UnderForge of Lack

大晦日 (年越し蕎麦、除夜の鐘)

----------
2009年が過ぎました。
なんとか投げ出すことなく続けられたのは、さまざまな人の手助けのおかげです。
セキュリティの話なんか無くなっちゃった方が本当は平和なのでしょうが、きっと無くならない気がします・・・

来年もよろしくお願いいたします。

----------
8080 takedown from LeaseWeb
少なくとも２年ほど前から、悪事のたまり場としての汚名を享受し続けてきた LeaseWeb ですが、ここへ来て方針転換を余儀なくされた模様。
Evict Hackers
What more important is I can see the results: mdvhost.com domain name no longer resolve. And none of the malicious domains is currently mapped to IP addresses on the LeaseWeb network.
*clap* *clap* *clap*
MDLとMalwareURLに来年から AS16265 が載らないように頑張ってください（笑）

で、いつものように、C&Cを潰されたため、他のISPに分散している様子。

85.25.73.243	AS8972	PLUSSERVER-AS
62.75.184.40	AS8972	PLUSSERVER-AS
77.37.19.43	AS44146	STARHOSTING
188.72.199.24	AS28753	NETDIRECT

OVH(AS16276)はもう書きませんので、PGBで潰しておいてください。

また、運用しているサーバーやVPS上で nginx を駆動している方は、一度リバースプロキシの設定を確認してみてください。

----------
MalwareはAdobeを狙う
Adobe to be Prime Target for Malware in 2010
別に2010年でなくても、既にそうなっています。
元:
McAfee 2010 Threat Predictions
Based on the current trends, we expect that in 2010 Adobe product exploitation is likely to surpass that of Microsoft Office applications in the number of desktop PCs being attacked.
ここで最大の問題なのは、Microsoft製品は（比較的）自動更新によって穴がふさがれる可能性が高いわけですが、Adobe製品は、自分で気が付かない限り放置されることがほとんどです。
これはAdobeの怠慢もありますが、MicrosoftがMicrosoft/Windows Updateをサードパーティーに開放しない方針を貫いていることが諸悪の根源でしょう。

セキュリティ問題はMicrosoftだけのせいじゃない -- 2009.09.28
IE 7の不具合でWindows XPマシンが乗っ取られる危険性が明るみに -- 2007.10.12
（ShellExecute()プロセス発効時のMS側の言い分）
Microsoft Update を 3rd Party に開放しないのは

別に有象無象の全サードベンダーに開放しろと言うつもりはありませんが、影響の大きいアプリケーションベンダー製品(Adobe, Sun=Oracle, Apple, Mozilla, 各AVベンダーなど）はMicrosoftもしくは、第三者ベンダーの統合アップデート・リポジトリのようなものを作る時期に来ていると思います。
GPL/MITライセンスのものは、SourceForgeで統括管理するとかできると良いんでしょうけど、難しいかな。

なんか最終的に、VeriSignがコードサイニング証明書で儲かる仕組みになってしまいそうな予感も・・・

当分は Secunia PSI のお世話になりそうですね。

----------
mofa.go.jp・・・
Dec. 29 CVE-2008-3005 / MS08-043 Darkmoon RAT Excel Russia Foreign Minister Meeting from spoofed daisuke_hasegawa＠mofa.go.jp Dec 2009 06:50:10 -0000 -- contagio
ロシア外相会議のレジュメを装った マルウェア散布メールがロシアでばら撒かれているようですが、日本外務省、テロ対策室 Daisuke Hasegawa の名前になっているようです。
もっとも、典型的な spoofed mail で、
Received: from unknown (HELO mofa.go.jp) (218.67.146.244) by xxxxx ; 29 Dec 2009 06:50:10 -0000
218.67.146.244 AS4837 China Unicom Tianjin province network

外務省的にコーイウの放置してて良いんでしょうかね？
添付.xls:
1229.xls 4/41 (9.76%)
ペイロード本体：
0x97.bin 11/41 (26.83%)
バックドアをピアスされます。

----------
もう一つの改ざん
検索エンジン被リンク稼ぎ目的の大規模なウェブ改ざん？ -- 無題なブログ
dvdworld.jpによるサイト改ざんseo spam -- てくてく糸巻き
なんというか、検索すると恐ろしい数が引っかかるのですが、どうやってこれが挿入されたのか「？」ですね。
SQLインジェクションにしては整いすぎているので、FTP Credential漏洩かもしれません。

ZeuSの一件でもわかっていることですが、Gumblar/8080などで窃取された FTP Credentialは地下市場で取引され、それを「購入した」犯罪者が、マルウェアに使うか、サイト改ざんに使用するかは本人次第・・・
２重売り３重売りと繰り返されると、そのうち自分のサイトではなくなってしまうかもしれません（苦笑）

Bot操作側としては、如何にサイト管理者に気が付かれない様に、セキュソフトに検知されないようにするか？という手綱の緩急が肝なので、たまにコードが「戦略的に」撤収されたりします。Telnetを使う人が既にいなくなっているのはなぜか？考えると、FTP(平文）を使い続けることの危険性も理解していただけると思うのですが・・・

※もっともキーロガーを仕込まれている場合には SFTPであろうが、FTPSであろうが関係ないわけですが・・・

----------
その他

2000〜2009年: この10年の最大の負け犬（落ち目の製品）は何と何？
Kindle、アマゾン史上最高のギフトアイテムに ＆電子ブックの売上、紙本を上回る
自分的には、こうして印刷業界がどんどんやせ細っていく現状を見て薄ら寒いものを感じます。明日は我が身かと・・・

来年はいい年になりますように

----------
| 1262203266 | B | [goog-black-hash 1.47737 update]
| 1262203204 | M | [goog-malware-hash 1.18285 update]
| 322075 | -2278(324353)
| 1193023 |
EoF

地下鉄記念日 1927年、地下鉄銀座線が開通
証券取引所の大納会
建国記念日（ルーマニア）
KEIRINグランプリ
日本レコード大賞

世田谷一家殺害事件 2000年から９年。
世田谷区の一家４人殺害：妻の姉が講演「犯人につながる情報を」

----------
GSM破られる？
26C3: GSM hacking made easy
斜め読みですが、GSM通信網（2G規格：日本では使用されていない）の暗号化アルゴリズム A5/1（ストリーム） がクラックされたという話。
"We thought we'd need six months, but we managed to do it with forty computers in three months instead"
思ったよりも簡単だったようで・・

2G規格は世界中200カ国で４億人のインフラとなっています。
※日本のW-CDMA(3G)での暗号はKASUMI(A5/3 : 64bitブロック-128bit鍵）が使用されています。

微妙に続く
----------
26C3
26C3: 26th Chaos Communication Congress
昔は怪しいハッカーのお祭りだったのですが、最近は立派なセキュリティー・カンファレンスに権限昇格（笑）しています。MD5のSSL証明書パニックを引き起こしたのは去年の話です。

Here Be Dragons: The 26th Chaos Communication Congress, Part 1
Dragons Everywhere: The 26th Chaos Communication Congress, Part 2

26C3: Network design weaknesses

----------
Gumblar再起動？
はえーよ！
Fox Sports Web Site Compromised
Our research shows that the site has been injected with two pieces of malicious code. One of them is the latest Gumblar(５月のリサーチ) campaign, and the other redirects individuals to a malicious Web site, whose link was unreachable at the time of this alert.

