アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

201 ：(^ー^*)ノ〜さん ：07/12/25 16:32 ID:uDWTbLJJ0

>>200
報告乙です。これからオンラインスキャンということですが、自己責任で使い続けるのでなければ
OSインストールコースがんばってらー。

>>168のアドレスという事ですが、【中身が差し替えられていないならば】>>172の報告通り
カスペで検出できるようです。参考までに。

202 ：200 ：07/12/25 17:06 ID:muc19jHG0

カスペのオンラインスキャンでも検出されませんでした…
ひょっとすると差し替えられ？OS再インストールですかね…

こういうスレッドがあってとても助かりました。どうもありがとうございました。

203 ：(^ー^*)ノ〜さん ：07/12/25 19:16 ID:8xwBXB3y0

187のものですが、皆さん調べていただきありがとうございました。
本当に助かりました。

無事再インスコ終えました

204 ：(^ー^*)ノ〜さん ：07/12/25 20:47 ID:uDWTbLJJ0

>>202
>カスペのオンラインスキャンでも検出されませんでした…

可能性は幾つかある。
１．入手前に切断したので、PCに入っていない（安全）
２．入手してしまったけど、新種(差し替えられて)なので検知できなかった（危険）
３．以下、可能性の低い条件の為、検知できなかった（危険）

安全か危険かは、回線の向こう側の立場からは判断できない。
よって、危険であると仮定して対応することを勧めることしかできない。OS入れなおしてらー。
勿論、安全である可能性を信じて、【自己責任】で使い続けるのは自由ですがね。

>ひょっとすると差し替えられ？

その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」
この辺の話題は、セキュスレでやった方がいいのかな？

・踏んだタイミングと、検証者（いるなら）の検体入手タイミングは異なるので
　同じである事の保証はできない。
・差し替えられていないか検証する際にも、最初の検証者と、後の検証者の入手
　タイミングが異なるので、MD5などの同一性を確認する手段が提供されていない限り
　差し替えられたことの確認は困難。（同じ検出名でも差し変わっている可能性がある）
・仮に、最初の検証者が、検体を保存しておいて、改めて入手した物が同じであることを
　確認しても、その間に差し替えがあった可能性は否定できない。つまり、現時点で
　同一性が確認されたとしても、質問者が踏んだ時のタイミングでも同じであったことは
　保証できない。

仮に、「手間をかけて検体を入手し」「検出名が同じor最初の検体と比較して同一」で
あることが確認できたとしても、相談者の環境で踏んだものと同じことは保証できない。

踏んだアドレスの内容がどのようなものであったかの報告は、相談者が
「自己責任で判断する参考資料でしかない。
（勿論、セキュリティベンダーに提出して対応して貰うこと等の副次的影響力は別として）

参考資料でしかない情報の為に、「誤クリックで発動させてしまう危険」
「検体入手の為に、一時的にセキュリティを緩めざるを得ない危険」
「比較確認の為の手間」を、検証者に負担させることは、実に割に合わない行為だろう。

205 ：(^ー^*)ノ〜さん ：07/12/25 21:20 ID:uDWTbLJJ0

>>202
>>ひょっとすると差し替えられ？
>その疑問を投げかけられると、とても困る。一言で言うと「誰もそんなこと確認できん」

と、だけ言っていても仕方ないので確認してきました。
ファイル構造、呼び出し方法は同じ。
但し、f2.exeの検出名が変化していましたので、差し替えは行われているようです。

ttp://www■irisdti-jp■com/blog/
ttp://www■caremoon■net/blog/index1■htm
ttp://www■caremoon■net/blog/send■exe
ttp://www■caremoon■net/blog/f2■exe
ttp://www■caremoon■net/blog/reak■exe

12/8時点
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.fcj
reak■exe : Trojan-PSW.Win32.Magania.bph

12/21時点 >>172
index1■htm : >Trojan-Downloader.JS.Agent.anp
send■exe : >Trojan-PSW.Win32.Delf.aih
f2■exe : >Trojan-PSW.Win32.OnLineGames.kak
reak■exe : >Trojan-PSW.Win32.Magania.bph

12/25時点
index1■htm : Trojan-Downloader.JS.Agent.anp
send■exe : Trojan-PSW.Win32.Delf.aih
f2■exe : Trojan-PSW.Win32.OnLineGames.lyx
reak■exe : Trojan-PSW.Win32.Magania.bph

現時点では、カスペで全弾撃墜しておりますが、202さんが踏んだ時点の代物が
検出可能なものであるかどうかは保証しかねます。
自己責任でそのまま使うかどうかの参考情報として報告しておきます。

