UnderForge of Lack

「ガンブラー攻撃」対象ソフトをJPCERTが確認～サイト管理者の注意点は？
書こうかなぁとか思ってたことが全部、しかも美しく書かれていたので、感激しました。
「中の人」は判るとおもいますが、FTPのパスワード変更って実は結構大変なんですよね（あちこちにネゴとらないといけないので）・・・で、外注側からなかなか言いにくい面はあると思います。むしろ発注側が積極的に「パスワード管理はどうなってるんだ！？」と聞いてくれるのが理想なのですが（そういうところはとっくの昔にやってますよね）

特に重要なのは
・引越し後の旧サイトが改ざん
　新サイトのリンクを入れたトップページだけ残し、新サイトに引越し。その後、管理者のパソコンがウイルス感染してアカウント情報が盗まれ、トップページだけの旧サイトが改ざん。管理者は気付かず放置されたまま。
・テストサイトも改ざん
　制作中のテストサイトなのか、納品前のデモとして使用したのか、一目見てテストサイトとわかるサイトが改ざんされたまま放置。社名ロゴ付き（本体は別所ですでに運営中）のまま放置されている例も。
・改ざん対象は現行サイトだけではないので、過去に管理していたサイトにも注意を。
このへんは、もう ISPから指摘されないと気が付かないレベルにあります。また、テスト環境が陥落した場合、顧客にも（全く謂れの無い）迷惑がかかることにもなり、お互いの信頼関係にひびを入れることにもつながります。

自分の管理下にあるサーバを見直し、過去のテスト環境（StagingやDevelop）が残っていないか、仮に残っていた場合それは本当に必要なのか？　再チェックする良い機会です。
発注側は、外向け環境でテストしたサンプルサイトが残っていないか、今一度確認してみましょう。

※テスト、サンプルサイトを「Basic認証をかけているから大丈夫！」などと思っていると、陥落後に .htaccess を消されたりして目も当てられない事態になったり・・（苦笑）

----------
Firefox 公式配布Add-on にマルウェア

Security Issues With Two Experimental Add-Ons

Please read: Security Issue on AMO

Sothink Web Video Downloader (Version 4.0)
infected:

PWS:Win32/Ldpinch.gen
Master Filer (all versions)
infected:

Backdoor:Win32/Bifrose

※この PWS:Win32/Ldpinch.gen はかなり古いトロイで、少なくとも2008.02頃のものという話です（検体入手不能なので何ともいえませんが）

Malware infected Firefox Add-Ons – again

Firefoxエクステンション、トロイの木馬発覚
マルウェア検出ツールがMaster Filerの検出に失敗。新しく2つのマルウェア検出ツールを追加し全アドオンを再チェックしたところ、結果としてSothink Web Video Downloader 4.0にもマルウェアが含められていることが発覚したという。

チェックミスとはいえ、ちょっとこれは・・
なぜVirusTotalに投げなかったんだ？とか言われてますね（笑）

----------
UCC

Twitterでのキャンペーン告知に関するお詫び

UCC、Twitterでのキャンペーン告知を謝罪　複数アカウントのBOTでメッセージ送信
これだけ見て、自分も？だったのですが、

[Web] UCCがTwitterを使ってスパム行為!?
なるほど・・これはすごひどい・・
新サービスを何かに使うときは、しばらくリサーチしてからにしないと、「できること」と「やっていいこと」の境界が見えにくいことがあります。

UCC、Twitterを使用したPR活動で謝罪--botでキャンペーン告知を大量送付
「新しいコミュニケーションツールとして期待したが、理解が不十分だった。（botを起用したことについて）十分なリスクを検討できていなかった。今後はそれらを踏まえて、活動していきたい」
でもまぁ個人的にはドンマイ・・かな

私自身はTwitterを使いこなせてないのでなんとも・・

炎上マーケティングではなく焙煎マーケティングw
誰うま・・・！？

----------
User 2.0
そういえば、 Web 2.0 という言葉が形骸化したのはいつ頃でしょうか？

Dealing with User 2.0
So here is you homework for the weekend. How will you deal with User 2.0? How are you going to protect your corporate data without saying "Nay" to things like facebook, IM, own equipment, own applications, own …….? How will you sort data leakage, remote access, licensing issues, malware in an environment where you maybe have no control or access over the endpoint? Do you treat everyone with their own equipment as strangers and place them of the "special" VLAN? How do you deal with the Mac users that insist their machines cannot be infected? Enjoy thinking about User 2.0
どひゃ～
なんというイヤな宿題なんでしょう（苦笑）
telnetが死に、今 FTP が逝こうとしている中、次の命題はなんなんでしょうね？
※厳密なアクセス制御とホワイトリスティングかな？

