UnderForge of Lack

空気清浄機の日
カラオケの日／のど自慢の日
1946年1月19日にNHKラジオで「のど自慢素人音楽会」が開始された
家庭消火器点検の日 1と19で「119」となることから
古い消火器に注意！

----------
WSUS
Windows Server Update Services(WSUS ダブルサス)は、Microsoft社が提供する更新プログラム適用制御用のサーバ・アプリケーションで、限りなくゼロに近い認知度を誇る枯れたソリューションです（笑）。
Microsoft Windows Server Update Services (WSUS)

Secunia integrated with Microsoft WSUS
Secunia Corporate Software Inspector (CSI)
- integrated with Microsoft WSUS for 3rd party Patch Management
お～ *clap* *clap* *clap*

元がサーバ用途なので、一般には相変わらず縁が薄そうですが、この際 PSI のほうも MSのお墨付きをもらって広めて欲しいですね。

----------
PPDF
Poisoned PDF pill used to attack US military contractors
嫌なファイルですね・・・
On-going Targeted attacks against US Military contractors

これ・・去年からしきりに飛び回ってるHinet-TW発の爆弾入りPDFですね
Dec. 28 CVE-2009-4324 Adobe 0-day "consumer welfare table" from gwsm01@gwsm.gov.tw Mon, 28 Dec 2009 22:08:05 +0800 -- contagio
日本の外務省の人(実在するかどうかは？)の名前とかも使われたことがあります。

ペイロードがコロコロ変わっている様子なので気をつけましょう。

対策：
Get Adobe Reader 9.3.0
※MacOS Xユーザは 8.2.0のアップデータを使用すると、一部アプリケーションが使用できなくなります。

----------
IE ZERO DAY ..
Attack on IE 0-day refined by researchers
More on the IE zero day
それにしても、多分にFUD的に騒がれている割には
実害がはっきりしないのですが・・・

エフセキュアの「Exploit Shield」が「Aurora」エクスプロイトをブロック
DarkMarketと今回のIE Zero-dayは無関係だと思うんですけど・・関係あったのかな？
※英語側を見て、コピペミスなのに気が付いた（笑）どんまい～

US to protest against Chinese hacker attacks
ヒラリー氏の側近の話とかまで出る始末なので、うちらパンピーは近寄らないようにしましょう（桑原・桑原）

Further Insight into Security Advisory 979352 and the Threat Landscape
That said, we remain vigilant about this threat evolving and want to be sure our customers take appropriate action to protect themselves. That is why we continue to recommend that customers using IE6 or IE7, upgrade to IE8 as soon as possible to benefit from the improved security protections it offers. Customers who are using Windows XP SP2 should be sure to upgrade to both IE8 and enable Data Execution Protection (DEP), or upgrade to Windows XP SP3 which enables DEP by default, as soon as possible. Additionally customers should consider implementing the workarounds and mitigations provided in the Security Advisory.
XPで SP2以前を使っている方はいろいろな意味で危険です。
Win2Kな人は、もう年貢（バルマー氏へ！）の納め時ですよ～

続く
----------
Bye IE
え？ IE6じゃなくて IEそのもの？
IE vuln linked to attacks on Google, others
The French computer emergency response group Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatique (CERTA) issued the Jan. 15 advisory. “Le CERTA recommande l'utilisation d'un navigateur alternatif.” [CERTA recommends using an alternate browser.]
ドイツに続いて、フランスも IEを使わないようにとのお達しを出しました。


アンタの国は先に OVH を何とかしなさいよ


この機会に IE6/7 が駆逐できれば、WEB屋はどれほど幸せになれることでしょう（笑）
イヤマテ・・なかなか駆逐できない IE6 の撲滅キャンペーンなのかも（穿ち過ぎ・・・）
After Google hack, Microsoft asks users to abandon IE6, XP

まずは、コレの取り下げから行って欲しいですね
Microsoft: "dropping support for IE6 is not an option"

IE6 Must Die
14,489 - supporters!
意外とすくな・・

----------
SSH攻撃増加中
Uplift in SSH brute forcing attacks
いきなりハネ上がってますね。
In addition to this, our reader Andrew also submitted some analysis of the hit count of some common account names:
1209 root
マテマテマテ・・・

----------
osCommerce
osCommerceは ECサイト構築のOSSソリューションです。日本ではどのくらいのシェアかは不明ですが、そこそこ導入事例があるようですね。

osCommerce Cross-Site Request Forgery and Authentication Bypass -- 2009-01-28 4
Affected:
The vulnerabilities are confirmed in version 2.2 Release Candidate 2a. Other versions may also be affected.
Solution:
Restrict access to the "admin" folder (e.g. via an .htaccess file).
Do not visit untrusted sites while being logged in to the application.

