Archive for 10 月 19th, 2009

[EMERGENCY] THE MASSIVE COMPROMISED via Gumblar

Posted in Announce, Trouble, apologize, security on 10 月 19th, 2009 by gnome


[EMERGENCY]

恐れていた事態になりつつあります。
現在進行中の 新・Gumblar は尻尾がつかめません。
さらに、CMS内に埋め込まれているものは base64 で難読化されている様子で、おそらく数倍~数百倍のケースで陥落サイトが存在しているのではないかと推測されます。

SEARCH = "<script src=http://" ".php ></script>"
キリガナイ・・・

hXXp://picshic.com/buxxx/25.php
description: error: "eval()'d code on line 1"

hXXp://o0w0o.com/tmp/wedding.php
description: eval(Base64_decode -- Joomla forum

hXXp://movieinthepark.ca/scripts/MITP_2009_01.php

hXXp://kanto.ac.jp/course/VIVID.php
description: Hacked with eval(base64_decode - Please Help
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH (11サイトを感染させているのは検出してる・・)
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)
Googleセンセイどうした!?

hXXp://75oal.k12.tr/aile_dosyalar/bina3.php
description: Strange behavior...

hXXp://elpotrero.com.ar/seleccion/Maradona-Marsella.php
description: Malicious attack

hXXp://mobydickrock.ru/hope/yandex_66a7973f6eaf9ba9.php
description: Have been hacked -- Webdevelopper.com
description: Have been hacked--pls help -- php builder

hXXp://minusy.ru/logs/sendtoemail.php
description: a strange change has been commited on my site -- OpenCart

hXXp://globe-safaris.com/Files/Travellers_Tips.php
description: errored out, whole directory down? -- PHP Link Directory

hXXp://galladance.com/education/license-ru.php

hXXp://luxuryretreatsatcapcana.com/userfiles/email.php

hXXp://melstra-techniek.nl/images/contact.php

hXXp://cafede.sakura.ne.jp/shibuya_staff_diary/cafe_links.php
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)

hXXp://taxidermiaferron.com/Contacto/desktop.php

hXXp://singingbowlcentre.com/images/pas1_bg.php

hXXp://shoppingsurat.com/images/outputinfo.php

----------
ど・・どうすりゃいんんだい!?
って感じなんですが・・・

こうした踏み台陥落サイト群は、次々と使い捨てにされる傾向があります。もし、ゼロデイの脆弱性を使われれば、自己防衛の方法が極めて狭められることになります。

Firefox+NoScript のような環境下で、iframe もデフォルトは OFF にしておき、相手と心中してもよいくらい信用しているサイトだけ JavaScript の実行を許可する癖をつけるしかなさそうです。

----------
あと、こっちも
メンテナンス・障害情報:www3サーバの表示速度改善のための緊急メンテナンスについて
本日、www3サーバにて表示速度改善のための緊急のメンテナンスを行っておりました。
現在、一時的に復旧しておりますが、メンテナンスは正常に終了できていないため、
後日、再メンテナンスを行います。
ご迷惑をおかけし申し訳ございません。
申し訳ありません(というか何もできませんけどね)
EoF

4 Comments »

2009.10.19 月曜日(手抜き版)

Posted in security on 10 月 19th, 2009 by gnome

バーゲンの日
海外旅行の日
日ソ国交回復の日
ブラックマンデー

----------
[APLOGIZE]

現在 www3.aword.jp サーバが不調のようで、まったく繋がらない状況が多々あります。
無料なので文句は言えないんですがネ
移転先を探していますがなかなか見つかりません(苦笑)

----------
[EMERGENCY]