Gumblarの情報送信先？ 5
115.100.250.112 AS9803 JINGXUN, Beijing Jingxun Public Information Technology Co., Ltd
4134配下の時点で既にアレですが、MDLで検索するとトンデモナイ数がひっかかります。
ZeuSやら、Ruskillやら、ほにゃらら Exploit Kitやら・・博物館状態です。

微妙に続く
----------
塞ぐ穴
とりあえずFirewallで遮断しとけってIPは？
My Answer:
キリが無いのでもうやってません

ただ、友人のように（体面的に）何かやってないといけない部署の人は頑張って IDSを更新しているようです。
最近は、robtexでBGPリストをまるごと拒絶リストに放り込んでるようですが（苦笑）

とりあえずといわれるなら

ThePlanet AS2 (21844)
LeaseWeb (16265)
OVH (16276)
ROOT ES (5557)
HETZNER-AS (24940)
JINGXUN (9803)
NEVAL (49314)
4134（笑）

このへんを焼却しておいたほうが良いのではないでしょうか？
どのみち、ZeuSやGumblarは全てがコロコロ猫の目のように変わるので、IP/ドメインで対策をとっても後手に廻るだけです。
また、このあたりの防弾ホストはサイクルで使い捨てにされることが多く、例えば ラトビアの zlkonやjunikといった悪名高かったホストは現在はすっかり勢力を弱めて（正道に立ち戻って）います。

焼却好き（語弊があるかもしれませんが、後で後悔しないように事大主義を執る傾向があるのは事実です）の方は、
DNS-BH - Malware Domain Blocklist
をお勧めしておきます。
企業の方はちょっとくらい寄付してあげてください（笑）

#202.221.179.13 = slashdot.jp
----------
新しい穴
BigAnt Messenger AntServer "USV" Buffer Overflow Vulnerability 4
Unpatched
BigAnt Server 2.52 SEH (0day)
BigAnt Office Messenger

Kerberos KDC Cross-Realm Referral Denial of Service Vulnerability 3
patch : git a/src/kdc/do_tgs_req.c b/src/kdc/do_tgs_req.c
The vulnerability will also be fixed in the upcoming krb5-1.7.1.
Kerberos認証システムで、KDCが停止するとかなり厄介ですので、気をつけましょう。

あと、よく調べてませんが

AproxEngine Multiple Vulnerabilities 3
Unpatched

Joomla iF Portfolio Nexus Component "controller" File Inclusion Vulnerability 3
Unpatched
Edit the source code to ensure that input is properly verified.

MySimpleFileUploader File Upload Security Issue 3
Unpatched

Joomla!の日本でのシェアがよくわかりませんが、米国内ではそこそこ浸透しています。

----------
Symantec Incidents

What's up with port 12174? Possible Symantec server compromise?
Port 12174
うは・・

Symantec Alert Management System 2 multiple vulnerabilities -- April 28, 2009
If using Symantec AntiVirus Corporate Edition, Symantec Client Security, or Symantec Endpoint Protection, apply the appropriate update as described in Symantec's advisory referenced above.
Otherwise, contact the application's vendor for an update.

期限の切れたセキュソフトは地雷化するものです。

----------
その他

What do you see?
ロールシャッハ・テスト?
spammerのアノテコノテに感心してしまう今日この頃・・

Y2K
～年問題

近々のところでは、

2010年のSHA-1(1024)廃棄問題（本気でそうなるとは思えないほどノロマな進捗）
※間近に迫る「暗号の2010年問題」、企業が取るべき対応は？－RSAセキュリティ -- 2008.11.08

2010年 Windows 2000 廃棄問題
※Windows 2000 ファミリのサポート期間
延長サポートフェーズは、2010 年 6 月 30 日までを予定しております。

2010年 DNSSEC 移行問題
JPRS、2010年をめどにJPドメイン名サービスへDNSSECを導入

そういえば・・・
JPRSが「秘密結社 鷹の爪」とコラボ、JPドメイン啓発サイト開設
なんか妙なCMやってますよね・・(過去：)
日本語.jpなんか普及させなくていいんですよ・・・（余計な手間が増える）
どうしてもっていうなら、バルマー氏に懇願して XPのCP932を根絶させてからにしてください。

----------
| 1262116845 | B | [goog-black-hash 1.47666 update]
| 1262116805 | M | [goog-malware-hash 1.18260 update]
| 324353 | -1297(325650)
| 1190996 |
EoF

清水トンネル貫通記念日 1929年
シャンソンの日 1990年、銀座のシャンソン喫茶の老舗「銀巴里」が閉店

----------
君の名は？
「GNU GPL」「CODE1」改竄が止まらない
Twitter / rltm: 何も知らない人がライセンスについて調べようと検索したら"ウイルスの情報ばかり。怖いからGPL(を採用するのは/のソフトを使うのは)やめよう・・・とかね。"
これは困りましたね（苦笑）

.ru:8080 のインジェクションは実に由緒正しい（！？）もので、６月頃から存在していました。その頃は Gumblar=Martuzがテイクダウンした直後に始まった、複数単語.cn:8080 と、３文字.ru:8080 に分かれて攻撃がちまちま続けられていたので、自分でもドレがどっちなのかよくわからなくなっています。

複数単語.cn:8080 の例 -- 2009.06.28

３文字.ru:8080 の例 -- 2009.07.26
※この頃、ちょうど Adobe Flashのゼロデイでしたね（トオイメ）

インジェクションの最終受け入れ先を賞賛して
LeaseWebインジェクションとでも名づけてやろうかと思いましたが

Alex de Joode
As to our abuse handling:
When we receive a abuse notification about an ip address we will forward the notification to our reseller with a 24 hour response time. For malware/phishing sites we use a shorter limit. If the reseller/customer fails to respond we normally will null the ip un till the customer has contacted us and ensures us he will remove the offending site/code.
泣きを入れている模様
（もっとも、Unmask ParasiteのDenis氏に、突っ込みを受けてますがネ）