が・・
What's New?
osCommerce 2.2 MS1のセキュリティ問題 (2007-02-18)
少なくとも更新がとまっている様子です。

本題：
Bety.php – osCommerce Hack. Part 1.
Around Dec 22 an attacker with a Russian IP deposited some files on my webserver. My hosting provider said access was gained through a since updated version of Wordpress, although my view of the logs indicates it was through an unsecured version of OSCommerce.

The attacker left 3 files on my server. No other files were changed. The main domain that was attacked is hXXp://wanlesstennis・com

the files were-
bety.php – a script with the title GoogleF#cker v1
sh1.php – some kind of redirect
lname.php -

osCommerceを使用中の方、あるいは使用中のサイトをご存知の方は、至急サイト内の調査を行い、この３ファイルがないかどうかチェックしてみてください。
存在すれば、クラッキングを受け、別ベクトルへの攻撃の踏み台にされていた可能性があります。

※コミュニティの停止しているOSSソリューションを使い続けるのは危険です。

----------
ZigBee
ZigBeeは、家電向けの短距離無線通信規格でIEEE 802.15.4で標準化されています。
Software error in ZigBee radio modules facilitates eavesdropping
そのZigBeeでプロトコルスタックとして標準的に使用されている Z-Stackの暗号化メソッドに脆弱な問題があり、簡単に盗聴できてしまうという話。

一応、修正版を出すようですが、ファームウェアレベルでハードライトされているものはどうにもならなそうですね・・

参考：
5分で絶対に分かるZigBee
IrDA、Bluetoothを反面教師にしたZigBeeの実力は？

----------
Kerberos
Another patch for MIT Kerberos
こないだの修正が正式リリースされたのかな？
Kerberos/LDAPな方は運用プランにパッチ適用をスケジューリングしましょう～

----------
いろり
zeus, trojan, exploit domains to block
190 new domains to add to your dns sinkhole or malware blocklist. Sources: www.malwareurl.com, malc0de.com, www.virustotal.com, and others:
zly .hacked .jp
ここに載ることだけは避けたいですね（苦笑）

usaa.comの偽サイト -- January 18, 2010
125.0.40.185 == nttkyo377185.tkyo.nt.ftth.ppp.infoweb.ne.jp
ここに逆引き名が載るのも避けたいですね（苦笑x2)

search = jp
hanadoki・info 210.188.201.13 sv60.xserver.jp AS9371 (SAKURA)
fitme・jp 203.183.67.71 mail.fitme.jp AS4694 (IDC)
godiego・net 210.233.74.147 ss147.kix.ad.jp AS9353 (MEDIAWARS)
imanishi4182・jp 164.46.163.173 mail.imanishi4182.jp AS9995 (FIRSTSERVER)
palette・jp 119.245.180.127 palette.jp AS2514 (INFOSPHERE)
ksp-eng.co・jp 203.183.63.43 mail.ksp-eng.co.jp AS4694 (IDC)
119.245.139.219 navihiroki.com AS2514 (INFOSPHERE) Koobface
money-tora・com 119.245.138.58 elitefx.jp AS2514 (INFOSPHERE) Koobface
122.103.188.201 s201.IhiroshimaFL7.vectant.ne.jp AS2519 (VECTANT) Trojan Zbot
125.0.40.185 nttkyo377185.tkyo.nt.ftth.ppp.infoweb.ne.jp AS2510 (INFOWEB) Trojan Zbot
202.157.7.115 gd202157007115.u17.kcn-tv.ne.jp AS23790 (KCN-TV) Trojan Zbot
以下略
ここに乗せられると、かなり恥ずかしいですので絶対にイヤです（苦笑x4)

----------
でじゃぶ～
Sendspace Zbot spreader a Flashback to Dec 15-20
Hey! Is this photo yours?
サイクルがあるのかな？

----------
i瓦
1月27日だ！　Appleから新製品発表イベントへの招待が来たぞ
アップル、1月27日に新製品イベントを開催。 "latest creation"を発表

