UnderForge of Lack

メールで緊急報が入りましたので・・・

----------
gumblar.cn
gumblar.cn の診断ページ
Google が最後にこのサイトを巡回したのは2010-01-04で、このサイトで不審なコンテンツが最後に検出されたのは2010-01-04です。

----------
martuz.cn
martuz.cn の診断ページ
Google が最後にこのサイトを巡回したのは2010-01-04で、このサイトで不審なコンテンツが最後に検出されたのは2010-01-04です。

----------
AS21740 (ENOMAS1) DemandMedia Santa Monica, CA
AS21740
※Demand Media、ソーシャルソフトウェア企業Pluckを買収

search:21740
search:AS21740
あまり直近の事例は無いですね

----------
AS33070 (RMH) RACKSPACE San Antonio, TX
AS33070

search:33070
search:AS33070
こちらも直近の事例は確認できません。

----------
注意：
GoogleのASNレポートは DNS情報を基にしたもので、DNSレコードは勝手に制御可能なものです。
本当に当該ASにドメインが収容されていたのかどうかは確証がありません。
慌てて BGP単位で焼かないようにお願いいたします。

現状 gumblar.cn, martuz.cn ともに有効なAレコードはありません。

ただ、11月のGumblar.x 捲土重来の際に
Gumblar.cn - It's Baaaack -- 2009.11.05
gumblar.cn が復帰した事例が報告されています。

----------
いずれにせよ、何らかの事態が進行中のようです。
警戒を怠らないようにしてください。

----------
Lさん謹製のHeaderを実際に入れたらどうなるか見たい！という要求が多いので、明日の更新まで入れてみます・・・・

EoF

官公庁御用始め(仕事始め)
取引所大発会
ミャンマー 独立記念日(1948年)
石の日 [い(1)し(4)]

----------
正月休みは終わりました。
体調を整えて新年に望みましょう！

----------
Unmask Inj3ct0r
元旦にちょこっと解析した新インジェクションですが、cNotesさんの解析が出ています。
やはり専門家の視点は違いますね。

インジェクション　GNU GPL／CODE1　２
「oughwa．com」は最近のWaledac関連でも使われているようですね。上記二つ(/*GNU GPL*/ or /*CODE1*/)のものとは別物っぽい。

ちょこっと Googleに問い合わせ：

# dig @8.8.8.8 sodanthu.com

;; ANSWER SECTION:
sodanthu.com. 0 IN A 77.250.230.222

*repeated*
sodanthu.com. 0 IN A 76.186.201.167
sodanthu.com. 0 IN A 96.39.168.205
sodanthu.com. 0 IN A 121.183.183.59
sodanthu.com. 0 IN A 192.35.222.23
sodanthu.com. 0 IN A 38.119.63.121
sodanthu.com. 0 IN A 180.71.182.117
sodanthu.com. 0 IN A 98.157.79.134
sodanthu.com. 0 IN A 24.26.135.160
sodanthu.com. 0 IN A 76.186.201.167
sodanthu.com. 0 IN A 89.136.64.34
sodanthu.com. 0 IN A 70.133.78.171
sodanthu.com. 0 IN A 121.183.183.59
sodanthu.com. 0 IN A 217.216.123.177

まったく同じIPが出てきません・・・

でも、高確率でBlackListに捉えられており、その登録時期も比較的古いので、古株のBotNetを新規転用したものでしょうか？

search: sergunkinden＠mail.ru
domoktov.com は 11/24に捕捉されています。

使用している脆弱性は 8080系と全く同じなので、Exploit Toolkitが同じだけの別種の可能性が高いようですね。

対策はいつものとおりです。

----------
ボランティア精神の歩み
Ten Years of Volunteer Service and Going Strong
Y2Kの（お祭り、あるいは脅迫）騒ぎから１０年になるわけですが

GIAC(Global Information Assurance Certification)
SANS Institute founded the certification entity in 1999 and the term GIAC is trademarked by the The Escal Institute of Advanced Technologies.