OVH? こっちも由緒正しい防弾ホストですが、あまり取り沙汰されることがありませんね。

良い呼び名が思いつきませんでした、ごめんなさい。

続く
----------
8080（仮称）続報
新手の正規サイト改ざん(1)：国内で急速拡大～ホンダ、信越放送も被害に
新手の正規サイト改ざん(2)：一般ユーザーの方、サイト管理者の方へ
感染サイトを見つけたら、まずはこの２つを貼り付けるかメールで送信してあげてください（笑）
私はもう、個々のサイトへの注意をやる気力がありませんので・・・

偽ウイルス対策ソフト『Security Tool』。改ざんサイト経由の感染が原因？ -- 無題なブログ

昨日、WinAMPの穴ぼこの話を書いたばっかりなのに、コレですか・・

Security Toolsも由緒正しい（いらんわ！）偽セキュソフトですね。
Remove Security Tool and SecurityTool (Uninstall Guide)
BleepingComputerが削除ガイドを出しています。
一番厄介なのが、駆動中のプロセス（ランダム）がありとあらゆる妨害を行うので、
1) rKill.com を使うか、タスクマネージャの代わりになるツールを用いて、以下の怪しげなプロセスを殺します
　８桁の数字で表されているもの.exe
　Security Tool.exe
　uninstall.exe
　doguzeri.dll

2) 再起動せずに Malwarbytes' Anti-Malware を駆動させ、マルウェアを消し去ります。
Malwarebytes' Anti-Malware

手動でレジストリの掃除、ファイルの除去を行ってもよいですが、あまりにも多すぎるためお勧めできません。

参考：上記手順の詳解
セキュリティーソフトを装ったウイルス
参考：HijackThis Log
security toolsが表示され困っております。

微妙に続く
----------
New Wave launched Adobe ZERO-DAY
そして、とうとうこうなってしまいました
Trojan-Downloader.Win32.Agent.cygn
見るだけでもイヤになるビヘイビアですが、これに感染したらアウトどころの騒ぎではありません。
ZeuS系botから送信されています。
yourenter.com AS15435 KABELFOON
load.php 18/41 (43.90%)

Win32/Multidropper.HC

なぜAdobe (Acrobat) Readerは JavaScriptをしつこく ON にするのか？
Adobe Readerの未修正の脆弱性を突いた攻撃が確認される
Adobe 0-day in the wild - again
I've always loved how Adobe claims that Reader's scripting is enabled by default, due to claims that "enterprise customers require it".
どこのエンタープライズ用途で PDFのJavaScriptを使ってるんだ！

使ってます
日本工業標準調査会：データベース検索-JIS検索
orz...

----------
Twitter BAN'ED Password
Twitterで使ってはいけない370のパスワード
（苦笑）

Twitter banned passwords
Twitter and Avoiding Weak Passwords -- The WunderCounter

----------
IIS zeroday
Microsoft puts up a blurb on their website about the IIS 0day.

New Reports of a Vulnerability in IIS
なんか不承不承って感じ・・

----------
あなぼっこ

Fujitsu Products SSL Implementation Multiple Vulnerabilities 3
Fujitsu Interstage and Systemwalker SSL Vulnerabilities
InterstageやSystemwalker関連製品などのSSLセキュリティ脆弱性の問題 (2009年11月13日)

Best Top List Arbitrary File Upload and Cross-Site Scripting Vulnerabilities 4
no patch
Restrict access to the banner-upload.php script (e.g. via .htaccess). Edit the source code to ensure that input is properly sanitised.

----------
時間切れ：

How this weekend's attempted Terrorist attack relates to IT.
米デルタ航空機の爆破未遂に関連して・・・

It's been 10 years
DNS server(Port53)なんか、もう使ってるところは無さそうですが（断言はできませんが）・・・悪意のあるポートスキャンはショッチュウありますね

Good Guys Bring Down the Mega-D Botnet
その後どうなったのか？

----------
| 1262030458 | B | [goog-black-hash 1.47594 update]
| 1262030419 | M | [goog-malware-hash 1.18237 update]
| 325650 | -648(326298)
| 1188297 |
EoF

官公庁御用納め
煤払い（大掃除）
Childmas（幼子殉教者の記念日）(マタイ伝福音書-第二章)
ディスクジョッキーの日
身体検査の日
シネマトグラフの日 (関連：映画史)

----------
8080って何？
基本的には Proxy が Listenするポート番号です。このため 80と443同様外向きに開いていることが多く、汎用的な用途で使用されることもあります。
当然、悪用もされています。

Port 8080を使用したIRCbot C&C:
第3回 通用しなくなった「80番ポートの安全神話」

「じゃぁ、危険だから塞いどくか～」と簡単に閉塞できないのは、8080でサーバを建てているトコが結構多いのです。特にTomcatと連動したASPで駆動しているサービスは相当数存在します。

今回の8080系は、（現在のところ）Nginx が稼動しているリバースプロキシをターゲットにしているため 8080 ポートを明示的に叩いています。
Nginx（エンジンエックス）は軽量で高速駆動し、メモリの消費量が少ないためシェアが徐々に上がっている httpd エンジンです。

Webサーバシェア、軽量高性能のnginxが続伸

http://wordpress.com/
HTTP/1.x 200 OK
Server: nginx

参照:
From Hidden Iframes to Obfuscated Scripts

あと、カスペルスキーの一部が検知できない問題ですが、Kaspersky回避チェックが入っており、KasperskyやKingsoftのプロセスがあると「何もしない」ようになっている（検出レポートを防ぐため）可能性があります。
カスペルスキーユーザとして、これは喜ばしいのかどうかは「？」ですが（笑）
CVE-2009-4324 Doc.media.newPlayer vulnerability in Adobe Reader/Acrobat v8.0 through 9.2 (DEEP INSIGHT) -- WH'S BEHIND
shellcode check for presence of software "Kaspersky Internet Scanner", "Kaspersky AV" or "Kingsoft". If detected shellcode will exit without damage. WHY?? Make your own choice or add a new one:

というわけで、TCP/8080をばっさり斬れない企業の担当者は、地道に危険IPを塞いでいくしかない様子。来年もまたいたちごっこの年になるのでしょうか？

微妙に続く
----------
いたちごっこ

Microsoft Update -- ANYTIME
Mac OS Update -- ANYTIME
Linux Update -- ANYTIME (unless on enterprises server)

Adobe Reader -- DO NOT USE UNTIL 01/12
Adobe Flash -- 10.0.42.34
Java JRE -- Java 6 update 17