さ～て、どんな瓦製品が出てくるのか！

----------
Gumblar vs ねこ！
ねこ最強！
ガンブラー vs 肉じゃが vs avast! vs 猫 vs MT
肉じゃが作りつつavast!インストールしつつブログ(MT)の調子がちょっとおかしいようなので調べつつ猫の湯たんぽがわりになりつつ別の猫は毛布をもみもみしつつさらに別の猫はPSF(ペロペロショートフィーバー)しつつ。
あ～美猫だなぁ～うらやましひ

え？何？そういうのはもういいって？いやいや。
シリーズ化希望です（笑）

----------
宿題
KiyoP様指摘の問題は、あとで検証します。

とおもったけど、
改竄いろいろ
でpuppet様が解析されていたので、とりあえずこちらで（笑）

----------
8080
91.121.4.99 AS16276(OVH Paris)
91.121.79.191 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
とうとう全部OVH

----------
Google Safe Browsing
| 1263844820 | B | [goog-black-hash 1.49099 update]
| 1263844802 | M | [goog-malware-hash 1.18730 update]
| 298988 | -1367(300355) Congratulations!! （かな？・・たぶん・・）
| 1259359 |
EoF

-----------
2010.01.4 書初め
-----------


あなたの所持しているサイトがこうなってしまったら？

あるいは、不審な iframeなどのインジェクションコードが挿入されていたら？

----------
1. サイト閉鎖

あなたにできることは、できるだけ早いサイトの閉鎖を行うことです。

本来ならアナウンスが最初だと思われがちですが、最近のインジェクションはそのアナウンスにも容赦なく改ざんを仕掛けてきます。

Virtual Host単位で運用しているのならば、Apache上のVirtual Host定義ファイルをディレクトリを一時的に変更するか、BASIC 認証を掛け、一時的にサイトをアクセス不能の状態にしてください。

上述の意味がわからない場合、FTP(恐らく)でアクセスし、全てのファイルを（必要ならバックアップをとって）削除するか、Webルートのフォルダ名を（変更可能なら）変更します。
※感染コードが入っているファイルの可能性が極めて高いため、バックアップファイルには細心の注意が必要です。
※Web Rootフォルダのパーミッションを 600 にする方法もありますが、userが apache の場合あまり意味がありません。

それでも再インジェクションされているようでしたら、プロバイダに連絡して一時的にアカウントの停止措置を取ってもらってください。

----------
2. ウィルスの除去

感染源を特定し、ウィルスを除去します。
が・・・最近のインシデントは単純にはいかないケースがあります。

2-1. 単独PCの場合
明らかにそのPCがウィルスに汚染され、かつLANが存在しない場合

速やかにウィルスを除去し、完全に安心できる環境を構築します。

2-2. 小規模LANの場合
LANが組まれていて、同一ネットワーク内に複数のノードが存在する場合、その全てのチェックが必要になります。

感染ノードが見つかれば、そのPCの駆除を行ってください。
worm型に侵されていた場合、同一ネットワーク内の全てのPCに被害が及んだ可能性があります。
慎重にチェックを行ってください。

2-3. 大規模LANの場合
※大規模環境のインシデント回復はそれなりに大変です。
Firewallのログをチェックし、不審なトラフィックがないかどうかチェックしてください。
IDSが導入されている場合、IDSの定義が適切に導入されているかチェックしてください。
DMZ内側からのOutgoingルールを再度チェックしてください。
DMZに設置されているサーバのログを慎重にチェックしてください。

インシデント用に、すべてのOutを塞いだルールを定義し、どのノードからOutgoing要求が出されているのかログを見て判断する方法が有効です。
敵はそこにいる

感染ノードが特定できたら、そのノードのセグメント全てを疑ってかかってください。
特に telnet や SSHトンネルコマンドを使用していた場合、それらが漏洩した危険性があります。

Squid導入の環境の場合、FTPのログを慎重にチェックしてください。
nginxでサーバーが駆動している場合、そのリバースプロキシの設定を確認しログをチェックしてください。
以後、大規模環境下の話は割愛します（長くなるため）

----------
3. FTPなどのPassword変更

環境がクリーンになったと確信が持てたならば（100%はありません。90%くらいでOKです）、サイトへの告知を行います。
※この段階で全てのコンテンツを再解放しないでください。

FTPのPasswordを変更します。
ISPのPasswordを変更します。
その他、自分の思いつく全てのPasswordを変更します。
※落ち着いてメモを取りながら行ってください。