ちなみに、現時点のf2■exeですが、VirusTotalの結果は下記の通りです。
カスペ○、NOD32×、マカフィー○、シマンテック×、Avast○、AVG×

206 ：200、202 ：07/12/26 00:05 ID:cM9FAGce0

>>204,205さん
ありがとうございます。御礼が遅くなって申し訳ありませんでした。
再インストール行って参ります、また来る事の無いよう精進します。

207 ：(^ー^*)ノ〜さん ：07/12/26 13:07 ID:/L8XCvQx0

引っかかったかもしれないのならクリーンインストールしろと言われたのですが
そのクリーンインストールというのがよくわかりません。
ノートパソコンを買ったのですがそれにもついていますか。
サポートに電話すればいいんでしょうか。

208 ：(^ー^*)ノ〜さん ：07/12/26 13:20 ID:rqe9LpER0

リカバリ。メーカや機種によって違うんだから
説明書やヘルプを見るかサポートに聞いてくれ。板違い。

209 ：(^ー^*)ノ〜さん ：07/12/26 14:12 ID:kGe+oyTq0

>>207
ノートPCなら、メーカー付属のCD-ROMや、HDDからのリカバリなどがある。
付属のマニュアルを読んでください。

新規にXPを入れさせるところもありますが、基本は、メーカーのサポートセンターへどうぞ。
相談の際は、「PCを初期状態にリカバリしたいのですが、どうやったらいいでしょうか。
機種はXXXXで、シリアルナンバーはXXXXです」というように必要な情報を全て伝えること。

リカバリの際には、自分で作成したデータや受信したメール、ブラウザのブックマークなどが
全て消えます。必要なデータは事前にバックアップをとっておいてください。

210 ：(^ー^*)ノ〜さん ：07/12/26 20:29 ID:3K8V0xh9O

PG起動してるとNDSのWifi通信が出来なくなるな
２時間悩んだわ

211 ：(^ー^*)ノ〜さん ：07/12/26 20:30 ID:kGe+oyTq0

>>210
セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

212 ：(^ー^*)ノ〜さん ：07/12/28 10:53 ID:CcTX8uhT0

Lydia板より
> 897 名前：lawlite12[] 投稿日：2007/12/28(金) 06:37:36 ID://fiFId2
> 通常日記とらぐな日記をそれぞれ更新しました！
> ぜひぜひ、みなさん遊びにきてくださいな
> blog■surpara■com/lawlite12/

> トロイの木馬を検出したため対処しました。
> 「FKCfb-09p1-136.ppp11.odn.ad.jp」からのため「FKC*.odn.ad.jp」を規制。

追加情報として、blog■surpara■comのIPアドレスは210■251■252■164で
日本国内のIPアドレスです

213 ：(^ー^*)ノ〜さん ：07/12/28 12:00 ID:FA7VLVBd0

>>212
報告乙です。
既知のアドレスのものを呼びだしていますが、一部、最近差し替えられたファイルが混ざっているようですね。

ttp://blog■surpara■com/lawlite12/
３箇所にサイズ０のiframe呼び出し

ttp://www■teamerblog■com/blog/

ttp://www■panslog■net/wiki/index1■htm
ttp://www■panslog■net/wiki/send■exe
ttp://www■panslog■net/fc2/cery■exe
ttp://www■panslog■net/wiki/reco■exe

cery■exe : Trojan-PSW.Win32.OnLineGames.lyx
index1■htm : Trojan-Downloader.VBS.Agent.hi
reco■exe : Trojan.Win32.Inject.ms
send■exe : Trojan-PSW.Win32.Delf.aih

214 ：(^ー^*)ノ〜さん ：07/12/28 12:01 ID:gXyQIsZa0

surparaは古くから同人やってる人ならtinamiと並んで普通に知ってるサイトのはず。
何年も見てなかったけど、ブログ始めてたのか…。
iframeが使える上にFC2のような通報フォームも見当たらんからやりたい放題だな。

215 ：(^ー^*)ノ〜さん ：07/12/28 12:21 ID:GjZ03Zpl0

>>212
元のアドレスが国内なのは、サーパラブログ自体は普通のポータルサイトが開設したレンタルBlogサービスなので自明。
fc2同様、iframeが書けてしまうBlogモジュールはセキュリティの観点からすると好ましくはないが。
一応、本家サーパラの方にあるフォームから運営に通報してみた。iframeの使用制限も要望はしてみたが、どうなるやら。