----------
Oracleも

Vulnerability in Oracle 11gR2 allows system privileges for all
Overgenerous privileges for Java procedures allow users to escalate their own privileges, up to the point of gaining complete control over the database in Oracle's latest 11gR2 database release.
これも BlackHat ネタですね。

Oracle Security Alert for CVE-2010-0073

微妙に続く
----------
さよならは俳句で

OpenJonathan
Today's my last day at Sun. I'll miss it. Seems only fitting to end on a

#haiku. Financial crisis/Stalled too many customers/CEO no more

Sun を率いた Schwartz 氏、『Twitter』で去就語る
Schwartz 氏は4日未明、Twitter で自身の去就を「つぶやいた」。
「今日は Sun にいる最後の日だ。寂しくなる。最後はやはり俳句で締めるのがいいだろう。金融危機 / 疲弊客はいと多く / CEO の職を去る」と同氏は書き込んだ。
これまでありがとう、そしてご苦労様でした。

Masaki Katakai's Weblog
このfaviconにも慣れないといけないのでしょうね

----------
また何か・・

An In-Depth Exploit Analysis on Multilayer Obfuscations
激しい難読化ですね・・

しかし使っているのは MDAC(

[MS06-014])しか確認できなかったようで、何とも言えません。

最近の悪意散布サイトは「1回だけよ」というケチなサイトが多く、ウィルス対策ベンダーも大変そうです。

----------
Adobe とToyota の共通点?

Dear Adobe: It's time for security rehab
どちらも一番ユーザにとって重要な部分を、比較的に見て軽視する傾向がある・・・のかな？

Toyota 問題は範疇外なのでアレですが、個人的にAdobeを擁護する気には、あまりなれません。
同時に、MSはAdobe製品がデファクト・スタンダードになっていることを認識し、Microsoft Updateに組み込んで欲しいと思っていますが・・・

----------
法案H.R.4061

サイバーセキュリティ法案、米下院を通過
米下院は、サイバー攻撃に対する政府の備えを充実させるために、訓練、研究、および調整の拡充を掲げたサイバーセキュリティ法案を圧倒的多数で承認した。

----------
Gumblar(本物)
このカテゴリーは妙にツボったので流用させていただきます(笑)

gumblar(本物) -- FFXI(仮)
Ilion様も書かれていますが、インジェクションの方法がかなり違うので、チェック箇所を誤らないようにしてください。

Gumblar(本物)のインジェクションは、URIのみの単純なスクリプトで、phpの後に半角の空白があるのが特徴です。これのイヤらしいところは、8080系と違ってインジェクションの飛ばし先も

不特定多数の陥落サイト群なので、潰しても潰してもキリが無い点にあります。
※8080系もキリがないんですけど、nginxをインストールできる環境が限られているせいか、そろそろ攻撃側が引きそうな予感も

【サイト改竄報告】gumblar復活か？

----------
iPhoneのパスワードを忘れたら？

Cracking encrypted iPhone backups
悪用が怖いけどメモメモ

----------
今日の更新が遅れた訳

睡眠勤務
まさにこんな感じでした。
おかしいなぁ・・・書いてたつもりでテーブルに突っ伏して寝てたら8時半・・・しかも、書いてたつもりの txtは見当たらない・・・

だって手当無しだなんてそんな劣悪な会社がこのJapanにあるわけないじゃないですかァ！
あるわけないですよね！！！　・・・・・

書いちゃらめ～なネタなのでこの辺で CUT!（苦笑）

----------
8080
* NEW * ISP/IP
78.41.156.236

AS6908(DATAHOP)

78.31.107.49

AS24931(DEDIPOWER)

84.200.227.144

AS31400(ACCELERATED)

94.23.199.154

AS16276(OVH Paris)

94.199.240.61

AS39023(IU-AS)

2系統あったラウンドロビンが、今日は1系統のみ
こういうときは新たなドメインが生まれることがあるので注意しなければ・・
新ドメインを見つけた方は教えてください。

----------
Google Safe Browsing
| 1265418025 | B | [goog-black-hash 1.50409 update]
| 1265418001 | M | [goog-malware-hash 1.19161 update]
| 316130 | +7970(308160) ちょっとちょっと・・　増えすぎ！
| 1332178 |
EoF