編) -- 2006.08

DNS ampの踏み台サーバになるのを防ぐ(キャッシュ・サーバ編) -- 2006.08

DNS の再帰的な問合せを使った DDoS 攻撃の対策について -- 2006.03


ネームサーバ診断
「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断です。

----------

学校非公式サイト等の監視を開始しました!

ふぅ~ん

そもそも 学校非公式サイト(いわゆる学校裏サイト)をどうやって特定するんだろう・・

----------


Leave A Comment »

ホットワード padding margin 日曜日 落穂 インジェクション
割引クーポンまとめ情報 - クー割