Apple QuickTime -- 7.6.5(Win)
Apple QuickTime -- 7.6.4(Mac)
Adobe Shockwave Player -- 11.5.2.602
Adobe AIR -- 1.5.3.9120

Firefox -- 3.5.6
Mozilla Firefox Multiple Vulnerabilities 4
Firefox 3.5.6 で修正済み

Skype -- 4.1.0.179
Skype Extras Manager Unspecified Vulnerability 3
Skype for Windows Release Notes

Pidgin -- 2.6.4
Pidgin Multiple Vulnerabilities 4
Pidgin Security Advisories

WinAMP -- 5.57
Winamp Multiple Vulnerabilities 4
Winamp 5.571 (Latest)

Real Player -- 12.0.0.343
※アップデータもリリースノートも無いため、気が向いてチェックするとあがっていることが多いらしいです。確実なのは RealPlayer 11 に脆弱性があるということのみです。
RealPlayer IVR File Processing Two Vulnerabilities 4
Fortinet discovers multiple vulnerabilities in RealNetworks' RealPlayer

iTunes -- 9.0.2
Apple iTunes ".pls" Processing Buffer Overflow Vulnerability 4
About the security content of iTunes 9.0.1

----------
Microsoftへの圧力？
Pressure increasing for Microsoft to patch IIS 0 day
No response yet from Microsoft that I see, I would expect significant customer pressure is on Microsoft to correct this vulnerability in the January patch cycle.
実害が発生するケーススタディが難しいのでパスされてるのでは？

もっとも、Secunia が 2(Less Critical)だからといって危険度が低いと断定することもできませんが。

実害が発生しそうなケーススタディ：
Microsoft IIS vuln leaves users open to remote attack
"Assume a website which only accepts JPG files as the users’ avatars. And the users can upload their avatars on the server. Now an attacker tries to upload "Avatar.asp;.jpg" on the server. Web application considers this file as a JPG file. So, this file has the permission to be uploaded on the server. But when the attacker opens the uploaded file, IIS considers this file as an ASP file and tries to execute it by 'asp.dll.'

Call バルマー!

----------
ウィルス作成者のその後
【中国】「お祈りパンダ」ウイルスの制作者が出所、IT 企業や専門学校などが興味示す
李俊氏は2007年2月12日に逮捕され懲役4年の判決を受けていたが、模範囚であったため1年あまりの減刑を受け今回出所に至った。
李俊氏は、就職失敗の憂さ晴らしとして犯行に及んだとされているが、現在は有名 IT 企業から中小企業、IT 専門学校など、多数の機関が同氏に興味を示しているとのこと。

お祈りパンダに要注意――McAfeeがウイルス警告

被害者が一斉に民事損害賠償請求するとかね～

----------
2009 Review by GarWarner
2009 Year in Review -- GarWarner
Gary Warner氏はSpamからの誘導ターゲットとして WebMaster コントロールパネルが狙われていることを１番に上げています。
Webmasters Targeted by CPANEL phish
こうして、FTPが１箇所でも陥落すると水平連鎖的にCredentialが漏洩していきます。

IDがemail化したことにより、パスワードの使いまわしが益々危険性を高めているのですが、有効な手段があまり存在しないのが難点です。

----------
今日は大掃除～
----------
| 1261944053 | B | [goog-black-hash 1.47522 update]
| 1261944024 | M | [goog-malware-hash 1.18212 update]
| 326298 | -667(326965)
| 1184904 |
EoF

連日の警報ですねぇ（嘆息）

HONDA陥落
Hondaホームページ　「ストリーム」サイトに関する報告とお詫び
ストリームを担当する制作会社のパソコンが、「Gumblar（ガンブラー）」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。



OMG!

JR東日本に続いて２件目の「大手正規サイト」陥落です。

しかも放置期間が長かったため、事態はきわめて重篤です。

1261064262.dat -- 2ch.net
名無しさん＠そうだドライブへ行こう sage 2009/12/19(土) 00:51:12 ID:BUJ0xUOP0
今公式見ようとしたらカスペが

入力したURLのWebページを表示できません
入力したURL: hXXp://www.honda.co.jp/STREAM/
このWebページはウイルスに感染しています
次のウイルスが見つかりました:Trojan.JS.Agent.awm
この情報が正しくないと考えられるときは、ご利用のサービスプロバイダーにご連絡ください

こんなん出たんだけど俺だけ？

カスペルスキーは 12/13には検出していた模様
Wordpress blog hacked – security issues -- Dec.13
コメント内 12/24
Trojan-Clicker.JS.Iframe.db h t t p ://szn-cz. voila. fr. commentcamarche-net. wintersaleonline. ru: 8080/google. com/google. com/xnxx. com/weather. com/vnet. cn/

同一のものですね。

ペイロード
Trojan-Dropper.Win32.HDrop.aa [Kaspersky Lab]
※MicrosoftはBredlabとして検出

もっとも、いつもおせわになっている さまれぼ 管理人様より
【サイト改竄報告】いよいよ8080系改竄サイト出現！
Kasperskyが無反応だったとの報告も受けていますので、過信は禁物です

WEB/SERVER管理者へ
JR東日本やHONDAのような一流企業が、こんな初歩的な対策を執っていなかったとは俄かに信じ難いものがありますが

・FTP(平文)の全面使用禁止
・(無いとは思いますが)TELNETをポート(23)単位で閉塞
・FTPoSSLでのアクセスは必ず固定IPアドレスのみを受け入れ、その他は DENY ALL する。
・FileZilla使用の場合、パスワードをクライアントに保管しない。
・SSHは基本的には外部開放しない（当たり前ですが！）
・SSHは鍵とパスフレーズを併用し、プロジェクト終了後、個人鍵を破棄する。

このインシデントを起こしてしまったWeb制作会社にはお悔やみ申し上げます。

冗談ではなく、「明日は我が身」くらいの姿勢で臨まないと取り返しの付かないことになりそうです。

参考：
8080 -- FFXI(Ilion様)
※adobeの件は後ほど

CVE-2009-4324の技術的解析（pdf解体)
悪意あるPDF（malicious PDF）に含まれる Exploit コードを pdf-parser.py で確認する -- 思い立ったら書く日記
Let's parse PDF！
outline of interview.pdf
outline of interview.pdf 26/41 (63.41%)
注視部分：
/JS 2
/JavaScript 3

注意！「GNU GPL」「CODE1」Webサイト改竄拡大中
ブラウザのJavaScriptは基本的にOFFにして（それで見れないサイトなんて大抵切り捨てて構わないでしょ？）、心中してもいいサイトだけJavaScriptを許可しましょう。
インシデントを起こしたら全責任は制作会社に降りかかってくるわけですからね～