サイト内のファイルを消していない場合：
サイトにFTPで入り、現在存在する全てのファイルを一旦ローカル（自分のPC）にバックアップします。
※当然、汚染コードを含んでいます。
　将来、感染していたページの詳細リストを作成する際に必要になるでしょう。

全てのコンテンツを一度抹消し、TOPページに、ウィルス感染の報告、並びに閲覧者への再感染の危険性およびウィルスチェックの呼びかけを行ってください。
※この時点で、報告のページはできる限り簡素なものにしてください。

２４時間以内に何度かチェックを行い、告知ページが再改ざんされていないことを確認してください。

----------
4. 連鎖の阻止

感染サイトの閉鎖が完了したら、自分の管理する（あるいは過去に管理したことのある）全てのサイトをチェックしてください。

CMSを使用している場合、インジェクションが一見しただけでは判らない位置にある場合があります。

特に .js, .php, .pl, .css ファイルを重点的に調べてください。
これらのファイルは、よほどのことがない限り、勝手に変化することはありません。

----------
5. インシデントからの回復

一部重複する部分もありますが、

インシデントからの回復

を参照してください。

----------
6. Google Blockedからの修復

最初の（血のような）真っ赤なエラーを快復するためには、Google WebMaster Tool への登録が必要です。

Google Accountを取得し

Google Webmaster Toolを申請し、

サイトの再審査をリクエストします。

サイトが本当に快復していれば、ブロックは解除されます。

----------
逐次加筆訂正されます

EoF

------------------

2010.01.04 Adobe Reader の JavaScript の件を加筆
2010.01.02 書初め

------------------
このセクションは、既にウィルス除去が終了し、所有しているサイトへの初期対策も完了していることを前提としています。

前提に関しては インシデント発生： THE FIRST STEP を参照してください。

------------------
1. セキュリティソフトを導入します。

有料版がよければ、たくさんの選択肢がありますので、それから選んでください。
幾つか挙げておきます（順不同）
2008年頃までの「御三家」+1

あとはVTのリストを参考にしてください。
VirusTotal について

無料版でしたら右のメニューバーに４つほどありますので、お好きなものを選んでください。
私は現在：
を使っていますが、今のところ問題を感じたことがありません。

尚、WindowsXPの方は、Firewallに不安がありますので、適切なPFWの導入を推奨します。
PFWに関しては別アーティクルを参照してください。

（無料の）PFWのインストール

------------------
2. 物理的ファイアウォールを設置します。

WAN(外側）とLAN（内側）の間に何か機器を設置します。
現在のRouterと呼ばれる機器には殆どがその機能を持っています。
WANとの直結は絶対に避けてください。

------------------
3. アプリケーションを最新版にアップデートし、自動アップデートを確認します。

Microsoft Updateは自動実行にしてください。
※これにより Officeのアップデートも含みます。

以下のソフトウェア・コンポネンツを最新版にしてください。


以下のコンポネンツが必要なら最新版に、不要なら削除してください。

以下のアプリケーションが必要なら最新版に、不要なら削除してください。

------------------
4. インターネット上で使用したことのある全てのパスワードを変更します。

サイトを持っている場合には、そのパスワード
MailのPOP(IMAP)パスワード
ISPのマスターパスワード


逆に、このようなパスワードはすぐに破られると思ってください：
Twitterで使ってはいけない370のパスワード
リスト：テキストファイル

------------------
5. 保有しているサイトの掃除を行います。

Blog等の場合
XML等でバックアップファイルが作成できるなら、一度全ての投稿、固定ページ、コメント等を抜き出します。

FTP使用可能の場合
全てのファイルを一度ローカル側にバックアップします。
その際、FTPS(FTPoverSSL)が使用可能かどうか確認し、FTPSへ移行を強く推奨します。

またSSH使用可能の場合には、SCPのようなSFTPを使用し、必要に応じてSSHのIP制限を掛けてください。

ローカル側にバックアップを取ったファイルから以下の文字列を検索し、自分が意図した投稿なのかどうかチェックします。

iframe
script
base64
unescape
eval

FTPの場合、以下の拡張子のファイルが存在しないかチェックします。もし存在した場合、自分が意図してそれをアップロードしたかどうか確認します。

.js
.pl
.php

.zip
.cab

.exe
.dll
.scr

また、.htaccess ファイルをチェックし自分の意図した設定以外が登録されていないかどうか確認してください。

FTPの場合で、全てのファイルがローカル側に残っている場合、問題が無ければローカルのファイルを書き戻してください。
※その際、必ず元のファイルを全部消してください。

