UnderForge of Lack

2010.02.01 改修

知り合いから相談を受けたのでちょっと・・・

----------
FTP
File Transfer Protocol（ファイル・トランスファー・プロトコル、略称：FTP）
を知らない人はあまり居ないかもしれませんが、そのセキュア転送に関してはIT企業でも混乱している様子ですので・・・

----------
SFTP
SFTPは SSH File Transfer Protocolの略称で、実はFTPではありません。
例えば、SourceForgeには
Windows用SCP/SFTPクライアント「WinSCP」で安全なファイル転送
最近では、セキュリティ向上のためファイル転送にFTPではなく、SCPやSFTPを推奨しているサイトも多い。
と記述されていますが、ここに大きな陥穽が潜んでいます。

SSHを外部に開くということは、Windows リモートデスクトップを外部に開放するのと同じということを理解していますか？

SFTPは、要するに SSH -- Secure Shellの仕組みを使ったファイル転送であって、旧 rcpコマンドのセキュア版（別名 scp）です。Portは TCP/22を使用します。

逆に言えば、SFTP/SCPを使用したいということになれば、DMZからWANにPort22をピアスすることになり、これはSSH辞書攻撃などに晒されることになります。
もちろん、id_rsa/dsa の鍵＋パスフレーズをきちんと管理し、一般のshell modeを許可しない方法で開けるのであれば、セキュリティ的には問題がないレベルですが、往々にしてそうはなっていません。
※SCPの場合、認証鍵の作成の際に no-pty オプションを使用することにより、端末の割り当てを明示的に禁止することが可能・・・・かも
SSHD (8) -- AUTHORIZED_KEYS ファイルの形式(※注1)

また、SSHログインとFTPログインのユーザ情報(Credential)は同じになってしまうため、一部ユーザのためだけに FTP を許可したりすると、そこから SSHで侵入、完全に制御を奪われてしまうというケースが多々あるものと推測されています。

----------
SCPとSFTP 2010.02.01追記
SCP
　SSH1でシェルコマンドを使用する（しかない）
SFTP
　SSH2のサブシステムとして動作可能
SCPではシェルコマンドを必ず実行しなければならないため実際問題としてはセキュアではないかもしれません。
WinSCPはその名称で SCP しか対応していないと見られがちですが、そうでは無いことを併記しておきます。

参考：
WinSCP : サポートしている転送プロトコル -- 2004.11.03

----------
FTPS (FTP over SSL/TLS) (※TLSは以降省略します)
FTPSは、従来のFTPで送受信するデータを SSLで暗号化するプロトコルで、SSHを使用する SFTP や SCP とは全く別のものです。 制御通信は Port21を使用し、実際のデータ送受信は、複数のポートをランダムに使用する PASVモードが一般的です。

FTPSには更に２つのモードがあります。
Explicit
　サーバ接続時は非SSLで接続し、ハンドシェイクが完了した後SSL通信に移行
Implicit
　最初からクライアントがSSLハンドシェイクを要求する

一見、Implicitのほうがセキュアに思えますが、Implicitの場合は、基本的にサーバ側のプロトコルに完全合致した設定を理解できる FTPS クライアントが必須となります。またTCP/990や989 を使用することもあるため、環境に依存することが多く、大抵すんなりとは動きません。ExplicitでもAUTHハンドシェイク完了後のID/PASS応答はSSLとなるため、どうしてもサーバ情報を秘匿したい場合以外は問題ないと考えています。

尚、PASVでの動作が前提となる場合、PASV用のポートに対してもケアが必要になります（特にNAT越えの場合）
※PORTモード(データ転送 : Port 20) はあまりお奨めしません。

2010.02.01 追記
Explicitモードのことを「明示的なFTPS」と翻訳され、FTPESと表記されることもあります。
Implicitは「暗黙的なFTPS」と翻訳されています。
用語から受ける印象と実際の通信手順に若干のズレがある点に注意してください。
No.6432　explicit, implicitの違い
誤解されているのでしょうか？　implicitは、SSLでセッションを張るための仕組みなのでそれ以外有り得ず、選択の余地がありません。
以前はこの部分がネックとなっていたわけですが、逆説的表現を使えば、Port21を塞いでPort990のみを開け、明確にFTPoverSSLのみしか受け入れないほうが良いと考える向きもあるかもしれません。

----------
結論
いずれにせよ、現在FTP で何も考えずにデータ転送をしている環境が大きく変更されることは間違いありません。しかし、インシデントはたった１回で致命傷になります。

今回のGumblar、ガンブラー™の蔓延は、セキュリティを見直す又とないチャンスです。

これを他山の石とし、社内のセキュリティ・ポリシーを再度見直し、クライアントに対してFTP通信の危険性を説き、Web全体のセキュリティの向上を目指す一助になれば、これに勝る幸いはありません。

参考：
FTP, FTPS, SFTP -- 更新日：2005.05.07
FTPの暗号化の種類
FTPサーバ(vsftpd)の構築(RedHat系編)
Fedora/CentOS - FTPサーバの構築(vsFTPD)

※注1
ssh scp sftp の正しい自動実行方法
via:
_ ssh scp sftp の正しい自動実行方法
あと、これも時々目にする勘違いだけど、「no-pty」は仮想端末とれなくなるだけで、シェルが取れなくなるわけじゃないので、仮想端末取らないで「ssh remotehost '/bin/sh' < 悪のスクリプト」とかやるだけの話。
という感じで、実際にはカナリ頭痛のタネ系の問題が多いことも事実です。

------------------------------------------------------------
追記：
ah様より、
restricted shell for scp/sftpってのぢゃだめ？
と、教えていただきました。

ありがとうございます。

rsshは実は使ったことがなかったので、今回勉強のため VMに入れてみます。
特に chroot が可能なのは初めて知りましたので、うまくいけば FTPSよりも楽かもしれません。
が、
相談してきた人は、IIS だったことに気が付いたのは内緒にしておきます（爆）
※正確には、運用中のサーバの中に 2003/IISのものが混じってる

あと、
企業のセキュリティ・ポリシーとして 22番を外向きに開けるのはどうか？と思うぞ？
という意見も頂きました。
ま・・やっぱりそうですよね・・・

------------------------------------------------------------
rssh homepage(日本語訳)
RSSH.CONF
chrootpath

rsshによるセキュアなファイル転送

----------
個人的な結論 2010.02.01
個人的な意見としてですが・・・・

FTP(21)をファイアウォールルールから抹消したい人は
Implicit FTPS(990/989) を

普通のFTPSなら
Explicit FTPES(21)+PASV を
※LIST → NLST

22番ポートが開いてもかまわないなら
SFTP(22) を

使うのが良いのではないでしょうか？

EoF

禁酒の日
1920年1月16日にアメリカで禁酒法が施行された
籔入り
嫁に出た人や奉公人が一時的に暇を許され、生家に帰ることができた日。宿下がりとも言う。この日と7月16日。
初閻魔／閻魔賽日／十王詣 1年で最初の閻魔の縁日

----------

今日は IE-ZERO DAY で時間食ったので・・
[その他落穂]

----------
Adobe the tainted
Adobeの意味からレンガが外されて単なる「泥」になってしまってから相当立つわけですが、今回の一件はどうなってるんでしょうか？
Clearing some things up about Adobe

This led some folks (including me) to the conjecture that the attack involved the use of a malicious PDF file. I’ve seen examples where this group used malicious PDFs, but nobody provided an example of the PDF file used in THIS attack. Adobe’s (the company) ASSET security team released additional details yesterday where they assert that Adobe Acrobat Reader was not involved in the incident, that instead it was an IE vulnerability (detailed here).

今回の Google/Adobeその他への攻撃には PDFによる攻撃が含まれていたと考えていたわけですが・・・・
Dec.13 Adobe 0 day CVE-2009-4324 PDF attack of the Day (#2) Interview Request from fureer.angelica@gmail.com Sun, 13 Dec 2009 14:13:46 -- contagio
少なくとも昨年の12/13には既に、この攻撃の詳報が出されており、CVE-2009-4324が受理されたのはその翌日です。

ま、こまけぇこたぁいーんだよー ということにしておきますか

FireEyeによる、（いつもながら）詳細なレポートが出されていますので参照してみるのも良いでしょう。
PDF Obfuscation using getAnnots()
廃業宣言したはずの、MalwareToolkit "Neosploit" による、mebroot(aka Torpig)のインストールの様子。
MebrootはMBRに潜伏する最悪のrootkitで、ウチでも12/22に警戒を呼びかけていました。

----------
IE8にあげちゃだめ
：Cisco ASAユーザ
シスコ製品のSSL VPN機能とIE 8との互換性問題が明らかに
米国Cisco Systemsのセキュリティ・アプライアンス「Cisco ASA」がInternet Explorer（IE）8をサポートするのは、今年3月以降になる見通しだ。それまでASAユーザーは、SSL VPNでアクセス可能なアプリケーションが限定されることになる。

そうだ、 FirefoxとかOperaとかChromeとか使えば良いんだ（Win版Safariは却下の方向で）

いやまて！？われわれには w3m があるじゃないか！
W3M Homepage

----------
せみな
感染被害拡大！今話題のGumblar（ガンブラー）を徹底解説
逝行ってみたかった

微妙に続く
----------
感染してみたシリーズ
必見です。
8080(aka ガンブラー™）に実際に感染して調査を行っていらっしゃる方のページ：
いわゆるガンブラーに感染してみた４　「あ、感染した。」
syszyd32.exeのアイコン七変化がかなり笑えました。