216 ：(^ー^*)ノ〜さん ：07/12/28 13:36 ID:gXyQIsZa0

お、速攻で消されてるｗ

217 ：(^ー^*)ノ〜さん ：07/12/29 01:24 ID:8sl4WqK90

>>212-215の件についての返信。
>>>
Surfersparadiseです。
いつもご利用いただきましてありがとうございます。
以下に関しましては、該当アカウントの削除を行いました。
また、こうした書き込みなどを管理するツールの実装を早急に行います。
この度はご連絡いただきましてありがとうございました。
今後ともよろしくお願いいたします。
>>>

ひとまず、surparaに関しては、今後は罠として使いにくくなると期待が持てそうな感じ。

218 ：(^ー^*)ノ〜さん ：07/12/30 12:21 ID:+YJrqs8e0

exぶろ〜ぐ
www■exbloog■com/7112886/000027■zip
www■exbloog■com/7112887/000028■zip

219 ：(^ー^*)ノ〜さん ：07/12/30 14:59 ID:h/9Epm970

>>218
->000027■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

->000028■wmv■scr
-->013■exe
-->mov0023■wmv
--->mms://202■210■163■74/bekk/navi■wmv

000027■zip : Trojan-PSW.Win32.OnLineGames.fcj
000027■wmv■scr : Trojan-PSW.Win32.OnLineGames.fcj
013■exe : Trojan-PSW.Win32.OnLineGames.fcj

000028■zip : Trojan-PSW.Win32.QQPass.xw
000028■wmv■scr : Trojan-PSW.Win32.QQPass.xw
013■exe : Trojan-PSW.Win32.QQPass.xw

220 ：(^ー^*)ノ〜さん ：07/12/30 15:43 ID:+YJrqs8e0

>>217
またできてたｗ
blog■surpara■com/lulu26/
対策されるまでは blog.surpara.com/blogList.html で新着チェックかな…。

221 ：(^ー^*)ノ〜さん ：07/12/31 11:43 ID:xUXP+jj10

>>220　検体入手しようと見に行ったらもうなかった。

222 ：(^ー^*)ノ〜さん ：07/12/31 13:33 ID:NCgVyDsr0

アカだけとって記事が一つも無いのもあるけど、
既存のがバレて消されたら記事入れて爆撃なのかな。

223 ：(^ー^*)ノ〜さん ：07/12/31 13:36 ID:oHmC0qiY0

wiki見てたら踏んでしまったんだが

http://nmmdbi■blog22■fc2■com/

どうなんだろ

224 ：(^ー^*)ノ〜さん ：07/12/31 14:04 ID:UP1i+C7D0

対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

225 ：(^ー^*)ノ〜さん ：07/12/31 15:33 ID:EZhx699p0

すんません、数ヶ月ぶりにRO復帰しようと思うんで入る前に聞きたいんですけど、
ちょっと調べてみたところJavaScriptもオフ推奨って書いてるとこ見かけるんですが、
スクリプトだけでも感染するような新種がでてるんですかね？
私的にはアプレットとかActiveXは危ないと思うからROしてなくても常時オフってましたが
JavaScriptも危ない時代になっちゃってるんでしょうか？

226 ：(^ー^*)ノ〜さん ：07/12/31 15:37 ID:lWpYMDS80

>>225
>>224

227 ：(^ー^*)ノ〜さん ：07/12/31 15:44 ID:EZhx699p0

すんませんスレチでしたか。
そっちできいてみます

228 ：(^ー^*)ノ〜さん ：07/12/31 20:57 ID:cWI7hZXv0

上の方で差し替えという話題になっていて不安を覚えました
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/133
自分が踏んだ時点でどうかというのは確かに不明だと思いますが
現時点でどうなのか、詳しい方教えていただけると幸いです
ドメイン失効とあったのでリカバリしていなかったので不安でした
＞www■pangzigame■com 　　8■15■231■125:80

229 ：(^ー^*)ノ〜さん ：07/12/31 22:53 ID:xUXP+jj10

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

230 ：(^ー^*)ノ〜さん ：08/01/01 07:35 ID:KzP+Ud7m0

そろそろその誘導コピペで流れるだけだということに気付け

231 ：(^ー^*)ノ〜さん ：08/01/01 17:04 ID:QwMCLEQx0

>>230
>>1

232 ：(^ー^*)ノ〜さん ：08/01/01 17:09 ID:qkzbGyt40

>>230
ｵﾏｴﾓﾅｰ
…懐かしい言い回しだな。

幾つか新規の物を発見したので報告
・罠blog
　http://happeningnew■blog28■fc2■com/
　　http://www■nlftweb■com/link179700
　　　http://www■rmtfane■com/link179700/main■htm
　　　　http://www■rmtfane■com/link179700/ani■c
　　　　http://www■rmtfane■com/link179700/Ms06014■htm
・新規ドメイン
　http://www■rmt-expretss■com/ourtesf
　　http://www■lvei20■com/ourtesf/ff11■exe