追記：
Mooterフリー検索
Mooterフリー検索 の検索結果 約 34,900 件中 1 - 10 件目 (0.05 秒)

さて・・どんな対応を取るんでしょうね・・・

----------

Anniversary No.800 が 8080 の Emergency Postでした（笑）

EoF

浅草仲見世記念日
ピーターパンの日

----------

昨日、別の技術職の人から、「難しすぎてわかりませんよ」とか言われてショックを受けているのは内緒

しくしく・・・

----------
インシデントチェック（個人向け）

今回の 8080(違)系インシデントを受けて、周辺でも「ど・ど・どうすりゃいいんだい！？」的な不安が広がっているので、その払拭のために。

最低限の予防線

ウィルス対策ソフトを適切に運用する
この「適切に」という部分が極めて難しく、家庭用パソコンを導入されている方の５人に１人くらいの割合で、こんな状況に・・・

特に期限切れのセキュソフトほどヤクタタズなものは存在しませんので注意が必要です。

無効化というのは、長期休暇で息子や孫が帰ってきて、ゲームやらをしたときに（ちょっとだけ）セキュソフトを切り、そのまま放置というケースがあるようですので、気をつけましょう（苦笑）

右のサイドバーに個人で使用する分には無料のセキュリティソフトが並んでいますので、有料のものを無理して使う必要は無いと考えています。
※特に期限切れ放置してしまうのは、「わかる人」がセキュ設定し、普段はそこに居ないケースが多いです。

OS/ソフトウェアの最新版保持

Windows/Mac OSの人は、自動更新をONにし、一部の自動更新してくれないソフトウェア（最近ようやく Adobe Flashの自動更新サイクルのデフォルトが７日になりました・笑）を手動で更新します。

so-netさんの回し者ではありませんが、以下の秀逸な記事を参考にしてください。
初心者必読！ しないと怖い「プラグイン」アップデートの方法
わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に

不要なコンポネンツの削除

最近はどうなのか知りませんが、以前のメーカー謹製「ホームユース・パソコン」には、ありったけの（使いもしない）アプリケーションやドライバがインストールされており、「そんなアプリインストールした覚えが無い」にもかかわらず脆弱性攻撃に晒されているケースがあります。

パソコンを購入後、（特にご両親のパソコンなどは）不要ソフトの削除をおこなってあげてください。

また、何らかの障害により再インストールした際、脆弱性のあるアプリケーションも先祖返りすることがありますので注意が必要です。

環境の再確認

特に多いのが、地方のCATVに附帯する形で導入されているインターネット契約で、光ケーブルモデム（実際はメタル）と直結になっているケースがよくあります。
インターネット外側（WAN)と直結でGlobalIP(固定IP)を割り充てられている「一般家庭」も多く存在し、BOTの温床になる可能性があります。

接続形態（トポロジー）を今一度確認し、WANとLAN(もしくはPC)との間にルータを差し挟むようにしてください。

実家に帰省する機会があれば、あいさつ回りのついでに、親戚などのPC事情もちょっと見てあげるとよいかもしれません。

※そして休暇がそれで全部潰れても泣かない

最後に

日頃、イロイロ脅していますが（苦笑）
基本的には脆弱性を塞いでおけば、自分から実行型ファイルを駆動させない限りウィルスに感染することはありません。

少し前までは、WEBを見ただけでウィルス感染なんか絵空事だったのですが、昨今はそうでもなくなりました。また、自分が感染したことにより、他人に悪意をばら撒いたりする可能性が多くなってきたため、「自分だけの問題」ではなくなっていることも事実です。

特に（たとえ個人のものであっても）ホームページやblogを開設している人は、自分が加害者になってしまう可能性を念頭に置いて行動し、一人よりも複数のグループ・コミュニティでお互いに注意しあうようにしましょう。

----------
Adobeの怠慢
8080 -- FFXI

Background on Reader Update Ship Schedule -- December 16
# JavaScript Blacklist mitigation - This new feature, introduced in Adobe Reader and Acrobat versions 9.2 and 8.1.7, with the quarterly update in October, allows individuals as well as administrators of large enterprise managed desktop environments to easily disable access to individual JavaScript APIs. More details on the JavaScript Blacklist mitigation are available here. The feature design and our testing for this specific vulnerability indicate the JavaScript Blacklist is an effective mitigation against the threat without breaking other workflows that rely on JavaScript or other JavaScript APIs.

普段からAdobe系のページは巡回しているのですが、完全に見落としました。申し訳ありません。
Adobe Reader and Acrobat JavaScript Blacklist Framework Mitigation for Security Advisory - APSA09-07
JavaScript ブラックリストフレームワークを利用したセキュリティリスク軽減（Acrobat/Adobe Reader）

Windows
企業管理者は、「APSA09-07_C_Reg_Keys.zip」ファイルをダウンロードし、以下の弊社技術文書を参照してレジストリに値を追加してください。
文書番号　236209　JavaScript のブラックリストフレームワークについて（Acrobat/Adobe Reader 8-9）

はい？

• レジストリエディタを起動します。
• 以下のキーに移動します。
  HKEY_LOCAL_MACHINE¥SOFTWARE¥Policies¥Adobe¥＜Adobe Acrobat または Acrobat Reader＞¥＜バージョン＞¥FeatureLockDown¥cJavaScriptPerms
  ※　サブキーに「cJavaScriptPerms」が存在しない場合は作成します。
• 「cJavaScriptPerms」キーを右クリックし、[新規] － [文字列値] を選択します。
• 値の名前に「tBlackList」と入力します。
• 「tBlackList」値を右クリックして [修正] を選択します。
• [値のデータ] テキストボックスにブロックする API を入力します。複数入力する場合はパイプ（|）で区切ります。
  例 ： ＜オブジェクト名＞.＜API 名＞
  Util.CharToByte|App.alert|Collab.getIcon

・・・・・・・・・
（友人は500台）大量のPCを抱える企業のシステム管理者にコレをやれと？


君たちの愛したAdobeは死んだ！何故だ？
Adobe's Name is Mud

----------
おつかれさまでした

Drupal 日本語ディストリビューションおよびリソースキットの更新・配布終了のお知らせ

CMS的に面白そうだったので、これから勉強してみようかな？と思ってた矢先だったので残念です。

----------
| 1261857637 | B | [goog-black-hash 1.47449 update]
| 1261857610 | M | [goog-malware-hash 1.18188 update]
| 326965 | -3016(329981)
| 1181451 |
EoF

ボクシング・デー
元々は、教会が貧しい人たちのために寄付を募ったクリスマスプレゼントの箱(box)を開ける日。スポーツのボクシングとは関係ない
プロ野球誕生の日/ジャイアンツの日
1934年、大日本東京野球倶楽部（後の読売ジャイアンツ）が創立。
※日本初のプロ野球団は1920年に設立された日本運動協会である