・MS09-043　→　Microsoft Office Web Components → そもそも生贄PCにはoffice入ってない。
・MS09-002　→　Internet Exploreの脆弱性 → 該当する修正プログラムをアンインストールして試してみたけど感染しなかった。
手元でこそこそ解体したときは
CVE-2008-2463
Office Snapshot Viewer
[MS08-041] Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617)

CVE-2008-0015
[MS09-037] Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)
が入っていましたが・・・・

まぁ
こまけぇこたぁいーんだよー
に激しく同意しました（笑）

ガンブラー vs Spybot-S&D
撃沈（苦笑）

次回も期待しておこうっと

余談：
Wiresharkはログパースが大変なので・・次回から TCP Monitor Plus を入れてInbound/Outgoing のセッションを暴いて欲しいかな（笑）

追記：
KDDI、ウェブ改ざん検知システムでGumblarを検知可能に
ふぅん・・
　Gumblarにより挿入されるスクリプトのパターンは、現在確認されているだけでも約30パターンあるという。今後も増加が予想されることから引き続き改ざんの特徴を分析し、システムに反映していくとしている。
「ワシのガンブラー™は108パターンまであるぞ」って感じなんですかネ？

----------
Twitterbuilding・com
Twitterbuilding.com—Stealing Your Passwords One Tweet at a Time
twitterbuilding.com as AS21844 THEPLANET-AS2
うはは・・
防弾ホストはいつまでたっても変わりません

----------
あなぼっこ by HIRT
BGM:
チェックしておきたいぜい弱性情報＜2010.01.15＞
・Sendmail 8.14.4リリース（2009/12/31）
・シマンテックVeritas VRTSweb.exeにぜい弱性（2009/12/09）
・Windows環境のIndeoコーデック処理にぜい弱性（2009/12/09）
・米アドビ システムズFlash Media Serverのセキュリティ・アップデート（2009/12/18）
・PHPで開発された複数のWebサイト用プログラムにぜい弱性

----------
あなぼっこ : Add

Zeus Web Server Buffer Overflow Vulnerability 4
[NO patch] : Restrict network access to the affected application.
この会社のせいではないとはいえ、名前にも問題が・・

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)

----------
Google Safe Browsing
| 1263499205 | B | [goog-black-hash 1.48812 update]
| 1263499202 | M | [goog-malware-hash 1.18634 update]
| 302136 | -8309(310445) 大幅減少!!
| 1248751 |
EoF

[ATTENTION]
MacOS ユーザは Adobe Reader/Acrobat 9.3/8.2 の導入を見合わせるように

【重要】Acrobatのアップデータは充てないで
12日より公開しました最新のAcrobatのアップデータを充てると、Illustrator＆InDesignが起動できなくなる問題がわかりました。現在わかっている問題ですがMac（PowerPC&Intel両方）で発生、条件は以下のバージョンになります。

問題を起こすアップデータ：Acrobat8, 9＆AdobeReader8,9（8.2.0&9.3.0）

影響を受けるアプリ：Illustrator CS&CS2　InDesign CS&CS2

上記バージョンのアップデータを充てるとIllustratorが異常終了またはフリーズ、InDesignはシリアルの入力を求められ、入力しても無効と表示されるなど、アプリケーションとして使えなくなることが確認されました。
当初Acrobat9では問題ありませんとお伝えしておりましたが、同様に問題が発生するようです。
現在問題の調査をしている所です。まずはMac版のAcrobatのアップデータを充てないようにご案内させていただきます。
ご迷惑をお掛けして申し訳ございません。

*shrug*

というわけですので、MacOSで Reader/Acrobatを使用中の方は、少しアップデートを待つか、差し戻してください。

現在、この脆弱性攻撃による MacOS の被害は確認できません（PDF内部に内封されたペイロードも MacOS用実行型が存在した形跡は、現時点ではありません）。

repeat after me
DID YOU TEST?

recon様、情報ありがとうございました。

----------

(旧)成人の日 現行法では1/15になることはなくなった。
小正月 feat. なまはげ
上元 eat 小豆粥
ウィキペディアの日 2001年1月15日にウィキペディア英語版が発足 *clap* *clap* *clap*
いちごの日 [いち(1)ご(5)]
警視庁創設記念日 1874年、東京警視庁（現在の警視庁）が創設 川路利良
1943年、アメリカ国防総省庁舎ペンタゴンが完成。

----------
ハイチ地震の被災者の方にお見舞い申し上げます。
怖くなって、家屋内の転倒防止金具などの点検を行った今日この頃・・・
そして・・
Haitian Earthquake Disaster Email Scams and Search Engine Poisoning Campaigns
US-CERT would like to warn users of potential email scams and search engine poisoning campaigns that may circulate regarding the Haitian Earthquake disaster.
時事ネタに即食いつく行動力には呆れるばかり・・・

Rogue AV exploiting Haiti earthquake
KILL: scan-now24.com
Black Hat SEO Causing Malicious Search Results For Recent Haiti Earthquake
ハイチ地震：新たなローグがニュースを悪用
待て！　何だって？　「エフセキュア」？！？　惜しい…　我々は断じて、このマルウェアをサポートしていない。
（笑）

SunBeltは特集４連弾
Best advice on avoiding Haitian relief fraud
Dangerous web search: “haiti earthquake donate”
location-delamare・fr
80.74.71.70
www.sevencycles・com/?www.sevencycles.com/
www.parksoptical・com/index2
Haiti hazards: more dangerous web searches
SEO汚染キーワード
Hacked sites used to redirect to malcode
scan-now24.com (registered Dec. 28)

まぁ、どうしてもネットから寄付したいのでしたらこちらで・・・
Helping Haiti respond to the earthquakevia: Google Checkout 安全で便利な Google Checkout がお客様の ショッピングを お手伝いします。
Googleのやってないサービスって無いのか！？（オークションくらい？）

----------
Spamの根絶・・
現在の、ビル・ゲイツ氏は慈善活動（ビル&メリンダ・ゲイツ財団など）に勤しんでおられますが、
2003年から、ゲイツ氏が取り組み、２年以内にspamを根絶させると気負ったのは古い記憶でしょうか。
ビル・ゲイツ、「魔法のスパム解決法」を語る

もっとも、その当時はSNS経由のspamやら、botnetによる踏み台spamなどは考慮されていませんでしたが・・・・

Spam and Phishing Landscape: January 2010
スパムは10年間で8％から90％に、Symantecが動向報告
2000年から2009年にかけてのスパムメールの動向を振り返り、全電子メールに占めるスパムの割合は2000年には8％足らずだったのが、現在では90％近くを占めるようになったと報告した。

そろそろ smtp に変わる新しい手段の確立が必要なのでしょうが、まずは DNSSEC から固めないとダメなのでしょうね。

ちょっと続く
----------
cnドメインスパムの漸減
A Drop in .cn Spam
CNNICによるドメイン取得ルール変更による効果が出ているようです。

.cnドメイン「が」減っただけで根っこは一緒なんですがネ・・

This Week in Avalanche / Zbot / Zeus Bot: HSBC & eBay
最近は .pl .kr .eu あたりが流行のようです。

----------
SMB DoS demo
本当に静かな 1月の Microsoftですが、今回見送られた SMB脆弱性によるDoSのデモが公開されています。
Windows SMB Crash Video

----------
google-analytiics.com
注意喚起 LOG WATCH:
set+variable=cast(variable+as+varchar(8000))%2Bcast(char(060)
%2Bchar(115)%2Bchar(99)%2Bchar(114)%2Bchar(105)%2
google-analytiics.com -- s3cwatch
SQLインジェクションによる攻撃とされています。
The above script opens a popup window from “best-youtubevideo.com” domain, however it is redirected to “scanner-antivirusw1.com”. This leads to scareware that scares people to install the malware.(Result: 2/41 (4.88%))
またこのケースですね。
SQLインジェクションではない可能性もありますので気をつけましょう。

----------
cn vs ir
Iranian “Cyber Army” Strikes at China’s Search Engine Giant, Chinese Hackers Retaliate
As of now, it has been reported that some Chinese hackers have hacked several of Iran’s websites right after the Baidu attack happened, apparently in retaliation to the Baidu DNS compromise. Some comments circulating on Web discussions mentioned that Iranians are blaming the Chinese for interfering with their war with Israel, hence the attack on the Chinese site.
だから中国に喧嘩うっちゃいけないって言われたでしょう？（笑）

DNS攻撃の詳細：
Baidu.com the Latest Victim of Iranian CyberArmy
百度の停止はDNSレコードの不正変更が原因

----------
facebookのプライバシーとは？
実際には存在しないFacebookプライバシー
まぁ、言いたいことは判るんですが、いままで普通にシェアしてきたものが、特定リンクを知らなければ判らなくなったということに好意的に評価したほうがいいのではないでしょうかネ？
※Facebook使ったこと無いので何が問題なのかわかってないだけかもしれませんが、同様のことはGoogle Mapのプライベートマップや、GoogleDocsにも存在します。

----------
DarkMarketの運営者はピザの配達人
Pizza delivery man cops to life in DarkMarket

最大で懲役１０年っと

----------
あなぼっこ

Red Hat update for acroread 5
５！？ って・・あ、acroread か！？
Critical: acroread security and bug fix update
Critical: acroread security and bug fix update

Google SketchUp 3DS and SKP Processing Vulnerabilities 4
Update to version 7.1 Maintenance 2.