233 ：(^ー^*)ノ〜さん ：08/01/01 20:35 ID:jnlIO8ey0

>>232
www■rmtfane■com/link179700/ff■exe
10/14製造。既知の物っぽい。

234 ：(^ー^*)ノ〜さん ：08/01/02 09:07 ID:H8NiTCNS0

>>231
>>1

こうですか＞＜

235 ：(^ー^*)ノ〜さん ：08/01/02 09:19 ID:dSlhvypO0

>一般的なセキュリティ対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。
前から思ってたが「総合対策スレ」なのに
なんで対策まで隔離されるという変な事態になってるんだろ？

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
あと、即誘導コピペを貼る潔癖症の人は
度が過ぎなければテンプレ許容範囲だということも覚えておこうね。

236 ：(^ー^*)ノ〜さん ：08/01/02 12:24 ID:gu+DHFAB0

いろんな角度から対策を検討するスレであって、対策方法を聞きにくるスレではない。
というのが私の認識だけど、あってる？

>>236
>>1

237 ：(^ー^*)ノ〜さん ：08/01/02 16:27 ID:GyDjOENv0

www■soracger■com/blog/
→ www■caremoon■net/blog/send■exe f2■exe reak■exe
順にリネージュ、FFXI、SecondLifeのトロイ。

238 ：(^ー^*)ノ〜さん ：08/01/02 18:09 ID:cmQr9yfO0

すみません、どなたかご教授ください

www■noely■blog88■fc2■com/blog-entry-249■html

上記のサイトを踏んだら変なエフェクトと英文字が出てきて消えたのですが、
ハック等の恐れはありますでしょうか？

239 ：(^ー^*)ノ〜さん ：08/01/02 18:13 ID:3SEXPv/J0

>>238
>>229

240 ：(^ー^*)ノ〜さん ：08/01/03 23:53 ID:5Mklm+HW0

・罠blog
　http://yamunya■blog98■fc2■com/
　→http://www■teamerblog■com/blog/
　　→http://www■teamerblog■com/blog/index1■htm

241 ：(^ー^*)ノ〜さん ：08/01/04 12:33 ID:2LKpNCTV0

>>237
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

242 ：(^ー^*)ノ〜さん ：08/01/04 12:37 ID:C3QpgIGN0

237はいいだろ

243 ：(^ー^*)ノ〜さん ：08/01/04 13:15 ID:OFkCZmxY0

もうこのスレも、従前の役目は終えたな。
危険アドレス、それも勘違いが許されない、確実な危険性を持つ物以外の投稿は排除され、スレの方針を話し合う事すら排除対象。
それなら、リネージュ資料室の様に、外部に投稿可能な観測所を設けて、後は全てセキュスレで扱った方が良い気がしてきた。
ログが残るのが利点という話もあるが、再利用性等の点から、結局は再加工して外部で使う形である以上、二度手間。

244 ：(^ー^*)ノ〜さん ：08/01/04 14:46 ID:UfDvY1cY0

お前様が終えたと思ったら使うのを止めればいい
まだ役割が残ってると思った人が使いつづけていく
そういった人が一人もいなくなったら次スレが立たずに終わる。ただそれだけだ

245 ：(^ー^*)ノ〜さん ：08/01/06 13:07 ID:Pq7dsBfk0

いつもの罠ブログ
hcavaliere■blog4■fc2■com
目新しいのはiframeでtinyurl(短縮URL)を経由する点。
飛び先は既知のcaremoon(以下略)。

246 ：(^ー^*)ノ〜さん ：08/01/08 16:35 ID:xOaEUhHG0

LiveROのパッチ変更点スレ120に張られたアカハックらしきアドレス

チェックしてくれた方によりますと、
＞jibaj■blog4■fc2.com
＞->www■rakurten■com/blog
＞-->www■wacacop■net/wiki/index1.htm (VBScriptによる罠ページ)

RMT関連の怪しい文とともに張られるので怪しさですぐ判ると思いますが、
そこら中に張られる可能性や誤クリックの危険性はありますので、お気をつけ下さい。

247 ：(^ー^*)ノ〜さん ：08/01/09 07:54 ID:6dvgf49J0

livedoorbloog■com
既出の exbloog■com と同一ホスト。

248 ：(^ー^*)ノ〜さん ：08/01/09 12:31 ID:6dvgf49J0

ROと名のつく物がごっそり更新されているのはなぜだろう。
RO2ではないと思うんだが…。

バイナリは一部異なります(同一のもある)。
www■gtvxi■com/naizi/ro■exe
www■k5dionne■com/ousele/sanro■exe
www■twsunkom■com/3ro■exe
www■jbbslivedoor■com/ro■exe