------------------
6. 今後のサイト運用に関して

サイトを運用することは車の運転と似ています。自分が望まなくても加害者になることがあることを認識しましょう。

可能な限り、FTP(平文）での運用を避け、FTPSが使用可能な環境へ移行しましょう。

複数のサイトと連携して、コミュニティ内でもお互いに注意しあいましょう。

インシデントは必ず前兆があります。自分のサイト内、あるいはローカル環境下でおかしなことが起きたら信頼できる人に相談しましょう。

ウィルスやマルウェアの情報に少しだけ耳を傾けておきましょう。

------------------
以後、気が付いたら加筆訂正します。

[EMERGENCY]

恐れていた事態になりつつあります。
現在進行中の 新・Gumblar は尻尾がつかめません。
さらに、CMS内に埋め込まれているものは base64 で難読化されている様子で、おそらく数倍～数百倍のケースで陥落サイトが存在しているのではないかと推測されます。

SEARCH = "<script src=http://" ".php ></script>"
キリガナイ・・・

hXXp://picshic.com/buxxx/25.ｐｈｐ
description: error: "eval()'d code on line 1"

hXXp://o0w0o.com/tmp/wedding.php
description: eval(Base64_decode -- Joomla forum

hXXp://movieinthepark.ca/scripts/MITP_2009_01.ｐｈｐ

hXXp://kanto.ac.jp/course/VIVID.ｐｈｐ
description: Hacked with eval(base64_decode - Please Help
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH （11サイトを感染させているのは検出してる・・）
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)
Googleセンセイどうした！？

hXXp://75oal.k12.tr/aile_dosyalar/bina3.ｐｈｐ
description: Strange behavior...

hXXp://elpotrero.com.ar/seleccion/Maradona-Marsella.ｐｈｐ
description: Malicious attack

hXXp://mobydickrock.ru/hope/yandex_66a7973f6eaf9ba9.ｐｈｐ
description: Have been hacked -- Webdevelopper.com
description: Have been hacked--pls help -- php builder

hXXp://minusy.ru/logs/sendtoemail.ｐｈｐ
description: a strange change has been commited on my site -- OpenCart

hXXp://globe-safaris.com/Files/Travellers_Tips.ｐｈｐ
description: errored out, whole directory down? -- PHP Link Directory

hXXp://galladance.com/education/license-ru.ｐｈｐ

hXXp://luxuryretreatsatcapcana.com/userfiles/email.ｐｈｐ

hXXp://melstra-techniek.nl/images/contact.ｐｈｐ

hXXp://cafede.sakura.ne.jp/shibuya_staff_diary/cafe_links.ｐｈｐ
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)

hXXp://taxidermiaferron.com/Contacto/desktop.ｐｈｐ

hXXp://singingbowlcentre.com/images/pas1_bg.ｐｈｐ

hXXp://shoppingsurat.com/images/outputinfo.ｐｈｐ

----------
ど・・どうすりゃいんんだい！？
って感じなんですが・・・

こうした踏み台陥落サイト群は、次々と使い捨てにされる傾向があります。もし、ゼロデイの脆弱性を使われれば、自己防衛の方法が極めて狭められることになります。

Firefox+NoScript のような環境下で、iframe もデフォルトは OFF にしておき、相手と心中してもよいくらい信用しているサイトだけ JavaScript の実行を許可する癖をつけるしかなさそうです。

----------
あと、こっちも
メンテナンス・障害情報:www3サーバの表示速度改善のための緊急メンテナンスについて
本日、www3サーバにて表示速度改善のための緊急のメンテナンスを行っておりました。
現在、一時的に復旧しておりますが、メンテナンスは正常に終了できていないため、
後日、再メンテナンスを行います。
ご迷惑をおかけし申し訳ございません。
申し訳ありません（というか何もできませんけどね）
EoF

「Faviconが表示されてない」
というメールを貰ってチェックしてみたのですが、upload済みの全ての GIF ファイルが抹消されているようです。

無論、事前に何の連絡もありません。

はぁ・・そろそろ本気で移転しましょうかネ

七夕（月遅れ）

花の日 鼻の日 バナナの日
いずれもゴロあわせですね・・・

----------
Twitter DOWN

Twitter DOS
Twitter seems be under a Denial of Service right now.
Facebook was down at the same time.