PoC:
Apple iTunes 8.1.x (daap) Buffer overflow remote exploit (CVE-2009-0950)

Winamp 5.05-5.13 .ini local stack buffer overflow poc

CVE-2010-0012: Transmission BitTorrent Directory Traversal
良い子はこんなもん使っちゃいけません・・・って最近 Linuxが BT配布になってるんですよね

----------
ENIGMail
GMAILがデフォルトで https にしたわけですが、果たして本当にその公開鍵認証が安全かどうかわからないジャン！という方は
Want really secure Gmail? Try GPG encryption
を試してみましょう。

----------
うぃきぺぢあんの更新求む
現在のGumblarは、ウィルス名称となっているようですが
ADOBE READERとACROBATの新版公開、「ガンブラー™」悪用の脆弱性を修正
ガンブラー™を使う攻撃では、攻撃者は正規のWebサイトに不正侵入。Webページを改ざんして、ウイルスを感染させるような罠（ガンブラー™）を仕込む。ユーザーがそのWebページにアクセスすると、ガンブラー™によって悪質サイトにリダイレクト（誘導）されて、別のウイルスがダウンロードされる。
もう、完全にメソッドの名前になってますね（笑）
そのうち、３段活用で「Gumbる」「Gumbられる」「Gumbりんぐ」とか発展するんでしょう（ないよ）

gumblar.biz、gumblar.jp（No match!!） はまだ空いてますよ！？
※取って何をしろと！？

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris) NEW
91.121.86.130 AS16276(OVH Paris) NEW
94.23.206.229 AS16276(OVH Paris)

----------
Google Safe Browsing
| 1263499205 | B | [goog-black-hash 1.48812 update]
| 1263499202 | M | [goog-malware-hash 1.18634 update]
| 310445 | -6824(317269) 大幅減少
| 1248751 |
EoF

左義長、どんと、松焚祭（どんと祭）
最近はダイオキシン問題で取りやめている事例もある。
主の割礼祭 正教会の祭
愛と希望と勇気の日
1959年、南極大陸で1年間置き去りにされたカラフト犬タロとジロの生存が確認される

----------

皆様、Adobe Reader 9.3.0 (or 8.2.0) へのアップデートは済まされたでしょうか？
Adobe Acrobat の購入者の方々もアップデートをお忘れなきようお願いします。

----------
Java JRE 6 update 18
Sun Java JRE 6 Update 18 Released
そのうち、Oracle Java になるんでしょうか・・・
This release contains fixes for 358 bugs. You can see the release notes for this version here. You can download the update here.

Note: "This feature release does not contain any new fixes for security vulnerabilities to its previous release, Java SE 6 Update 17. Users who have Java SE 6 Update 17 have the latest security fixes and do not need to upgrade to this release to be current on security fixes."

バグフィックス x 358 あるって言われてて、セキュリティの問題は無いので updateしなくていいですよ？　というのもありえない話でして・・・・

Java SE ダウンロード : Java SE Runtime Environment JRE 6 Update 18
ぽちっと・・

----------
Goodbye China
政治が絡んだ問題には（怖いから）あんまり口を差し挟みたくないんですが・・・
A new approach to China
訳：
中国に対するあたらしい姿勢

Google、中国事業から撤退か - 大規模サイバー攻撃を報告
今回サイバー攻撃の情報を公開した理由についてGoogleは、「深刻なセキュリティ問題、そして人権問題が含まれているためだけではなく、この情報が"言論の自由"について世界規模でより大規模な論争を巻き起こす核になるからだ」と説明している。
なんかもう政治色でべっとりな印象なんですが・・

Google’s Threat Echoed Everywhere, Except China
もう献花されてるし・・（苦笑）

このへんは、読者の方々のリテラシー・ベクトルによって十人十色な判断がされる部分でしょう。

グーグル、中国での検索結果検閲を廃止へ--同国から撤退の可能性も
Google、中国からの大型サイバー攻撃に中国市場撤退も
Googleにとっての中国: 人権うんぬんよりも世界でのビジネスが第一
おそらく、もっとも衝撃的な部分は: かつてYahooは中国でGoogleよりはうまくやっていた。しかし数年前に撤退したのは、Alibabaには勝てない（Aliの40%近くの株主になることはできない）と悟ったからだ。Alibabaは、中国での成長の仕方をいちばんよく知っている企業だ。中国に住む起業家でエンジェル投資家のBill Bishop…彼は私が書く中国記事を批判することもある… は、そう言ってから次のように付け加えた:“YahooがGoogleよりもお利口と思えたことは、あまりないのにね”*。〔*: そのときだけはYahooがGoogleよりも賢いと見えた、の意。〕

微妙に続く
----------
Adobeも受けてたんです・・
アドビ、「洗練された組織的な」攻撃を受けたことを認める
Adobe Investigates Corporate Network Security Issue
なんだかよくわかりませんね

Google, Adobe attacked through China
SecurityFocusでは、確証はないとしながらも、この２つの事例を同列に扱っています。

一方、ScanSafeは独自見解：
Google Attack Reflects Sophistication of Today's Malware
ScanSafeは、昨年から執拗に続く中国の Password Stealerの事例を挙げ、PWS.Lineage や WoWStealerといった、一見ゲームのパスワードしか盗まないような印象を受けてしまうトロイが、実際には何をしでかしているか検証できていないことを警告しています。
Password Stealers: Few Names, Many Flavors -- 2009.06.23
うちにもありましたね・・・
2009.08.29 土曜日
om7890.com : a0vの系列

このあたりは、Ilion様のサイトが詳しいです。
インジェクション -- 2009-07-19

あと、バリュードメインの一部のラウンドロビンに潜んでいた（アクセス解析にも）コレも、その系統です。
hellh.net -- 2009-07-07

--
こうなってくるともう一般人には何もいえない
Adobe Flaws Alleged in Google Attacks
Google attack part of widespread spying effort

もうちょっとだけ続く
----------
Adobeがクラックを受けた原因は・・？
Hackers used rigged PDFs to hit Google -- and Adobe, says researcher
Analysts at Verisign's iDefense security group told Robert McMillan of IDGNews today that hackers had launched targeted attacks using a malicious document attached to e-mail messages.

Unpatched Adobe holes link Google and earlier attacks
マテ・・・・

これがほんとなら、あの「イケテナイ」Blacklistingは Adobe社内でも機能してなかったってことですね・・・
あはは・・（乾燥）

Googleに対する標的型攻撃
Screen Capture: Targeted Attack PDF Exploit Taking Over A Computer

この攻撃は昨年からずっと警告されていたものです
contagio -- malware dump

あと１個だけ・・
----------
だからgmailはhttpsに
Google (finally) enables default "https" access for GMail

チャイナ・シンドローム―Google、中国のハッカー攻撃を機にGmailのセキュリティーを引き締める
Googleは当然ながらGmailのセキュリティーを重大に受け止めており、今後、Gmailは暗号化されたバージョンをデフォールトとすると発表した。

GJ! ・・・なのかな？
「既に盗まれ済」なアカウントはど～にもならないわけですけどね。

あ・・あともう１個・・
----------
Adobe Readerの新機能
A Few Words on the January 2010 Security Update for Adobe Reader and Acrobat
And we're providing more fine-grained control for any future JavaScript API vulnerabilities with the JavaScript Blacklist Framework. Finally, disabling Legacy Multimedia by default protects users against any potential security vulnerabilities identified in these rarely used features.
Legacy Multimediaをデフォルトでブロックするんだったら、JavaScriptもそうなさいってばさ！

----------
Gumbられる
もう言うまいと思ったけど、ちょっとだけ・・・
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説
セキュリティ企業のシマンテックは2010年1月12日、国内で猛威を振るっている「ガンブラー（Gumblar）」について解説した。
このソースが見当たらないんですけど、何かプレス向けのブリーフィングでもあったんですかネ？

シマンテックによれば、一般的にガンブラーと呼ばれているのは、別サイトに誘導してウイルスに感染させる攻撃手法のこと。同社では「ドライブバイダウンロード」と呼んでいて（図）、感染させられるウイルスの名称ではないという。同社では、最近の報道では「ガンブラー」を、ウイルスやマルウエアの一種と混同しているケースが見られるとして、誤解しないよう呼びかけている。
いや・・それ、どこもそう呼んでますが・・・・
Drive by Download = Gumblar って説ははじめて聞きました。
そういえば、SymantecさんはBloodhoundから、"Hacktool.Rootkit"という、なんとなくヒューリスティック的な名前しか付けてくれなかったんですよね・・・

----------
諸君、これは戦争だ！
Minipost: #CNIRcyberwar ? ? ?
昨日イランのサイバー軍を名乗る組織に（かのご高名な）Baidu がヤラれちゃったわけですが、人海戦術では絶対に負けない中国は報復に出たようです。

勝手にやってて・・・

----------
一方・・・Microsoftは渦の外
2010年1月13日のセキュリティ情報 (月例)
また、Adobe製品だけではなく、SUN Java Runtime Environment (JRE), Quicktime も利用している方は最新の状態にしておく事もおすすめします。
余裕ですね・・・

Rimecud and Hamweq - birds of a feather
Win32/Rimecud
IM経由で飛んでくるらしいですが、国内では感染事例を聞いたことがありません。
もっとも Pidginが MSNの穴を塞いだのはコレ対策のようですので、そこそこ流行しているのでしょう。