----------
新年休暇を前に

シス管の皆様、激動の2009年、お疲れ様でした。

年内最後のお仕事として、以下のチェックをかけてみてはいかがでしょうか？

Firewall/IDSログをチェックし、以下のアドレスをgrepする。

THE GUMBLAR

67.212.81.67	AS10929	NETELLIGENT Hosting Services Inc.
67.215.246.34	AS22298	SecurePrivateNetwork
67.215.238.194	AS22298	SecurePrivateNetwork
91.213.121.160	AS24826	KHARKOV-TERMINALS-AS
91.215.156.	AS15435	KABELFOON CAIW
94.76.250.73	AS29550	Blueconnex Networks Ltd
94.229.65.174	AS42831	UKSERVERS-AS
195.24.76.250	AS5577	ROOT-AS
216.45.48.66	AS22298	SecurePrivateNetwork

このへんの通信が確認されると、社内に Gumblar陥落のノードがある可能性があります。

【注意喚起】Gumblarウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
LACさんはもっと多くのIPを提示していますので、不安な方は更に調査してみましょう。

8080系
From Hidden Iframes to Obfuscated Scripts
Malicious Site (Redirector)

95.211.10.130	AS16265	LeaseWeb
95.211.4.193
91.121.166.221	AS16276	OVH Paris
91.121.211.226
94.23.4.164

Drive-by-Downloader

82.192.88.35	AS16265	LeaseWeb
95.211.4.193
95.211.10.130
91.121.49.129	AS16276	OVH Paris
91.121.166.221
91.121.211.226
94.23.4.164
94.23.206.229

参考！？：
ノーブルジョーカーのホームページ(トップナンバー／東急８０９０)

318x/7o8
一方、318x.com(SQL Injection?)系はメインが 7o8(7to8じゃありません・泣）に変更され、地味に余勢を誇っています。
インジェクション

bmsblog
一見普通のサイトのように見え、検索エンジンにだけ別リンクを返す、大規模なFakeAV誘導サイトも根絶はされていません。
Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.

Scan your account for directories with names mdblog, bmblog, bmsblogs, bsblog, blog. Search for files named index.php and css.js. You can also use the following keywords if you perform full-text searches: coooooool, HAHAHAHAHAH, Blogger Templates.

あと、自分のサイトを毎週１回くらい Google/Yahoo(Bing!) で検索してみるのもよいでしょう。
※隔離サイトの場合には Google/Yahoo バーでの検索は気をつけましょう。

take yourself
あと、納会にむけて胃腸の調整もやっておきましょうね（笑）

----------
déjà-vu
Gumblarと類似したWebサイト改ざんを利用する攻撃【Tokyo SOC Report】
Adobe Reader / Acrobatの脆弱性
どの脆弱性なのか特定できてないのか、種別が多すぎなのか、CVEナンバーがありません。
これまで「一般的に」使用されていたのは
CVE-2007-5659 (Collab.collect.EmailInfo)
CVE-2008-2997 (postnewsubmit via util.printf)
CVE-2009-0927 (Collab.getIcon)
CVE-2009-1492 (getAnnots)

今回は
CVE-2009-4324 (Doc.media.newPlayer)
で、相変わらず ZLibで圧縮・難読化されています。

Dec. 23. CVE-2009-4324 Adobe 0 Day. Attack of the Day VERY Merry Christmas from everyone
二宮隆弘 takahino_ninomiya＠yahoo.co.jp
なる人物から、
sub: merry x-mas
Merry Christmas and Happy New Year.
という PDF添付のメールが送られていることも報告されています。
AS24572 : YAHOO-JAPAN-2 Yahoo Japan

PDFファイルにJavaScriptなど必要ありません。（断言！）
永久に JavaScript機能をカットし、1/12まで Adobe (Acrobat) Readerの使用を中止し、他社PDFリーダであっても信頼の置けないPDFファイルを開かないようにしてください。
特にメール添付の PDF には細心の注意を払ってください。

だ・・・断言しちゃだめですか！？
amen
どこぞの電子入札と一緒で、こういうのは、IPX/SPXとかNetBEUIあたりの隔離プロトコルでやってほしいですね（笑）

----------
釣果
グリーをかたるフィッシング(2009/12/25)
モバゲーをかたるフィッシング(2009/12/25)
ミクシィをかたるフィッシング(2009/12/25)

hXXp://alpaslanyilmaz・com/gree/
AS21844 : ThePlanet AS2
マタオマエカ・・・

THE PLANETのBGP:
AS13884 THEPLANET-AS ThePlanet.com Internet Services, Inc.
AS21844 THEPLANET-AS2 ThePlanet.com Internet Services, Inc.
正規サービスも多々あるようですが、防弾ホストを使用し続けるリスクを意識することも大切です。

----------
IIS fell into PIT
Microsoft IIS File Parsing Extension Vulnerability
Microsoft IIS ASP Multiple Extensions Security Bypass 2
Restrict file uploads to trusted users only.

MicrosoftのIISに脆弱性、ファイル拡張子の処理に問題
SANSによると、例えば「malicious.asp;.jpg」のような複数の複数の拡張子を持つファイルを、ASPファイルとして処理してしまう問題があることが分かった。この問題を悪用すれば、攻撃者がファイル拡張子による制限をかわしてWebサーバ上に悪質な実行可能ファイルをアップロードすることができてしまうとしている。
キーワードは ";"

----------
お届けものは・・
Not-so funny jokes
見たことも無い面白い動物の動画
→偽Flash 誘導

(Not So) Happy Holidays from Koobface
A hidden Christmas greeting from Koobface
FacebookのようなMerry X'masカードは・・
→ Koobface

----------
その他

USEN、ISP事業を19億6800万円でSo-netに譲渡
so-netさんガンバレ（笑）

ID／パスワード不正利用の責任は誰にあるのか
利用規約を目を皿のようにして読めと？

過去10年でリリースされたOS、「ベスト」、「ワースト」は何？
XPを知らない私～（win2K→Visたぁん→Win7 / Slackware→SUSE→CentOS) にとっては、セキュ的な暗黒面の多い XP に文句がイロイロ・・・
でもそれゆえに「良いOS」なのは否定しません。
Win2Kは、そもそも余計な使用法をしないので、意外と堅牢かも（笑）
あ・・MacOSは完全にサポート外です・・

※cNotesさん(ise.chuo-u.ac.jp)がメンテ中

----------
| 1261771226 | B | [goog-black-hash 1.47377 update]
| 1261771206 | M | [goog-malware-hash 1.18164 update]
| 329981 | -2246(332227)
| 1179236 |
EoF