Site is down Ongoing denial-of-service attack
Update: we are defending against a denial-of-service attack.
Ongoing denial-of-service attack
Update: the site is back up, but we are continuing to defend against and recover from this attack.
Update (9:46a): As we recover, users will experience some longer load times and slowness. This includes timeouts to API clients. We’re working to get back to 100% as quickly as we can.

Twitterが大規模なDDoSを受け、ダウンしていた模様です。現在は復帰しているものの依然として接続しにくい状態になっています。
災害時の輻輳状態と同じですが、つながりにくいからといって何度もリトライを繰り返すユーザと、Botnetの攻撃が相乗効果となり更に悪い結果を導き出してしまいます。
Twitter knocked offline by DDoS attack; Koobface returns with a twist
TwitterがDDoS攻撃でオフラインに、新型Koobfaceも出回る
ZDnetに寄稿している Kaspersky Lab. のアナリスト、Stefan Tanase氏は SNSをターゲットにしたWorm型Botnetである Koobface に「新顔」が登場し、同時に発生したDDoSであるとしています。
New tricks for Koobface

バイナリの挙動
Net-Worm.Win32.Koobface.d -- 5 August 2009, 14:44:53

Net-Worm.Win32.Koobface.d -- 27 July 2009, 15:20:53

MalURL:
uppinorr.se
212.97.132.134 AS9120 Cohaesio A/S
：MDL/MalListともに無し

同一IPに収容されているドメイン群

2get.dk	0	THROUGH
alt.dk	NOT YET	THROUGH
anetteegelund.dk	NOT YET	THROUGH
asmul.com	0	THROUGH
billigalinser.org	NOT YET	THROUGH
bronsby.dk	0	THROUGH
bygherre.dk	NOT YET	THROUGH
cambro.dk	NOT YET	THROUGH
camischa.dk	NOT YET	THROUGH
capsa.dk	NOT YET	THROUGH
cavesmathias.com	NOT YET	THROUGH
dale.se	NOT YET	THROUGH
drengekoret.dk	NOT YET	THROUGH
ebd.nu	NOT YET	THROUGH
embygg.com	NOT YET	THROUGH
eurobase.se	NOT YET	THROUGH
frigaard.info	NOT YET	THROUGH
gel.se	NOT YET	THROUGH
glx.dk	0	THROUGH
great-vikings.dk	0	THROUGH
host.masterminds.dk	NOT YET	THROUGH
http3a2f2fwww.schacksnack.se	NOT YET	THROUGH
idealpromotion.dk	NOT YET	THROUGH
karval.nu	NOT YET	THROUGH
kauffmann.se	NOT YET	THROUGH
klovnfisken.dk	NOT YET	THROUGH
lahdk.se	NOT YET	THROUGH
lanklagret.com	NOT YET	THROUGH
lautrupgaard.dk	NOT YET	THROUGH
lerumskammarkor.se	NOT YET	THROUGH
lexter.se	NOT YET	THROUGH
luxsit.se	NOT YET	THROUGH
mail2.luxsit.se	NOT YET	THROUGH
maildefer.trollvippans.com	NOT YET	THROUGH
mailspool.trollvippans.com	NOT YET	THROUGH
masterminds.dk	NOT YET	THROUGH
mexicanway.com	NOT YET	THROUGH
mrzane.com	NOT YET	THROUGH
mx1.jjbag.com	NOT YET	THROUGH
mx2.jjbag.com	NOT YET	THROUGH
n66.se	NOT YET	THROUGH
netrod.dk	NOT YET	THROUGH
otto-fogemann.dk	NOT YET	THROUGH
rekordbog.dk	NOT YET	THROUGH
respublica.se	NOT YET	THROUGH
rugtved.net	NOT YET	THROUGH
scandinavianshowgirls.com	NOT YET	THROUGH
sextop.dk	NOT YET	THROUGH
skivetennisklub.dk	NOT YET	THROUGH
skivevolley.dk	NOT YET	THROUGH
spinoria.com	NOT YET	THROUGH
thylander.dk	NOT YET	THROUGH
trollvippans.com	NOT YET	THROUGH
usefullthings.com	NOT YET	THROUGH
weconsult.se	0	THROUGH
ws34.surf-town.net	NOT YET	THROUGH
www.anetteegelund.dk	NOT YET	THROUGH
www.bronsby.dk	0	THROUGH
www.bygherre.dk	NOT YET	THROUGH
www.cambro.dk	NOT YET	THROUGH
www.camischa.dk	NOT YET	THROUGH
www.canalstreet.nu	NOT YET	THROUGH
www.drengekoret.dk	NOT YET	THROUGH
www.frigaard.info	NOT YET	THROUGH
www.geist.nu	NOT YET	THROUGH
www.glx.dk	NOT YET	THROUGH
www.great-vikings.dk	0	THROUGH
www.jobogpenge.dk	NOT YET	THROUGH
www.karval.nu	NOT YET	THROUGH
www.kauffmann.se	NOT YET	THROUGH
www.klovnfisken.dk	NOT YET	THROUGH
www.lautrupgaard.dk	NOT YET	THROUGH
www.lerumskammarkor.se	NOT YET	THROUGH
www.rekordbog.dk	NOT YET	THROUGH
www.skivetennisklub.dk	NOT YET	THROUGH
www.skivevolley.dk	NOT YET	THROUGH
www.weconsult.se	0	THROUGH
www.zmanga.se	NOT YET	THROUGH
zmanga.se	0	THROUGH