----------
Kerberos PoC
MIT krb5 Security Advisory 2009-004 -- release: 2010-01-12
AFFECTED SOFTWARE
KDC and application servers in MIT krb5-1.3 and later releases are vulnerable. Earlier releases did not contain the functionality implemented by the vulnerable code.
Third-party applications linked with the libraries from vulnerable releases are also vulnerable.
CVE-2009-4212 as *reserved*
patch:
for krb5-1.6
for krb5-1.7
PoC:
CVE-2009-4212: MIT Kerberos Multiple Integer Underflows
う・・・

Kerberos KDC RC4 and AES Decryption Integer Underflow Vulnerabilities 4
Update to version 1.6.4 and 1.7.1 as soon as available or apply patches.
RedHat系、Ubuntu、Debianには既にパッチが来ています。

----------
ZeuSだって元気です
USのTaxSeasonが近づいてますので・・・
eBayを騙るフィッシング
ただしアクセスしても「Not found」となってコンテンツはありません。
そのため単なるフィッシングなのかいつものようにZeuS関連のマルウェア配布なのかは未確認です
※cNotesさんのfaviconが元にもどった・・・

ebay.comの偽サイト -- Jan.13
110.54.126.137 == 110-54-126-137.ppps.bbiq.jp
bbiqは久しぶりですね・・・
ここもルータ挟んでないユーザがいっぱい居そうです。

IRS Warns of Online Scams
The U.S. Internal Revenue Service has issued a news release on its website warning consumers about potential scams. These scams are circulating via fraudulent email or other online messages appearing to come from the IRS.
IRSのspamも相変わらずの様子

----------
炉
rogue, trojan, exploit domains to sinkhole
130 domains to add to your dns sinkhole:
dns sinkholeってなってますが、コレは DNS拒否リストに入れるのかな？
まだそのへんは宿題中だったりします（笑）
※DNS siknhole routingによって不正リダイレクトされている「ドメイン」はこんな数じゃないはずです。

----------
あなぼこっ
Adobe getPlus DLM Multiple Vulnerabilities 4
Follow the update recommendations included in APSB10-02.
アップデータにも穴を掘るなんて・・・

Novell ZENWorks Asset Management SQL Injection Vulnerability 3
Update to version 7.5 Interim Release IR19 or later. visit

----------
その他

今日は数が多かった・・・

New Koobface variant saves researchers time from analysis

SMS Donations Advertised via Twitter
ハイチ募金を呼びかけるSMSがTwitterアカウントにリンク・・・
正規サイトは
http://www.mgive.com
http://mobilegivinginsider.com
だそうです。
日本国内ではあまりSMSが使われていませんのでなんとも・・

Yahoo!、Zimbra を VMware に売却で合意
VMware は買収後、Zimbra の既存のオープンソース プロジェクトおよび商用製品を引き続きサポートするほか、Zimbra の製品を自社の仮想化プラットフォーム『VMware vSphere』ベースのクラウド インフラに統合する計画だ。
ターゲットが鮮明ではありませんけど、一応期待しておきましょう。

----------
オチ（酷い）
踏み台に注意（オフトピ-10)
誰がうまいことを・・・(1:00頃
こうして DDoS攻撃の踏み台に（笑）

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
95.168.170.89 AS28753(NETDIRECT) NEW
212.117.165.149 AS5577(ROOT eSolutions)

----------
Google Safe Browsing
| 1263412806 | B | [goog-black-hash 1.48740 update]
| 1263412802 | M | [goog-malware-hash 1.18610 update]
| 317269 | +62(317207)
| 1244406 |
EoF

chipの左下の十文字は、8080の設計者、嶋正利氏の家紋
サーバ拒否リスト強化

えーっと、まず WepawetのIPそのものをリジェクトした模様（コノヤロ～！）
jsunpackもダメなので、かなり厳しいチェックを入れている様子です・・・

さすがに怖いので wget でやったら案の定
hXXp://uimserv-net.pantip.com.guardian-co-uk.worldwebworld・ru:8080/index.php?ys
とナンバー無しのURLを返してきました。
2回目はもう 403 返答だし・・・

個々のスクリプトに一喜一憂してもしょうがないけど・・・
index_wordlwideworld.ru.htmlx 結果: 1/41 (2.44%)
Kasperskyのユーザが欣喜雀躍しそうなので貼っておこう（笑）

----------
一方旅行先も変化が
worldwebworld・ru
16：30
worldwebworld・ru. 432 IN A 62.75.218.192 AS8972(PLUSSERVER)
worldwebworld・ru. 432 IN A 91.121.142.111 AS16276(OVH)
worldwebworld・ru. 432 IN A 94.23.206.229 AS16276(OVH)
worldwebworld・ru. 432 IN A 95.168.170.89 AS28753(NETDIRECT)
worldwebworld・ru. 432 IN A 188.72.211.253 AS28753(NETDIRECT)

18:30
worldwebworld・ru. 432 IN A 62.75.218.192 AS8972(PLUSSERVER)
worldwebworld・ru. 432 IN A 91.121.86.130 AS16276(OVH)
worldwebworld・ru. 432 IN A 91.121.142.111 AS16276(OVH)
worldwebworld・ru. 432 IN A 94.23.206.229 AS16276(OVH)
worldwebworld・ru. 432 IN A 95.168.170.89 AS28753(NETDIRECT)

18:50
worldwebworld・ru. 432 IN A 62.75.218.192 AS8972(PLUSSERVER)
worldwebworld・ru. 432 IN A 91.121.142.111 AS16276(OVH)
worldwebworld・ru. 432 IN A 94.23.206.229 AS16276(OVH)
worldwebworld・ru. 432 IN A 95.168.170.89 AS28753(NETDIRECT)
worldwebworld・ru. 432 IN A 188.72.211.253 AS28753(NETDIRECT)

という感じで、fast-flux とは言わないまでもかなりの頻度で変更してる模様
OVHがテイクダウンされはじめているのかな？
個別のサーバ（あるいはVPS)毎に斬られてるような印象です。

いずれにせよ、完全にいたちごっこですね～

AS8972(PLUSSERVER)
62.75.128.0/17 [intergenia AG]

AS28753(NETDIRECT)
95.168.160.0/19 [ORG-nA8-RIPE]
188.72.192.0/18 [ORG-nA8-RIPE]
NETDIRECTのbgpは巨大なので、必要におおじて・・・

----------
後悔先立たず
62.75.218.192 に収容されている他のサイトをちょっと覗いてみて後悔 orz....

----------
後悔先立たず rev.2
あと、こんなリンクをよこしてきやがった友人に呪い祝福を
オメガ-8080　×２個セット
「オメガ-8080」って変わった名前…と思ったら、これは何と試作の回数が【8080回】だったことから命名！それも「人並み以上のブヨブヨに悩む人のために、いつでも専門家のあいだで販売できるよう、とりあえず名前をつけておこう」というもくろみからなんですって。

みなさん、リンクを踏む前には気をつけましょうね。

EoF

110番の日 全国の警察で、ダイヤル110番の有効・適切な利用を呼びかける モラルの低下にサイレンを。
明太子の日 福岡の食品会社ふくやが制定。
かんぴょうの日 かんぴょう（干瓢）の「干」が「一」と「十」の組み合わせ
十日戎 「商売繁盛、笹持ってこい!」
カエサルが、元老院の命令を無視してルビコン川を渡りイタリアに侵入。(紀元前49年)

----------
CVE-2008-5353
kaito834様がかなり詳細に解析されていたので紹介します。
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する
脆弱な JRE を指定して Exploit コードが実行されるとどうなるか
＜param name="java_version" value="1.6.0_07"＞
この警告ダイアログで [実行] を選択すると、JRE 1.6.0_07 で Exploit コードが実行され、calc.exe が起動してしまいました。
スキルも環境も時間もなくなった私にとっては拝みたくるようなMalCode分析です。

--
さて、ここで何が問題なのか？もう一度考えてみると、最近は Vista / Windows7 ユーザが多くなり、UAC, DEP(あるいはASLR）によって保護されている環境が増えてきました。

一般的なエンドユーザは２つの傾向にわかれます。
一方は、こういった警告が表示されるとパニックに陥って、ひたすら [x] を押して消してしまう派 です。このタイプの方は、まぁこの際は良しとしましょう・・・
問題は ベンダ名だけを見てOKを押してしまう派 です。
このタイプは、時と場合によって OK を押してしまう危険性があります。

--
UACとは何なのか？、なぜ時と場合によって管理者の許可を必要とするのか？という部分はまだまだ Windowsユーザには浸透しているとは言い難い状況です。
Vista環境下で、自分は大丈夫とタカを括っている層は、今回の CVE-2008-5353 攻撃によって足をすくわれかねません。
こうした、プリインストールされた脆弱性のあるコンポネンツをきちんとアップデートする仕組みの浸透は IPA や JPCert/CCの啓蒙活動にかかっているのではないでしょうか？
※PCを初期状態に戻す（ベンダー配布のリカバリーCD/DVD使用）と、しっかり脆弱性のある JRE が戻ってきます・・・・

微妙に続く
----------
曽根崎・・・
「Yahoo!占い」の一部ページが改ざん被害 （Gumblar.x）
これらは今騒ぎになってる”ガンブラーウイルス”とは別物です。

