UnderForge of Lack

日曜なのになんでこんなに多いんだろう・・・

----------
Imageshack got hacked

黄色の蛙がトレードマークの、画像イメージのホスティングサイト ImageShackがハッキングを受けた模様。

Imageshack
We are aware that Imageshack was attacked by the anti-sec group. This seems to be affecting other sites that draw images from imageshack such as user pages on blogger.com.

ImageShack Hacked by Anti-sec Movement -- Mashable

この、"Anti-Sec"という自称ハッカー集団は、例の OpenSSHのデマを流したり、Altavistaをクラックしたりとなかなか手の長い活動（？）を行っているようです。

現時点では公式での情報はありませんが、念のために ImageShack でID登録を行っていた方は、同一ID(email)で登録されていたパスワードの変更を行い、水平漏洩を防止してください。

----------

あれ？（笑）

milw0rm

あれれ？（苦笑）

inj3ct0r

Injectorってイヤなサイトだなぁ・・でもウォッチしよう（笑）

----------

Websenseの月間脅威レポート
This Month in the Threat Webscape
・・・・・・・
長いよ！

でも、この YouTube Video はけっこう面白かったです（笑）
毎月やってるのかな？と思ったら、先月からやってたんですね
wslabsutube さんのチャンネル

抜粋：

６月は大規模な Malicious emailキャンペーンの月でした
メジャーなニュースに便乗する形で大量のスパムがバラまかれ、大量のMalCodeが拡散しました。
Michael Jacksonさんの死やエールフランス機の事故などがspamのターゲットになりました。

同時に大規模な陥落（Compromised)インシデントが発生した月でもあります。
BeladenやNineBallのような数万規模のサイト陥落事故が発生し、
Twitterでの短縮ＵＲＬを悪用した誘導攻撃が行われ、
MicrosoftのZERO-DAY攻撃が立て続けに発生し、多くのＰＣではパッチを充ててないまま放置されています。

Websense的には、NineBallはまだ "ongoing" ということですが、実際のトコ本当にこれだけの数の陥落サイトが存在したのかどうかははっきりしません。
いずれにせよ、多数の感染経路・手段のインジェクション攻撃が入り乱れて発生していることだけは間違いありません。

----------

で、その Websense 発警報
Official Web Site for Malaysian Ministry of Foreign Affairs Compromised

マレーシア外務省のサイトが陥落していた模様・・現在は復旧しています。

想像でしかありませんが

neglite.com 系の インジェクションではないかと？

旧 95.221.15.44

有効なAレコード無し
neglite.com
brugeni.net
beidzan.com
klaomta.com

79.114.217.39:
ibalefo.net
deisvop.net

特徴として
/?click=5201F52 のような数字が並びます。

参考：
Analysis report for hXXp://fastbrakes.com/shop/index.php -- 2009-05-29 16:09:12

----------

VMware happy patch day

[Security-announce] VMSA-2009-0009 ESX Service Console updates for udev, sudo, and curl
ESX 4.0
-------
ESX400-200906001
http://tinyurl.com/ncfu5s

[Security-announce] UPDATED VMSA-2009-0008.1 ESX Service Console update for krb5
ESX Service Console update for krb5
Updated after release bulletin ESX400-200906405-SG for ESX 4.0 on 2009-07-10.
http://tinyurl.com/ncfu5s

ちょ・・・tinyurlなんか使わないでくださいよ・・（苦笑）

VMWare Security Advisories
Happy patching!
happyじゃないとおもう・・・タブン

----------

先日の独立記念日から続いているDDoS攻撃ですが、感染者には DDoS攻撃関与者という不名誉な栄誉が与えられるとともに・・・

Trojan.Dozer - Kicking You While Your Website is Down
For files which are less than 5MB, it overwrites the data in the file with all zeroes. For files which are greater than 5MB, only the first 5MB is overwritten. This corrupts the files but maintains the file size so affected users may not be aware of a problem until they attempt to open any files. If the file is less than 5MB, it will also take the overwritten file and place it into an archive using the original name and a .gz extension. For example a file called "work.doc" will be in an archive called "work.doc.gz". These archives are also password protected with a random password, possibly to trick the user into thinking they are infected with some form of ransomware. And finally, to add to the user's woes, it will also overwrite the MBR and delete some other critical boot information, meaning that the computer will no longer be able to boot.

5MB以下のファイルは全てのデータが"0x00"で埋められ、5MB以上のものは先頭の5MB分がZEROで埋め尽くされます。この破壊活動は(Botコマンドが）ファイルを開こうとしないかぎり発生しないため、感染者が気がつきにくくなっています。また、ファイルが 5MB以下の場合、オリジナルのファイル名に .gz 拡張子を付けた gzipファイルが作成されます。たとえば、"work.doc"というファイルは "work.doc.gz"というファイルにアーカイブされています。これらのアーカイブファイルはランダムなパスワードによってロックされており、恐らくはランサムウェア的な用途に使われることでしょう。そして最後に、ユーザを絶望に陥れるべく(to add to the user's woes)、MBRを上書きし、Critical boot informationを消去します。このことは、そのコンピュータは二度と起動しないことを意味しています。

ひ・・ひどい・・・・・・

やりたい放題で最後は「このテープは自動的に抹消（ry」
って感じですね

Trojan.Dozer
Risk Level 1: Very Low
どこが！？

----------

稟議かよ！

セキュリティ対策にふさわしい「漢字」とは？

いや・・「望」らしいですけど、それよりも「躾」のほうが先だとおもいますよ・・

----------

またスッピンからやり直し
冗談はさておき、今のところIFRAMEのすっぽ抜けは確認できていません。

おつかれさまです！

自分のほうも（Linux上からですが）特に問題は感知しませんでした。

requestpolicyは、そのサイトに埋め込んである javascriptは「そのまま」動作してしまいますので、陥落サイトに直接悪意コードを埋められると意味がなくなります。
あと、jpegとかも全部ブロックするので、激しくサイトデザインが破壊されるような・・

どんなサイトでも、許可しない限り一旦ブロックする NoScript のほうがセキュリティ的には上だと思っています。
※許可は基本的には一時的！

Firefoxを使う理由は人それぞれでしょうが、私は