全部するーですか！？

参照：
The Real Face of KOOBFACE

参考；
Twitter Chooses NTT America Enterprise Hosting Services
NTT America のホスティングなんですね

----------
Microsoft Monthly Patch 8/11(8/12-JST)

Microsoft Security Bulletin Advance Notification for August 2009

緊急 x 5 に 重要 x 4 ですね

Microsoft Releases Advance Notification for August Security Bulletin

August 2009 Advance Notification

----------
SymantecがVirusTotalを語る・・

Looks suspicious check in Virustotal.com
VirusTotal is not substitute any antivirus software installed in a PC, as it only scans individual files on demand. It does not offer permanent protection for the user's system either.
Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file.
Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and Malware. You may become a victim of misleading advertising, if you buy such a product under those premises.
Sometimes no Antivirus Company will detect it since it will be a new threat that nobody knows about so it even Virus Total is not 100% reliable service. But still it is used by most of the Administrators and Organizations around the world.

VirusTotalは提供された個々のファイルをスキャンするだけであって、PCに入っているアンチウィルスソフトの代用になるものではありません（あたりまえだ）。それはユーザのシステムに対して恒久的な保護を提供しません。（だから VT はそういうもんじゃないでしょ？）
複数のアンチウィルス・エンジンによって検出された結果は、たった１社のプロダクツによって提供されるものよりも遥かに優れていますが、これらの結果がそのファイルの無害を保障するわけではありません。
現在、ウィルスとマルウェアを100%検出できるソリューションなど存在しないのです（アタリマエダ）。もしそのような誇大広告によってミスリーディングした製品を買ってしまうならあなたは犠牲者となってしまうでしょう。

誰も知らないような新しい脅威が発生し、アンチウィルス会社が全く検出できないような状況がしばしば発生し、そうしたときは VTの結果もまた 100% の信頼できるものではありません。しかしそれでも、それは世界中のアドミンと組織によって使用され続けています。

何が言いたいのかよくわからない・・・
誰か解説してください（笑）

----------
ウイルス対策をやりたがらない知人を説得するには？
お、おれのことかー部門より

/.ユーザでも、意外と多いのかな・・

IE6の乗り換えを促す「IE6 No More」キャンペーン始まるIE6の乗り換えを促す「IE6 No More」キャンペーン始まる

IE6 No More
たまには Operaのことも思い出してあげてください・・・・

----------
EoF

EMERGENCY vol2


本日２個目の警報

Firefox3.5 の jit(TraceMonkey)エンジン脆弱性を突いた（ような）攻撃が早速始まっているようです。

インジェクション FireFox3.5 Heap Spray Vulnerabilty
Thanks to HD Moore for the Insight and Metasploit for the payload

MetaSploit Project の H.D.Moore氏が見たら何ていうのやら（苦笑）
参考：『Metasploit』、最新版で『Windows』をフルサポート

本気なのか、Milw0rmを見て入れてみただけなのか、よくわかりません。

okm4.org	BLOCKED	okm4.org	305
118.123.11.29	AS4134	CHINA-TELECOM
56jrr.cn	BLOCKED	56jrr.cn	169
59.34.197.151	AS4134	CHINA-TELECOM