世間一般では

なのですね・・・

そういえば、ディズニーの感染例も Gumblar.x でしたね
Gumblar.x の Injectorは現時点では動作停止していますので、「Infectorによって感染されるだけされて放置」というなんともかわいそうな状況になっています。
正確に言えば、複雑なヒエラルキーを持っているGumblar.xシステムの中間リングが機能中止しているだけで、感染ノードに対して別のInjectorからの指令ネットワークが再構成されれば、明日にでも復活する性質のものでもあります。
CKu.dat555 結果: 36/41 (87.80%)
さすがに、こんなのに感染するような環境の人は根本的に問題がありますね・・

NoScriptのWhitelistを見直し
KAI君のとこ（笑）は心中相手にはちょっと・・・

ただ、SoftBankを擁護するわけではありませんが、コンテンツ囲い込みのためにサイトそのものが肥大化し、自社のセキュリティ・ポリシーに則っているかどうか？確認することさえ困難になっているのでしょう。
うちの会社に「今回のガンプラの件は大丈夫ですか？」と問い合わせてきたのはわずか1社だけでした（笑）

----------
Virus/Malwareの名称
Consistent Computer Virus Malcode names
via
Malware threat reports fail to add up

前からいってる話ですが、なぜウィルス・マルウェアの名称統一をしないのか？
答えは簡単～
他社との連携が取れて無いから、取るつもりもないからです。
引き合いに出されている(DHLを装ったspam添付のzip)マルウェアはこんな感じ
DHL_Print_label_23974.zip 結果: 27/41 (65.85%)
これはまだ良い方です。少なくともシグネチャは BredolabとWin32/Kryptikしか見かけませんので・・
一番有名な名称不統一は Conficker, Downadup, Kidoでしょう。

こうした問題の解決の一助として、IE3内に Industry Connections Security Group (ICSG)が設立されたわけですが、実際には何もやってないような印象を受けます。
マルウェア対策の業界連合がIEEE内に設立
というわけで、今後も乱立・混乱したウィルス・マルウェア名称が飛び交う事態が続いていくのでしょう。
GENO、Gumblar、ガンブラーなどはそうした混乱のメビウスの輪から派生したものです。

参照：
The Game of the Name -- Malware Naming, Shape Shifters and Sympathetic Magic
だから、この時期にPDFでレポートを出すのは KY! って言われますよ・・・

----------
SMBは先送り
そういえば、今月のPATCH BLACK TUESDAYは、墓場に片足突っ込んでいる Win2k のみというアナウンスがありましたが・・・
January 2010 Bulletin Release Advance Notification
I also want to proactively point out that we will not be addressing Security Advisory 977544 (Vulnerability in SMB Could Allow Denial of Service). We are still working on an update for the issue at this time. We are not aware of any active attacks using the exploit code that was made public for this vulnerability and continue to encourage customers to follow the guidance in the advisory which outlines best practices to help protect systems against attacks that originate outside of the enterprise perimeter.
まぁ、MetasploitがPoCを（挑発的に）出したにもかかわらず、いまのところ攻撃が実施されている雰囲気はありませんからね・・

このへんの匙加減は、運にもよるのかもしれません（CVE-2009-4324とは対照的です）

----------
炉
155 zeus/wsnpoem,fastflux domains
fast-flux, zeus, other trojan and malicious domains. Sources include www.malwaredomainlist.com, malwareurl.com, atlas.arbor.net and others:

----------
Domino
IBM Lotus Domino Web Access Unspecified Vulnerabilities 2
Apply Cumulative Hotfix Pack 229.261 for Domino 8.0.2FP3:
8.0.2.3 Lotus iNotes (DWA) 229.261 Cumulative Interim Fix

----------
ロボ！
Firefox 3.6 RC1がリリース
各所既報だが、Firefox 3.6 RC1がリリースされた。本記事執筆時点で、オフィシャルなアナウンスはまだ出ていないようだ。Firefox 3.6の最初のリリース候補版にあたる本バージョンは、Mozillaの慣例に従い、目立った問題がなければそのまま正式版となる。問題があるようなら、 RC2、RC3……と定期的にアップデートされていく。

このロボの名前が知りたいのは私だけ？（笑）

----------
Nexus One
Googleの無料空港Wi-FiはNexus Oneの宣伝手段だった
というか当然でしょうに（笑）
まぁ、なんでもかんでも無料でやってきた Google の印象が強かったのかな？

「Nexus One」の先にあるグーグルの構想--携帯電話販売方法の変革

ていうか・・なぜ Docomo に来ないの（泣）

----------
IT業界の勤労モラル水準は低い？
IT業界の勤労モラル水準は低い？

低いですね（自己診断）
こんなこと毎日（3-4時間も）やってて、勤務時間内は、ぼーっと仕様書を眺めていることが多いかな～
繰り返し作業をやってるわけではないので、見た目のモラルが低いといわれれば「へへ～どうもすみません」と平身低頭するしかない今日この頃。
上司が見ていませんように！

----------
| 1263067216 | B | [goog-black-hash 1.48455 update]
| 1263067202 | M | [goog-malware-hash 1.18518 update]
| 310470 | +3861(306609)
| 1222926 |
orz...

Googleセンセへの通報先はコチラ：
スパム レポート
その他：「Malware」 でどうぞ
EoF

[Notice]
メンテナンス・障害情報:www2,www4サーバのメンテナンスのお知らせとお願い（01月11日11時～18時予定）
となっておりますが、今日既に1度ダウン状態になりましたので、また堕ちるかもしれません。

移転先募集中（泣）

----------
風邪の日
寛政7年(1795)旧暦1月9日、横綱谷風梶之助が風邪（インフルエンザ）で亡くなったことに因む。「タニカゼ」というインフルエンザの俗称は、当時、谷風関が「土俵上で儂を倒すことはできない。倒れているのを見たければ儂が風邪にかかった時に来い」と語った（天明4年頃）ことに由来している。
クイズの日、とんちの日
一休さん（一休宗純）[いっ（1）きゅう（9）]

----------
泣きの一手
7三と
シマンテック、Amebaのウイルス問題で「ノートン」90日体験版を無料配布
シマンテックは、ブログサービス「Ameba」のキャンペーンで配布したブログパーツが改ざんされ、閲覧者をウイルスに感染させていた可能性があることを受け、感染の可能性があるユーザーにセキュリティソフトの90日体験版を無料提供する。
ふむふむ・・太っ腹ですね～

404

・・・・・・・・

追記：
Norton Police City in Ameba キャンペーン -- ブログパーツ改ざんに関する対処方法のご案内
なお、株式会社シマンテック様にて今回の件で影響の可能性のある方を考慮され、特別に、90日無償版の「ノートン インターネット セキュリティ2010」 をご用意していただきました。2010年1月12日より下記よりダウンロードが可能ですのでご利用ください。
ちょっと早かったカナ

----------
後手
6三香成
Web サイト改ざんに関する情報提供のお願い
インシデントの届出 (Web フォーム)
必須

検体提出も可能のようですね。

とりあえずはコレでも貼っておきますか？
ビングレ with "*/ try{window.onload"
※BINGは半角 * をキーワードで検索可能

残念ながら、このパンデミック状態で、1個1個感染ノードを潰していくしかないのが現状です。

先手であれば、去年の5/19の martuz.cn テイクダウンの時にこういう措置＋プラグイン等アップデートの徹底的な周知をやっておけば、ここまで感染拡大することは無かったでしょうに・・・・

放置によって汚染が拡大していく様子は
ウィルス感染サイト報告：さまれぼ！
をごらんになれば一目瞭然です。

JPCERT/CC、Web サイト改ざんおよび Gumblar ウイルス感染拡大に関して注意喚起

続く
----------
負の連鎖
サイト改ざん(1)「告知せず」で感染拡大の恐れ～負の連鎖を断ち切るために

凄惨な状況ですね：：
サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況

8080のことが言及されていますが、so-netさんは既に去年の7月の段階で、この事態の警告を発しています。
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」-- 2009.07.02
セキュリティベンダーがまだ命名していないので、ここでは便宜的に8080攻撃と呼ぶことにする。編集部では、この攻撃を6月初旬から観測しているが、見るたびに誘導先が違うほど大量のドメインをとっかえひっかえ使用。編集部が把握しているだけでも、約200のドメインが現在も稼働し続けている状況だ。大半はCN（中国）だが、最近はIN（インド）やPL（ポーランド）、RU（ロシア）、AT（オーストリア）などもチラホラ見受けられる。

　 Googleのセーフブラウジングの診断では、個々のドメインの汚染度は多いものでも3000程度だが、なにせ数が多いので総計は6万を超える。再改ざんによる重複が多数あるとは思うが、Gumblar以来の規模ではなかろうか。今のところまだ国内サイトの被害は見つかっていないが、海外サイトの日本語ページが改ざんされている例はあり、1日付のウェブセンスの記事では、人気の高いファイル共有ソフトTorrentの総合サイト「Torrent Reactor」も改ざん被害にあったという。

　使われている個々のドメインには、欧米のサーバー5基が1セットで登録されているが、全てのドメインが同じセットで動いているので、攻撃サイトは実質5基。早いサーバは1日で入れ替わるが、長いものは20日間以上使用されており、ボットネットの攻撃に見られるような短時間で入れ替わって行く、いわゆるFast-Fluxではない点がまだ救われる。
via
Torrentreactor Website compromised -- Date:07.01.2009