恐れていた事態が発生しました

Adobeが1/12までゼロデイを放置したおかげさまで、
新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃～今すぐ対策を
8080系(/*GNU GPL*/ /*CODE1*/)が、Adobe (Acrobat) Readerのゼロデイ悪用コードを使用、正真正銘の無防備状態になってしまいました。

とりあえず、Adobe (Acrobat) Readerの使用を中止するか、JavaScriptをオフにしてください。

クリスマス

終天神（しまいてんじん）・ 納天神（おさめてんじん） 天満宮の年内最後の縁日
スケートの日
昭和改元の日 大正天皇が崩御。裕仁親王（昭和天皇）が即位し、元号が昭和に改元。
北九州市デパート受難の日
な・・なんですかそれは？
北九州市のJR小倉駅南口すぐに建つ再開発ビルにある百貨店はいずれもこの日に閉店、もしくは閉店の発表を行っており、地元商業界では忌み嫌われている。

----------
8080 spreading fast
さて、どのへんから書くべきでしょうか？
インジェクション　GNU GPL／CODE1
現在のところ、最終的な旅行（望んだものかどうかはともかく）先は以下の２つに集約しています。
AS16265 LeaseWeb graph
AS16276 OVH Paris graph
Gumblarよりは対処が楽なのかもしれません。

ＪＲ東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード。
JR 東日本公式サイトの改ざんは /*GNU GPL*/ 。
キャッシュから得られた改ざんコード：「大人の休日倶楽部」Bing cache -- png
というわけで、Gumblarではなく、8080系にやられていた様子です。
もっとも、この両者はインジェクションの対象や、コード挿入元に同じ防弾ホストを使っていた経緯がありますので、広義に "Gumblarの亜種" と呼ばれてもしょうがない部分はあります。
※いやはや Gumblar も出世したものです。

JR東日本も改ざん～「アニたまどっとコム」に続き新手の正規サイト改ざん
困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
8080系の最大の特徴は、最終的にインストールされる「マルウェア本体」がコロコロ変わるので、実際の被害がつかめない点にあります。r3u.ruの頃は、偽セキュソフトだったり、トロイだったりしました。

More on Troj/JSRedir-AK
詳細：
From Hidden Iframes to Obfuscated Scripts

相次ぐ「Webウイルス」に緊急警告、Adobe ReaderやFlashを最新版に
冬期の長期休暇を控えて Vol.2 -- 年末年始におけるインターネット利用に関する注意事項
それは間違っては無いんですが・・

ＪＲ東サイト改ざん　閲覧者が感染の恐れ
一般紙でも取り上げている、Adobe Reader のゼロデイ問題が欠落しているのはどうかと思うのです。

続く
----------
Merry X'mas from Adobe ZERO DAY
Dec. 23. CVE-2009-4324 Adobe 0 Day. Attack of the Day VERY Merry Christmas from everyone -- contagio
というわけで、現実に攻撃侵攻中です。
PDF: received on 2009.12.23 06:05:18 (UTC)
MerryChristmas.pdf 11/40 (27.50%)
PDF: received on 2009.12.23 06:16:33 (UTC)
Merry_Christmas.pdf 3/41 (7.32%)

CVE ID:
CVE-2009-4324

Adobeのお知らせ：
Security Advisory for Adobe Reader and Acrobat
Adobe plans to make available an update to Adobe Reader and Acrobat by January 12, 2010 to resolve the issue.
1/12まで放置されます

JPcert/ccは以下のアドバイサリで警報を出しています
Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起

検証:
Adobe Reader、及び、AcrobatのDoc.media.newPlayerの脆弱性（CVE-2009-4324）に関する検証レポート

微妙に続く：
----------
7to8は一休み
派手な Gumblar/8080の影に隠れて進行中のもう一つのインジェクション･グループ 318x系(7to8)ですが、
インジェクション
小康状態を保っているようです。

6to4と素で間違えました


とはいえ、感染サイトが（検索で）10万を超えているのは変わらず。

318x SQL Injection Claims 125,000+
318x Compromises Bigger on Yahoo

----------
ZeuSも相変わらず・・
ZeuS/zbot - fcb.orgを騙って

ちなみに、"Federal Credit Bureau"で検索すると、たくさんスパムコメントがひっかかります。

----------
DDoS = $money?
Xmas商戦シーズンはDDoSで稼ごう #2

今度はAmazonのDNSがやられる–顧客道連れで早めのクリスマス休暇(DoS攻撃によるダウン)となる

Web staggers under pre-Christmas DDoS attack
DDoS attack scrooges Amazon and others
UltraDNS California facilities targeted
Last-minute Amazon, Wal-Mart shoppers delayed by DDoS attack

もし別な作戦を取るなら「私たちの会社も不況のため経営が苦しく倒産ぎりぎりなので払える金はない」など、あえて不況を理由にしてしまう手もあるかもしれません。
Amazonには通用しなさそうですが（苦笑）

----------
セオドク
※いい呼び名募集中（苦笑）
PH: Mayon Volcano Eruption Spews Out SEO Attack
マヨン山噴火の話題は FakeAV へ

----------
あなぼこ

F5 BIG-IP ASM and PSM Remote Buffer Overflow
F5 BIG-IP ASM / PSM Buffer Overflow Vulnerability 3
Update to version 9.4.8 or 10.1.0, or apply patches.

OpenX Authentication Bypass Security Issue 4
Update to version 2.8.3 or later.

Users bypass Kindle restrictions
※これは脆弱性じゃないかも（笑）

----------
Nyzilla
Winny上のファイルを確認するブラウザ、セキュリティ研究者が公開
どっちかっていうと、ねとらぼカテゴリだと思う・・
via;
Winnyサイトブラウザ "Nyzilla"

Winnyプロトコル互換の閲覧ソフト「Nyzilla」がリリースされる

----------
Square
Twitter創業者の新事業「Square」の衝撃
なんで今頃Squareの話かな？と思いましたが、セキュ的な視点ではなく残念。

Squareに関しては TechCrunchが詳しいでしょう。
TechCrunch -- Square

----------
その他

Are you caring for your Mom and Dad at Xmas?
Free Help Finding Senior Care for Mom or Dad
タダより怖いものは無し
関連：「無料」オンラインゲームで高額請求～小学生の被害多発、国や都が注意喚起

New Google CAPTCHAs now cracked
そして、どんどん人間には読めなくなっていくと・・

1分で分かる2009年のセキュリティ業界
それ読むのに１分じゃおわらないと思います（笑）
というか、2009年の最大の脅威は Drive-by-Download(Gumblar他）だと思うですよ。去年までは「Webを見ただけで感染」なんか都市伝説だったのですから。