Gumblarの侵攻が始まっています。
今回は名前をなんてつくればいいんでしょうね・・?
今回の攻撃は、Martuz閉鎖後の 「英単語x3.cn」「3文字」:8080 インジェクション同様、 複数の「過去汚染された」サイトが感染ファイル配布元として機能しており、 Fast-Flux的なそれらの配布元は使い捨て踏み台にさせられています。
おそらく、危険サイト/IP をブラックリスト化する方法では追いつきません。

gumblar・martuz
このスクリプトは集めても徒労ですね…。
スクリプトも難読化のパターンを逐次変更しているようですので、ブラウザの時点での水際防護は困難のようです。

さて・・と
とりあえずやるべきことの復習

Windows Update の実施

Microsoft Update の実施 (特に Office ユーザ)

Adobe (Acrobat) Reader の最新版の適用 ver 9.2
※Ver 9.2 より JavaScript-OFF環境下でJavaScriptコードの入ったPDFが実行されると警告が発生し、ユーザに注意喚起をする設定になっているようです。ただ、JavaScriptそのものはデフォルトでは ON のままですので、JavaScript実行環境をOFFにすることを強くお奨めします。

Adobe Flash Player の最新版の適用 ver 10.0.32.18
Adobe Flash Player のバージョンテスト
※インストール時に McAfee Security Scan が「デフォルト」でインストールされますので、不要の人は注意
※IEと他のBrowserをインストールしている方は、必ず IE上とその他のWeb Browserでプラグインのチェックを行ってください。

Java JRE の最新版の適用 JRE6 update 16
※JREの古いバージョンが PC内に残っている場合は(よほどの理由がない限り)不要ですので削除しましょう。
※ JRE6 update 15 が最新として定義されていることもありますが、up15 と up16 の違いはデバックオプションの問題のみですのでセキュリティ・ポリシーが変更できない場合 up15でも現時点では有効です(長期的にはセキュリティポリシーの柔軟な運用のほうが重要です)

QuickTime Player for Windows の最新版の適用 QuickTime 7.6.4
※勝手にインストールされる Safariに注意しましょう
※QuickTime for Windows はあなたの Windows 環境下に本当に必要ですか?

そして、定期的なバックアップ!
転ばぬ先の杖とも言うではありませんか?(笑)
Backed up, lately ?

Webサーバを稼動させている方へ
自分の周辺のヒトに薦めているのは以下のようなコトです。

FTPの使用の中止
FTPはID/Passwordの情報が素で流れますので、Gumblarのようなパケットスニファの機能を持ったウィルスに感染すると、同一ネットワークセグメント内のすべてのID/Password情報が抜き取られる恐れがあります。
SFTP/FTPoSSLのようなセキュアな環境を使用するようにしましょう。

FirewallやTCP-wrapperの設定
許可したIP群やASN以外からのFTP/SFTP..etc のアクセスを弾いてしまうことは、根源を絶つという意味で非常に有効です。

定期的な改ざんチェック
rsync のような同期ツールを設定し、自分の意図していないファイル改変(改ざん)をチェックすることは、非常に単純なスクリプトで最後の防壁になってくれるでしょう。

使用中のソフトウェア・コンポネンツの脆弱性検査
Secunia
無償のPC導入ソフトぜい弱性検査ツールを評価する
PCにインストールされたソフトの脆弱性を一括調査する「Secunia PSI」が日本語化

----------
Day 18 -- Telnet

Computer Security Awareness Month - Day 18 - Telnet an oldie but a goodie
Telnet is a grandpa(ma) of protocols.
というか埋葬したほうがいいんでしょうかネ?

でも、ちょっと環境上の問題で使ってたりします(苦笑)

----------

短縮版なのでこんな感じで・・・

あと気になったニュースは

Hacked Newspaper loads Google News with malware sites

Source of badness: Group Vertical Ltd (AS49365)
JUNIK-RIGA-LV マタオマエカ

----------
status:
| 1255914019 | B | [goog-black-hash 1.42502 update] |
| 1255914015 | M | [goog-malware-hash 1.16547 update] |
| 815605 |
| 343764 |

EoF

1 Comment »

ホットワード padding margin MASSIVE 現在進行 尻尾
割引クーポンまとめ情報 - クー割