要するに、この時期のものがアップデートして戻ってきただけであって、根本は何も変わっていません。

更に続く
----------
8080（去年7月から仮称）
現在の状況：
インジェクション　/*LGPL*/

使用されている攻撃ドメインとそのURL文字列：
search : obfuscated iframe
blogcatalog-com.google.ie.google-co-jp.webnetloans・ru:8080/yandex.ua/yandex.ua/google.com.tw/google.com/robtex.com/
boston-com.symantec.com.cocolog-nifty-com.worldwebworld.ru:8080/msn.ca/msn.ca/iwiw.hu/google.com/yoka.com/
cbssports-com.shinobi.jp.gamer-com-tw.webnetenglish・ru:8080/foxsports.com/foxsports.com/google.com/statcounter.com/getiton.com/
google-com-sa.plala.or.jp.last-fm.webnetenglish・ru:8080/google.com/google.com/pchome.net/wrzuta.pl/careerbuilder.com/
immobilienscout24-de.zshare.net.ebay-com-au.worldwebworld・ru:8080/hudong.com/hudong.com/biglobe.ne.jp/google.com/wrzuta.pl/
iza-ne-jp.persianblog.ir.seriesyonkis-com.webnetenglish・ru:8080/google.com/google.com/yallakora.com/sabah.com.tr/orange.fr/
kohls-com.ibm.com.corriere-it.worldwebworld・ru:8080/yimg.com/yimg.com/google.com/jugem.jp/ebuddy.com/
meinvz-net.fifa.com.feedburner-com.thechocolateweb・ru:8080/hatena.ne.jp/hatena.ne.jp/ggpht.com/xinhuanet.com/google.com/
orbitz-com.yaplog.jp.tube8-com.webdesktopnet・ru:8080/google.com/google.com/dell.com/myfreepaysite.com/orkut.com/
petardas-com.sitepoint.com.yomiuri-co-jp.carswebnet・ru:8080/realitykings.com/realitykings.com/4shared.com/google.com/ifeng.com/
rottentomatoes-com.google.com.gazzetta-it.thelaceweb・ru:8080/google.com/google.com/dion.ne.jp/anonym.to/playstation.com/
seznam-cz.hsbc.co.uk.kakaku-com.webnetenglish・ru:8080/google.com/google.com/marca.com/allabout.co.jp/iza.ne.jp/
southwest-com.mapquest.com.secureserver-net.guidebat・ru:8080/tigerdirect.com/tigerdirect.com/google.com/uploading.com/yaplog.jp/
stern-de.linkhelper.cn.wikipedia-org.carswebnet・ru:8080/irctc.co.in/irctc.co.in/yaplog.jp/ovguide.com/google.com/
travelocity-com.google.co.za.vnexpress-net.xboxliveweb.ru:8080/google.com/google.com/robtex.com/slickdeals.net/fc2.com/
wiktionary-org.ameba.jp.freeones-com.thelaceweb・ru:8080/bu520.com/bu520.com/businessweek.com/scribd.com/google.com/
xici-net.infoseek.co.jp.wellsfargo-com.thelaceweb・ru:8080/google.com/google.com/sponichi.co.jp/megaclick.com/ipicture.ru/
2ch-net.topshareware.com.gmodules-com.webnetlender・ru:8080/exbii.com/exbii.com/biglobe.ne.jp/voila.fr/google.com/
ggpht-com.news3insider.com.sponichi-co-jp.superore・ru:8080/imdb.com/imdb.com/newegg.com/multiply.com/google.com/
geocities-jp.depositfiles.com.reuters-com.johnsite・ru:8080/en.wordpress.com/en.wordpress.com/ca.gov/google.com/craigslist.ca/

という感じでかなり日本にターゲットをシフトしている様子。
それだけガードが甘いと見られたのか、おいしいと思われたのか・・・

改ざんコードのライセンスを『/*GNU GPL*/』から『/*LGPL*/』へ変更
チェッカーを走らせてたすべてのサイトのコードがキレーにすげ変わってちょっと驚きました。（＾＾;

Gumblar.x vs 8080の宿命の対決（何か間違ってる）の関連話は
ガンブラーウイルスについての誤った情報にご注意ください。
を参照してください。
誤解とその危険点がよくわかります。

もうちょっと続く
----------
8080≒ZeuS?
by Symantec(US):
New Obfuscated Scripts in the Wild: /*LGPL*/
The final payload includes malware like Trojan.Bredolab, Downloader.Fostrem, and Trojan.Zbot, along with security risks such as PrivacyCenter and a number of other misleading applications that may be detected as Trojan.FakeAV. It's important to keep your definition files up-to-date as these files are frequently being updated.

xin765.comの攻撃って、WoWのInfoStealerだったかなぁ・・？
インジェクション
xin765.com 2009-07-04
Up to 55k Compromised by Potent Backdoor/Data Theft Cocktail
a0v・org/x.jsの流れを汲むと？

なんかありとあらゆるBotnet系がゴチャゴチャにされてるような・・・
さてはて？

----------
いつか来た道・・・
Office.Microsoft.Com Search Results Can Lead To Rogue Anti-Virus
Office.Microsoft.Comの検索結果が "Office.Microsoft.Com"のリダイレクションを使っているため、一見 Microsoft.comからの正規リンクに見えてしまう・・・っと

results on office.microsoft.com can lead users to a Rogue AV page.
リダイレクトされる先の Rogue AV(FakeAV)
Setup55530_2045-10.exe Result: 1/41 (2.44%)

googleにも昔ありましたね・・
Google SERPs Redirections Turn to Bots

----------
ZeuS attack against OWA
Targeting OWA users - A report from the Mailbag
We are informing you that because of the security upgrade of the mailing service your mailbox (targeted.user@our.org) settings were changed. In order to apply the new set of settings click on the following link:
httx://our.org/owa/service_directory/settings.php?email=targeted.user@our.org&from=our.org&fromname=targeted.user
Best regards, Our.org Technical Support.
ウチ宛にはまだ来てないなぁ・・残念（何が！？）

settings-file.exe Result: 16/41 (39.02%)

----------
すっかり忘れてましたよ・・
Security Bulletin - Adobe Illustrator CS4 and Adobe Illustrator CS3

Security updates available for Adobe Illustrator CS4 and CS3
なんか手順がカナリうっとおしいのですが、ユーザの方は手を打っておきましょう。

Adobe Illustratorのアップデート公開、深刻な脆弱性を修正

----------
まただ・・
VMware Releases Multiple Updates for ESX
[Security-announce] VMSA-2010-0001 ESX Service Console updates for nss and nspr
ESX 4.0 ESX ESX400-200912403-SG
セフセフ・・

4.0ESXの方はご愁傷様・・じゃなかったアップデートの準備をしましょう（笑）

----------
Microsoft Silent January
2010年1月13日のセキュリティリリース予定 (定例)
小野寺です。
本年もよろしくお願いいたします。
ことしもよろしくお願い致します。

余談ですが、今月のBulletin1は、「緊急」評価ですが、これはWindows 2000のみが緊急で、他の影響を受けるソフトウェアは、「注意」となっています。 Windows 2000も今年の7月でサポートを、いよいよ終了しますが、セキュリティインテリジェンスレポートでもまとめていますが、OSのバージョンの新旧による脅威の差が出ている一例なのかと考えてしまいます。
WindowsXP RTMって・・・まだ使ってる人いるのか・・・

2000SP4が意外と低いのは、そもそも妙なコンポネンツが動かないから・・・

----------
768RSA DOWN
768-bit RSA cracked, 1024-bit safe (for now)
768bitRSAの鍵が破られましたとさ～
768-bit RSA moduli can no longer be recommended." 1024-bit values should be good for a few years still.
あと数年・・・

この研究にはNTTのKazumaro Aoki氏も共同寄稿されています。
Factorization of a 768-bit RSA modulus

----------
Adobeの通ってきた道・・

Security bulletins and advisories

----------
ZIPでくれ
ダウンロード違法化、どこまで合法？　福井弁護士に聞く
Q10：２ちゃんねるなどの掲示板では、画像などをまとめて全部欲しいというユーザーが「ZIPでくれ」などと書き込むことがあります。音楽や映像のファイルをまとめたZIPファイルのリンクが掲示板に貼られて、それをダウンロードした場合は違法？
A10：まず、「ZIPでくれ」というのは、そもそも違法なアップロードを依頼しているという意味で、「教唆行為」と見なされる可能性があります。ZIP ファイルをダウンロードする行為については、誰でもダウンロードできる状態に置かれたケースであれば、違法ファイルと知りながら行えば、違法です。

----------
| 1262980807 | B | [goog-black-hash 1.48383 update]
| 1262980802 | M | [goog-malware-hash 1.18495 update]
| 306609 | -735(307344) もうちょっとで30万を切る！
| 1215616 |
EoF

平成スタートの日 1989年、昭和天皇の崩御、皇太子明仁親王の皇位継承
当時、故小渕恵三総理が掲げた「平成」の額を記憶している人は多いかな
外国郵便の日 1875年、日本初の郵便条約がアメリカと結ばれた。
正月事納め (正月の終わり)
3学期の始業式 でも明日から3連休（笑）

----------
坂道を転がり落ちるように
Pre-Notification - Quarterly Security Update for Adobe Reader and Acrobat
the upcoming Adobe Reader and Acrobat updates scheduled for January 12, 2010.
と、Adobeがのんびりパッチを作成している間に事態はどんどん悪化しています。

Static analysis of malicious PDFs
While we are still waiting for the patch and the malicious PDFs which exploit CVE-2009-4324 become more and more nasty
このMalformed PDF はペイロードを自分自身の中からドロップするため、バッファオーバーランの後にShellcodeでwgetする必要がありません。