AS4134はそろそろ覚えていただけましたか？（笑）

MDL/MalwareURLともに犯歴無し

----------
対策：

Firefox 3.5.0 ユーザ
速やかに 3.5.1 へのアップデートを行ってください。

Windows ユーザ
Windows/Microsoft Update を行い、msvidctl.dll脆弱性の穴を塞いでください。
Microsoft Office Web コンポーネント コントロールの脆弱性の対処（Fix it)を行ってください。

----------

追加：

cnzz.com	THROUGH	cnzz.com	1
59.151.41.22	AS9308	CHINA-ABITCOOL
linezing.com	THROUGH	linezing.com	333
119.42.227.248	AS37963	CNNIC-ALIBABA-CN-NET-AP
hongse88.com	THROUGH	hongse88.com	NOT YET
121.14.218.162	AS4134	CHINA-TELECOM

----------
EoF

いや・・別に無料で使わせて貰ってたので、文句言う筋合いは無いんですが・・・

忍者ブログ インフォメーション/メンテナンス/障害情報
管理画面へのログイン不具合に関して
本日20:50頃～21:13頃までの間、サーバーの一時的な高負荷によりNINJA TOOLS管理ページへログインされづらい状況が発生しておりました。現在は正常に稼動しております。ご利用中の皆様には、ご不便をおかけし誠に申し訳ございませんでした。

ってだけ書いてありますが、実際には

【お知らせ】
6月18日に発生したディスク障害により、こちらのツールの生ログが消失いたしました。
消失範囲：6月18日17時以前の4か月分
多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

をいをい・・・
ほんとに全ログ喪失してるっぽ・・・


まぁ・・無料サービスなんかこんなもんなんでしょうね

そろそろ移転を考えよう～

タイトル見ただけで笑っちゃいそうですが

Office 2007用SP2に欠陥，SharePointなど5製品を試用版と誤認識

試用版と誤認識されるのは，SharePoint Server 2007，Project Server 2007，Form Server 2007，Search Server 2008，Search Server 2008 Expressの5製品である。これらの製品は，同SP2適用から180日経過すると試用期間が終了したとみなされ使えなくなってしまう。

笑

「SharePoint Server 2007」のService Pack 2に重大なバグ--MSが警告

バグは、ポータル製品「SharePoint」の最新版のService Pack 2に含まれる。同Service Packは製品の有効期限を誤って設定し、Service Pack適用後、トライアル版の有効期間と同じ180日間でSharePointを利用できなくしてしまう。

一応緊急回避策が
The 2007 Microsoft Office Server Service Pack 2 unexpectedly activates a trial expiration
で、提示されています。


て　す　と　し　ま　し　た　か　？（棒読み）

Gumblar Up Another 7%; Martuz.cn is Down
一夜明け、gumblarに感染しているドメインのユニーク数が更に7%増加しました(*1)。しかし朗報があります。攻撃者が「ビジネス」を続行することが難しくなりつつあります。

認証機関やWebクローラ（サーチエンジン）は未だに検索結果から感染サイトを僅かながら返していますが、メディア、セキュリティ・コミュニティによる注意喚起の浸透によってマルウェア・ドメインが急速にシャットダウンさせられつつあります。martuz.cn はほぼ１日の間ダウンし、感染サイト上のインジェクション・スクリプトはその間変更された形跡がありません。

こうであることを願うばかりですが、～管理レベルに関係なく、攻撃者は感染サイトへの攻撃を終えたようにも見えます～攻撃を続行する（*2）ことが、攻撃者にとってのメリットよりもリスクになっているのでしょう。あるいは、単に攻撃者が広まってしまった注意喚起が薄れるためのクールダウン期間を置くために小休止しているのかもしれません。
*1：gumblar.cnへのインジェクションが新たに登録されたのではなく、ScanSafe社の顧客に入っている IDS に引っかかった数が増加しているということです（未踏感染リンク）
*2：FTP経由で改ざんしているため、FTPログが残っている・・はず

確かに martuz.cn は現在正引き不能です。（DNSから 有効な A レコード削除）

ヤリスギに気がついたのか、そもそもここまで急速に拡散することを（攻撃者も）想定していなかったのかもしれません。

-----------
しかし、 martuz.cn に使われていた IP 95.129.145.58 および、何かを送信していた 95.129.145.57 は現在も完全停止したわけではないので、引き続き注意が必要です。（ping応答：有 リクエストレスポンス：無）

今後のオプションですが、

う～ん
３を願いたいですね。


------------
昨日撃墜調査した検体、SHA-1違うものを再度チェック
slw10.xbn 12/39 (30%)

検出率上がってますね。