マイクロソフト、i4iにXML関連特許訴訟で敗北。OfficeとWordの販売を禁じられる
マイクロソフトはすでにOffice / Wordから当該の「あまり使われていない」機能を取り除いたバージョンを用意しており、1月11日からはそちらを販売することになります。
Wordが特許侵害で発売禁止に

Microsoft、「Bingは商標権侵害」としてミズーリ州の「Bing!」社から訴えられる
Small design firm sues Microsoft over Bing name
Ding!にしておけばよかったのに（それはそれで別の問題があるのか！？）

----------
| 1261684822 | B | [goog-black-hash 1.47305 update]
| 1261684808 | M | [goog-malware-hash 1.18140 update]
| 332227 | -831(333058)
| 1176874 |
EoF

クリスマス・イヴ
「イヴ（eve）」は「evening（夜、晩）」と同義の古語「even」の語末音が消失したものである。
納めの地蔵 地蔵菩薩の年内最後の縁日
終い愛宕 愛宕権現の年内最後の縁日

----------
Merry X'mas


----------
そういえば・・
「無料」のはずが高額請求、子どもに多いオンラインゲームのトラブル
業界への要望
消費者がオンラインゲームの利用に際して利用料や通信料がかかることを十分に認識できる表示・広告等を行うよう、要望を行った。
上のパネトーネよりも甘い対応だなぁ・・・

「無料」オンラインゲームで高額請求～小学生の被害多発、国や都が注意喚起 -- 12/18
某CMはいつまでも、「無料です」のキャッチを止めてないんですが、そろそろ行政指導したほうがいいんじゃないでしょうか？

不況下にあるとなんであれ「無料」は心をくすぐるが、「タダより高いものはない」と昔からいう。財布を開かずに、クリックするだけでお金が動くネットでは、とくに子どものうちからこの言葉の意味を噛み締めることが、被害予防につながるのではないだろうか。
教育の一環だったの！？

参考？：
グリー田中社長が語る「優れたエンジニア」

----------
8080
GNU GPLインジェクションって仮称をつけたら、もうコードを/*CODE1*/に変えられてちょっとショック・・・
なのは置いておきまして・・・・
From Hidden Iframes to Obfuscated Scripts

なぜ 8080番ポートなの？という理由に、エンジンエックス(nginx)のリバースプロキシーを介しているからという解析が出されています。

LeaseWebと、OVHは、かな～り以前から真っ黒なんですが、陥落した（と見られる）正規サーバー群を統括する C&C が
Mdvhost .com : Port 4480
LeaseWeb に存在します。
that infected 65242 other site(s)
こんなもん、BGP単位で弾きたくなるでしょ？（笑）
95 .211 .98 .141
95 .211 .98 .142

対策は Gumblarのソレとなんら変わりありませんが、Adobe Readerが ZERO-DAY真っ最中で、Attack on the WILD状態にもかかわらず、2010/1/12まで放置確定のため、PDF系に関しては防護の自信がありません。

Adobe (acrobat) ReaderのJavaScriptは（永久に）斬っておきましょう。

2009年4月29日から、既にこうなっています。
アドビ：ユーザーにAdobe ReaderのJavascript機能を無効にすることを求める

----------
Blackberry Blackout
Blackberry Outage
Blackberry PDAs have not been working for the past few hours.
BLACKBERRY DOWN! (?)

Another Blackberry outage affects 100 percent of N. American

スマートフォンに依存したビジネス環境の多いアメリカでは、大騒ぎになっているようですが・・・
iPhoneがダウンしてもあまり騒がれないのかな？（笑）

----------
EVADE from Malice
Using Facebook and Twitter safely

FacebookもTwitterも、SNSの利便性と安全性の罠に堕ちてますね。
ソーシャルエンジニアリング的手法による、新たな犠牲者の拡大は（顔が見えないだけに）泥沼化する危険性がありますので気をつけましょう。

相手を責めるよりも、自己防衛の不足を反省することから始めたほうが、お互いのためです。

----------
あなぼこ

WordPress Woopra Analytics Plugin Arbitrary File Creation Vulnerability 4
Update to version 1.4.3.2.

[In ZERO Day]
Open Flash Chart Arbitrary File Creation Vulnerability 4
No Patch
Edit the source code to ensure that input is properly verified. Remove the file if not needed.

[In ZERO Day]
Ultimate Uploader for PHP Arbitrary File Upload Vulnerability 4
No Patch
Restrict access to the index.html and upload.php scripts (e.g. via .htaccess).

[In ZERO Day]
The Uploader "filename" Information Disclosure Vulnerability 3
No Patch
Edit the source code to ensure that input is properly verified.

[In ZERO Day]
Joomla JEEMA Article Collection Component "catid" SQL Injection 3
No Patch
Edit the source code to ensure that input is properly sanitised.

----------
あ・ぼ～ん
koobface, zeus, rogue, exploit domains to blacklist
Sources include www.malwaredomainlist.com and www.tech-linkblog.com:

----------
TEH BIG FIVE PITS in 2009
The 5 essential patches of 2009

Microsoft's ATL fixes, July and later. (MS09-035)
Latest Adobe Reader patch, October. (APSB09-15)
Microsoft .Net Framework. October. (MS09-061)
SMBv2, October. (MS09-050)
Conficker patch, last year. (MS08-067)

最後のは 2009じゃないじゃん・・・

FlashもJavaもかなり危ないと思うんですけど、US的にはConfickerの脅威がいまだに残っているのでしょうね。

----------
RapidSwitch
Crimeware friendly ISP's: RapidSwitch Ltd (AS29131)

AS29131
どっかで聞いた名前と思ったら、zlkon.lvがテイクダウンされた直後に、負荷分散（笑）された先の一つですね。
Zlkon.lv disconnected - but apparently not completely gone -- 2009.04.29

今日のMDLに大量の FakeAV が乗っかっているのはコイツの仕業です。

----------
小野寺です
セキュリ亭: ～安全なメール環境の構築～

慌ててる慌ててる・・・

----------
その他

家電もマルウェアに感染する時代――脅威の今を探る
遠隔監視用のカメラのActiveXにも脆弱性があった話もありましたね。

ID管理技術をつなぐ女神、コンコーディア
勉強不足で判らず・・

----------
オチがなかった！

みなさん、良いクリスマスを！
----------
| 1261598416 | B | [goog-black-hash 1.47233 update]
| 1261598402 | M | [goog-malware-hash 1.18116 update]
| 333058 | -2116(335174)
| 1172710 |
EoF