Backdoor:Win32/Poison.A [Microsoft]
not-a-virus:RemoteAdmin.Win32.PoisonIvy.20 [Kaspersky Lab]
いや・・notじゃないとおもう・・

接続先：
cecon・flower-show・org as 202.150.213.12
NEWMEDIAEXPRESS 過去暦のあまりないASなので注意が必要です（

PART2:
Static analysis of malicous PDFs (Part #2)
PDFのMalcodeのチェックはWepawetを使うことが多いのですが、今回のタイプは検出できません。
But given that more and more users no longer reboot their PC, and just basically put it into sleep mode between uses, the bad guys do not really need to strive for a persistent (on-disk) infection anymore.
多くのAVは再起動しないと挙動検知できず、一般ユーザの多くがあまり再起動せず（Sleepで）恒常的に電源が入った状態で使用しています。
この問題解決の方法はあるのでしょうか？


IDApro Disassemblerを使った検証：
PDF file loader to extract and analyse shellcode

Unpatched Adobe Vulnerability Is Still Being Exploited in the Wild
TROJ_PIDIEF.WIA :solution
Step 3: Disable JavaScript for Acrobat and Adobe Reader
Detectしても実行阻害できてないような？

----------
セキュリティ･ベンダーの名称不統一問題
一般紙やメディアが 8080系と Gumblarを混同してるのは、この際ショウガナイのかもしれませんが、セキュベンダーがコレでいいんでしょうかね？

急増するサイト改ざんとGumblar感染、対策の速やかな実施を
HTMLファイルや外部.js（JavaScript）ファイルに「/*GNU GPL*/ try」や「＜script＞／＊CODE1＊／try」（＜、＊、／は半角）といった不審な文字列が追記されていないかを確認する
ふむふむ・・

TSPY_KATES.SMOD
67.215.238.194
マテ・・・
こっちは確かに Gumblar.x ですが・・・
トレンドマイクロが2009年の不正プログラム動向を総括
トレンドマイクロは1月7日、不正プログラムの傾向と対策をテーマとした報道向けセミナーを開催した。
（中略）
これに対して同社は、まずFTP接続時の認証を強化し、電子証明書など、ベーシック認証以外の手段を採用することを対策として挙げた。ただ、「こうした手段が浸透すれば、今後は証明書を盗み出そうとするウイルスが登場するだろう。そう考えると認証の強化は、一時的な対策にしかならない。より根本的には、アクセスコントロールを確実に行うことが必要だと考えている」（同氏）。もちろん、Webアプリケーションの脆弱性を修正するなど、それ以外にも対策を取るべき項目は多いという。
もうぐちゃぐちゃ・・・

「電子証明書を使ったFTP認証」って、要はFTPSの話なんでしょうか？ 証明書を盗むとかイミフメイすぎます。そもそも、Gumblarも8080(QuickSilver)もFTPクライアントのコンフィギュレーションファイルを盗む機能が指摘されているので、SSL Certなんか見向きもしないと思います。また、アクセスコントロールは定められたIPアドレスのみしか Uploadを許さないって話であって、そんなものサーバーを自社運用しているWeb系会社はどこでもやってると思っていたのですが、私の認識と世間一般はひょっとしたらかなり乖離しているのかもしれません。

別記事：
「ガンブラー被害を食い止めるには？」---トレンドマイクロが不正プログラム動向を報告

新ウイルス Gumblar（ガンブラー/別名 GENO）にご注意ください -- 2010.01.05更新
コレなんか、Kasperskyが意図的にやってるのか、浮川夫妻のいなくなった Justの暴走なのか知りませんが、意図的なミスリードであり、少なくともセキュ会社がやっていいことじゃない気がします。
※本家Kasperskyを弁護しておきますが、Gumblar.xに関する最大のエキスパートは間違いなく Kasperskyです。
The Gumblar system

Nortonは今回は沈黙するしかなさそうですね（苦笑）
そろそろブログパーツはやめた方がいいんじゃね？


今回の Gumblar.x, 8080の台頭は、どうみても AdobeやJavaの脆弱性放置が原因であって、もっというならバッファランした後デフォルトでDEPを有効にできない Windows XP あたりの根源的問題だと思っています。


Windows7を安く提供すればいいだけなんじゃない？ > バルマー先生


更に続く
----------
再掲：
急増するサイト改ざんとGumblar感染、対策の速やかな実施を
HTMLファイルや外部.js（JavaScript）ファイルに「/*GNU GPL*/ try」や「＜script＞／＊CODE1＊／try」（＜、＊、／は半角）といった不審な文字列が追記されていないかを確認する

は

/*LGPL*/
に変更されています（苦笑）

今日のラウンドロビン：
themobilewindow・ru. 424 IN A 62.75.218.192 PLUSSERVER themobilewindow・ru. 424 IN A 91.121.49.129
themobilewindow・ru. 424 IN A 91.121.142.111
themobilewindow・ru. 424 IN A 94.23.14.110
themobilewindow・ru. 424 IN A 94.23.206.229
下の４つは調べるまでも無く OVH(AS16276) ですね（苦笑）

----------
もうそんな時期
Microsoft Security Bulletin Advance Notification for January 2010
January 12, 2010
Critical 1 のみ

Microsoft planning quiet Patch Tuesday this month
静かです・・・

というかAdobeの日と一緒ですから、そっちのほうが重要です。

----------
PowerDNS

1und1で採用されていることで微妙に有名な PowerDNSですが・・・

Critical security update for PowerDNS Recursor
PowerDNS Recursor Spoofing and Buffer Overflow Vulnerabilities 4
Update to version 3.1.7.2.

セキュリティホールの多かった BINDから乗り換えということで喧伝されてきた PowerDNSも、DNSSECの本格導入を前に躓いてしまいました。
がんばれ！　逆境に負けるな～！

第1回　RDBMSが使えるPowerDNS

----------
Googleスパイウェア！？の翻訳
Researcher exposes Google spyware connections
昨日ナナメ読みして投げた記事の翻訳：
グーグル、スパイウェアプログラムメーカーWhenUを断ち切れず--研究者が明らかに

なんだ・・ポップアップが嫌い（二重課金）なだけの話だったのか・・
Edelman also called on the search marketing giant to pay restitution to affected advertisers.
とかかかれてたので大事なのかと思ってしまいました。

----------
Juniper JUNOS
大型ネットワーク機器のもう一方の雄、Juniper(JUNOS)にもなにやら暗雲が・・・
Juniper routers may crash on certain malformed packets
Juniper JUNOS routers can be crashed or made to reboot with easily spoofed malformed packets.

IOS(Cisco)が落ち着いてきたかと思えば・・・

JUNOS (Juniper) Flaw Exposes Core Routers to Kernel Crash
JUNOSは触ったことすら無いので詳細はなんとも・・
Affected Devices がかなり多いです。

参考：
勝者はどっち！？ 激闘！ シスコ IOS×ジュニパー JUNOS スイッチ／ルータは搭載OSで比較せよ！

----------
時間切れ：その他

2010年は「サービスとしての犯罪（CaaS）」が本格化--フォーティネット脅威予測
参照：
CaaS、MaaS


Western Union を騙るスパム ２
westernunion.comの偽サイト -- Jan 07

そういえば、そろそろ
Open season on tax-payers
USのTax Seasonでまた増えそうです

Rootkit:
Some Observations on Rootkits
Win32/Rustock
かなり古いタイプのものですね。
Gumblar/Daonal/KATESなんかも挙動的にはrootkitsにあたると思うのですが、まだまだ正確な解析が出てきません。

チェックしておきたいぜい弱性情報＜2010.01.07＞

［CG］iFixItがNexus Oneを恒例のバラシ
もう解体ですか・・・

----------

：最近またドクが強くなってきたといわれてちょっと反省：

----------
| 1262894414 | B | [goog-black-hash 1.48311 update]
| 1262894402 | M | [goog-malware-hash 1.18473 update]
| 307344 | -1091(308435) さらに漸減中
| 1212467 |
EoF

え？　マジだったのコレ（笑）
ブログパーツ改ざんに関する報告とお詫び
弊社「Ameba」にて提供しているブログパーツにおいて、外注先が運営管理するサーバーに改ざんが確認され、当該期間に改ざんされたブログパーツを閲覧された方に、ウィルス感染の可能性があることが弊社の社内調査で判明いたしました。

「Norton Police City in Ameba」容疑者捜査ブログパーツ　該当のブログパーツは1月6日より利用停止としております。（「Norton Police City in Ameba」キャンペーンは2009年12月9日に終了しております。）

※株式会社シマンテックおよび株式会社ワタナベエンターテインメントは、本件ブログパーツの作製・管理に関して一切携わっておりません。両社に、ご迷惑おかけしたことを重ねてお詫びいたします。

あ～あ～あ～

Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
Amebaでは1月1日、芸能人ブログ450件のパスワードが流出しているほか、昨年12月には「Amebaなう」でクロスサイトリクエストフォージェリ（CSRF）の脆弱性を突かれた問題が起きるなど、セキュリティ関連の不祥事が続いている。

最初メールで一報もらったとき、さすがに野呂圭介さんがプラカード持って出てくるような印象だったので放置してたのですが・・・

Nortonセンセイも泣いてますよ、きっと・・・

現時点ではどのインジェクションだったのかは不明ですが・・・・

----------
8080とGumblar
Gumblarとガンブラー
ほぼ、その通りなのですが、8080系がもっとも厄介なのは、感染＝Security Tool では無いという点でしょうか？