While the threats and vulnerabilities have changed a lot over the past ten years, the cooperative spirit behind the SANS Internet Storm Center has remained steady and strong.
心強いですね。今後もがんばってください。

----------
月曜朝ですし、今日はこのへんで・・・

お仕事頑張りましょう！

----------
| 1262548835 | B | [goog-black-hash 1.48025 update]
| 1262548806 | M | [goog-malware-hash 1.18380 update]
| 314951 | -1898(316849)
| 1202662 |
EoF

-----------
2010.01.4 書初め
-----------


あなたの所持しているサイトがこうなってしまったら？

あるいは、不審な iframeなどのインジェクションコードが挿入されていたら？

----------
1. サイト閉鎖

あなたにできることは、できるだけ早いサイトの閉鎖を行うことです。

本来ならアナウンスが最初だと思われがちですが、最近のインジェクションはそのアナウンスにも容赦なく改ざんを仕掛けてきます。

Virtual Host単位で運用しているのならば、Apache上のVirtual Host定義ファイルをディレクトリを一時的に変更するか、BASIC 認証を掛け、一時的にサイトをアクセス不能の状態にしてください。

上述の意味がわからない場合、FTP(恐らく)でアクセスし、全てのファイルを（必要ならバックアップをとって）削除するか、Webルートのフォルダ名を（変更可能なら）変更します。
※感染コードが入っているファイルの可能性が極めて高いため、バックアップファイルには細心の注意が必要です。
※Web Rootフォルダのパーミッションを 600 にする方法もありますが、userが apache の場合あまり意味がありません。

それでも再インジェクションされているようでしたら、プロバイダに連絡して一時的にアカウントの停止措置を取ってもらってください。

----------
2. ウィルスの除去

感染源を特定し、ウィルスを除去します。
が・・・最近のインシデントは単純にはいかないケースがあります。

2-1. 単独PCの場合
明らかにそのPCがウィルスに汚染され、かつLANが存在しない場合

速やかにウィルスを除去し、完全に安心できる環境を構築します。

2-2. 小規模LANの場合
LANが組まれていて、同一ネットワーク内に複数のノードが存在する場合、その全てのチェックが必要になります。

感染ノードが見つかれば、そのPCの駆除を行ってください。
worm型に侵されていた場合、同一ネットワーク内の全てのPCに被害が及んだ可能性があります。
慎重にチェックを行ってください。

2-3. 大規模LANの場合
※大規模環境のインシデント回復はそれなりに大変です。
Firewallのログをチェックし、不審なトラフィックがないかどうかチェックしてください。
IDSが導入されている場合、IDSの定義が適切に導入されているかチェックしてください。
DMZ内側からのOutgoingルールを再度チェックしてください。
DMZに設置されているサーバのログを慎重にチェックしてください。

インシデント用に、すべてのOutを塞いだルールを定義し、どのノードからOutgoing要求が出されているのかログを見て判断する方法が有効です。
敵はそこにいる

感染ノードが特定できたら、そのノードのセグメント全てを疑ってかかってください。
特に telnet や SSHトンネルコマンドを使用していた場合、それらが漏洩した危険性があります。

Squid導入の環境の場合、FTPのログを慎重にチェックしてください。
nginxでサーバーが駆動している場合、そのリバースプロキシの設定を確認しログをチェックしてください。
以後、大規模環境下の話は割愛します（長くなるため）

----------
3. FTPなどのPassword変更

環境がクリーンになったと確信が持てたならば（100%はありません。90%くらいでOKです）、サイトへの告知を行います。
※この段階で全てのコンテンツを再解放しないでください。

FTPのPasswordを変更します。
ISPのPasswordを変更します。
その他、自分の思いつく全てのPasswordを変更します。
※落ち着いてメモを取りながら行ってください。

サイト内のファイルを消していない場合：
サイトにFTPで入り、現在存在する全てのファイルを一旦ローカル（自分のPC）にバックアップします。
※当然、汚染コードを含んでいます。
　将来、感染していたページの詳細リストを作成する際に必要になるでしょう。

全てのコンテンツを一度抹消し、TOPページに、ウィルス感染の報告、並びに閲覧者への再感染の危険性およびウィルスチェックの呼びかけを行ってください。
※この時点で、報告のページはできる限り簡素なものにしてください。

２４時間以内に何度かチェックを行い、告知ページが再改ざんされていないことを確認してください。

----------
4. 連鎖の阻止

感染サイトの閉鎖が完了したら、自分の管理する（あるいは過去に管理したことのある）全てのサイトをチェックしてください。

CMSを使用している場合、インジェクションが一見しただけでは判らない位置にある場合があります。

特に .js, .php, .pl, .css ファイルを重点的に調べてください。
これらのファイルは、よほどのことがない限り、勝手に変化することはありません。

----------
5. インシデントからの回復

一部重複する部分もありますが、

インシデントからの回復

を参照してください。

----------
6. Google Blockedからの修復

最初の（血のような）真っ赤なエラーを快復するためには、Google WebMaster Tool への登録が必要です。

Google Accountを取得し

Google Webmaster Toolを申請し、

サイトの再審査をリクエストします。

サイトが本当に快復していれば、ブロックは解除されます。

----------
逐次加筆訂正されます

EoF