8080系に感染すると、MultiDropperという系統のダウンローダを埋め込まれます。
これは環境の構成により、C&Cからの遠隔操作で様々な悪意ツールを自由自在に出し入れさせられることになります。

特定のFTPクライアントの全環境ファイルを抜き取られ～
FTP送信の形跡があれば、それを抜かれてサーバーを悪用され～
あるときはメールサーバ化してspamの送信元になり～
明くる日はDDos攻撃に加担し～
偽セキュソフトを入れられてクレジットカードをスキミングし～
（これをスキミングと呼ぶかどうかは微妙ですが・・）
パケットスニファを入れて別のPCの通信の監視も行い～

と殴られ放題のサンドバッグ状態になってしまいます。

また、rootkit的な性質をもっており、いくつかのファイルを不可視にしたり、レジストリの痕跡を隠したりもしているようです。

さらに、バッファ・オーバーランを悪用したdrive-by-download は本来ならば、Vista以降のASLR機能によって緩和されていたはずなのです。

しかし今回、JavaJRE (CVE-2008-5353) の悪用により メモリマップのNXビット保護が関係なくなり、UAC回避（なんでもかんでもOKを押す人）されてしまえば、Vista/Win7 も攻撃に晒されることになってしまいました。
※厳密に言えば Windows7 の場合は自分で脆弱性のあるバージョンの JRE を入れない限り大丈夫です。

このへんが、8080/GNU GPL の爆発的な感染拡大につながったのではないか？と推測されます。

ガンブラーウイルスについての誤った情報にご注意ください。

----------
8080系の名称候補として

QuickSilver
命名： Unmask Parasites
Quicksilver Malware Network -- 2009.09.17
※この頃は "rncsys32.exe" を使用していた

というのがあります。

あまりにカッコよすぎるので、個人的にはイヤなんですがね～（笑）

あるいは・・
nginxの8080portリバースプロキシを使っているので、nginx インジェクションでもいいかもしれません（笑）

ウチの周辺では
Java JREと JR east をカケて JRE8080 と呼ばれていますが・・

----------
BTW.....
/*GNU GPL*/、/*CODE1*/ の次は
/*LGPL*/
だそうです・・・

----------
EoF

----------
[possible IN ZERO DAY]
Possible new MySQL 0day
Intevydis has published a flash video showing what appears to be a new 0day exploit against MySQL 5.x. The demo(SWF) is for a new exploit included in their VulnDisco exploit pack for CANVAS. The demo shows as running against 5.0.51a-24+lenny2 but the description appears to be "MySQL 5.x Exploit" which suggests it may work against other versions as well. Current versions for MySQL are 5.1 (recommended) with a 5.5 release available.

Possible:shellcode実行
(uname コマンドが実行されてしまっている)

現時点で mitigare の方法がわからないため、注意喚起しかできません。
このPoCでは 5.0.51aとなっていますので、緩和できるかどうかわかりませんが、現行安定板の 5.1 へのアップデートを行いつつ情報収集を怠らないようにしましょう。

参考：(about Immunity)
侵入検知システムの開発元Immunity、SMB2脆弱性を突くリモートエクスプロイトを開発
2008年頃のCTOの様子：
続報 DefConの変化に見る、米セキュリティ事情の変貌(2)

----------
七草粥

名前	現在の名前	科名
芹（せり）	セリ	セリ科
薺（なずな）	ナズナ（ぺんぺん草）	アブラナ科
御形（ごぎょう）	ハハコグサ（母子草）	キク科
繁縷（はこべら）	ハコベ(蘩蔞)	ナデシコ科
仏の座（ほとけのざ）	コオニタビラコ（小鬼田平子）	キク科
菘（すずな）	カブ（蕪）	アブラナ科
蘿蔔（すずしろ）	ダイコン（大根）	アブラナ科

人日の節句
爪切りの日
新年になって初めて爪を切る日ともされ、七草を浸した水に爪をつけて、柔かくしてから切ると、その年は風邪をひかないと言われている。
千円札の日
1950(昭和25)年、初めて千円札が発行された日とされる。実際には1945年（昭和20年）に1000圓紙幣が発行されていたが、その流通数のあまりの少なさから「幻の1000円紙幣」と呼ばれることもある。
クリスマス(東方正教会など）
Рождество Христово！

----------
ガンブラー
激しく違和感のある呼び名ですが・・
朝TVを付けたら、白髪のアレゲな人が「ギャンブラーかと思った」とか言ってて、ちょっとわらいました。
しかし、その後ゲスト・コメンテーターのような人が「アップデートするとお金取られたりするんですよね～」とか言ってて失笑。
公の電波に乗せるのに、その程度の裏取りでよくもまぁ・・

今回の脆弱性攻撃でお金がかかるのは唯一
Microsoft Update
だけです（笑）
※正規の Microsoft ソフトウェア

だから、Gumblarじゃなくて 8080系だっての・・・といいつつ続く
----------
8080 Sprinkler wash over

8080
民主党もですか・・赤っ恥もイイトコですねぇ・・
いろいろ
追記
元栓が無いからどんどん浸水していきそうです。

search: dibs@freemailbox.ru
単発がイイ！という方はこの辺のIPを塞いで置いてください（キリないですが）

しかし、このテのInjectionに素早かったScanSafeが最近沈黙してますね・・
Cisco的に、こーいうネタはNGなんでしょうか？

で、その元栓を握ってるはずの・・
----------
忘れないで　あなたのそばの黒い影　対策一つで白い光へ
だから何の標語だ！？
ANS:
コンピュータウイルス・不正アクセスの届出状況[12月分および2009年年間]について

ウェブサイト利用者側の対策
・アプリケーションソフトの脆弱性（セキュリティホール）を解消しましょう。
（ご参考）
「JVN iPedia脆弱性対策情報データベース」（Japan Vulnerability Notes）
http://jvndb.jvn.jp/
・ウイルス対策ソフトのパターンファイルを常に最新の状態に更新して、ウイルス検知機能を常時有効にして使用しましょう。

そんだけかい！？

もう so-net に業務移管してしまえ！

とか思ったのは内緒にしておきましょう。

せめて Adobe (Acrobat) ReaderのJavaScript KILL の話くらいは入れて置いてください。

2009年のウイルス感染の4大脅威から学ぶべし――IPAが呼び掛け

----------
Firefox update
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.7 にはセキュリティ問題の修正は含まれていません。

Firefox 3.5.7と3.0.17が公開　安定性の問題を修正
なお、3.0.xの更新は2010年1月までの予定で、同バージョンのFirefoxユーザーに対しMozillaは3.5へのアップグレードを強く勧めている。

Firefox 3.5.8 / 3.0.18のリリース日が2月16日に変更
この予想が正しければ、Firefox 3.6のリリースは1月19日あたりになりそうだ。

長かったですねぇ～

----------
あなぼっこ vol2

Movable Type には、アクセス制限回避が可能な脆弱性が存在します。
なお、本脆弱性は JVN#08369659 とは異なる問題です。
[重要] セキュリティアップデート Movable Type 5.01 および 4.27の提供を開始
Movable Type Unspecified Security Bypass 2

LightOpenCMS "cwd" File Inclusion Vulnerability 4
Unpatched
Edit the source code to ensure that input is properly verified.
Set "register_globals" to "Off".
参照：コア php.ini ディレクティブに関する説明 : register_globals

flashget 3.x IEHelper remote exec 0day poc
FlashGet -- Amaze Soft
Version:3.3 Date:2009.12.23

----------
その他

Researcher exposes Google spyware connections
Google謹製スパイウェアの存在とその挙動？
斜め読みではよくわかんなかったので詳報待ちです。

Researchers Infiltrate Storm Botnet Successor
In an undercover mission to learn more about the size and scope of the son of the infamous Storm botnet, Waledac, German researchers have discovered the spamming botnet is much bigger and more efficient than previously thought.
Walowdac { Analysis of a Peer-to-Peer Botnet
Taking into account that we monitored at least 10,000 bots online at any time of day, gives Waledac a spam capacity of
6,500×24×10,000×0.2532 ＝ 394,992,000
delivered mails per day.
もう、許して（苦笑）

Data Doctor 2010 encrypted files: we have a tool for that Data Doctor 2010というランサムウェア（勝手に暗号化して脅迫する偽セキュソフト）の対応方法

WASC Threat Classification to OWASP Top Ten RC1 Mapping

壁紙 - 回顧展
こんなのより、フィンランドの風景写真のほうがイイナ（とか希望してみる）

Denial of Service Attack Aftermath (and what did Iran have to do with it?)
イランのDDoS攻撃の余波と、何が重要だったのか？
These unprotected FTP accounts got used to upload a malicious ASP script, which was then used to attack our site.
結局根っこは Gumblar/8080と一緒・・・
日本での窃取アカウントもこういう国際テロに悪用される可能性もあります。
何しろ、「一番安全なアドレス」ですからね～
2990 -- 09:20

----------
| 1262808016 | B | [goog-black-hash 1.48241 update]
| 1262808002 | M | [goog-malware-hash 1.18452 update]
| 308435 | -1846(310281)
| 1210004 |
更に漸減：300,000を切るのか！？

mysql> select version();
+-----------+
| version() |
+-----------+
| 5.0.77 |
+-----------+
1 row in set (0.03 sec)
うう（；；）
EoF