249 ：(^ー^*)ノ〜さん ：08/01/09 13:07 ID:6dvgf49J0

www■bbtv-chat■com/cuvt66895/
(略)
www■bbtv-chat■com/cuvt66895/guan■exe

ちょっと古めのリネージュトロイ。

250 ：(^ー^*)ノ〜さん ：08/01/09 17:42 ID:sw7311rd0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

251 ：(^ー^*)ノ〜さん ：08/01/09 18:35 ID:zuh6wqye0

>>250
自治厨（笑）乙であります＾＾＾

252 ：(^ー^*)ノ〜さん ：08/01/09 18:53 ID:IArTNO8t0

ちょっとだけ失礼。その流れは雑談じゃない。
URL貼り付け以外何でも誘導するとかと勘違いしないように。

253 ：(^ー^*)ノ〜さん ：08/01/09 18:57 ID:IArTNO8t0

そうだ、これもついでに。

ウィンドウズアップデート日age
緊急(1) 重要(1)

254 ：(^ー^*)ノ〜さん ：08/01/10 11:37 ID:uhIeHlm60

アコプリスレ362にハクアドレス貼り付けられてたので報告

infosueek■com/rosolo/index-php/
--->www■twsunkom■com/jplink/Ms06014.htm

255 ：(^ー^*)ノ〜さん ：08/01/10 22:43 ID:uJcnu+OU0

新ドメイン
rustotal■com
famitsa■com
gamehanbook■com
gamemmobbs■com
dimorphothec■com
gorsara■com

256 ：(^ー^*)ノ〜さん ：08/01/11 15:36 ID:wpwdBr0V0

>>255
gamemmobbs■com
どう見てもここがターゲットです　ありがとうございました

257 ：(^ー^*)ノ〜さん ：08/01/11 17:19 ID:rnAUeHDE0

>>256
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

258 ：(^ー^*)ノ〜さん ：08/01/11 20:09 ID:IlfP3GST0

>>257
>>251

259 ：(^ー^*)ノ〜さん ：08/01/11 20:10 ID:T8yOYrxX0

(意訳)
他の突っ込み用スレが分離しているスレ同様、ここへの投稿への突っ込みは、セキュスレにお願いします。

260 ：(^ー^*)ノ〜さん ：08/01/11 20:45 ID:n6f3oADj0

>>257

>>251
>>1
被害や攻撃等のアカウントハックの　具　体　的　事　例　に関して扱います。
>>256

261 ：(^ー^*)ノ〜さん ：08/01/11 21:49 ID:nlZLDXRR0

仮に256がスレチだとしてもそれが続くようなら誘導すればいいと思うけど
1レスごとに257みたいな誘導は不要だろ
自治厨キモス

262 ：(^ー^*)ノ〜さん ：08/01/12 05:48 ID:EVPKu5Kb0

誘導してる奴らを自治厨呼ばわりしてまで
ここで雑談しようとする奴らの方が
よっぽどウザイんだがな。

さて、俺も含めてみんなでLiveROに帰ろうか。

ここから先は何事もなかったかのように
アカウントハックに関する総合対策スレをご活用下さい。

263 ：(^ー^*)ノ〜さん ：08/01/12 08:02 ID:hfGW/uAj0

自治厨乙。

>※ ネタや程度を超えた雑談・脱線はご遠慮ください
雑談が完全に禁止されてるわけではないと以前も突っ込まれてたよな。
一々誘導コピペ貼ってる馬鹿も俺みたいなのと同様に無駄にスレを消費してることを知れ。

264 ：(^ー^*)ノ〜さん ：08/01/12 08:12 ID:t7ZYp9kp0

ミイラ取りがミイラ~じゃないけど
自治しようとしてる奴がテンプレに反して無駄にスレを荒らしてる

匿名掲示板で他人の書き込みまで抑制出来るわけないんだから
気に食わないんなら自分でまとめサイトでも作ったらどうかね？

265 ：(^ー^*)ノ〜さん ：08/01/12 09:47 ID:Yk3YgniV0

意見はこちらでお願いします。

セキュリティ対策、質問・雑談スレ4
http://enif.mmobbs.com/test/read.cgi/livero/1197889519/

266 ：(^ー^*)ノ〜さん ：08/01/12 13:19 ID:YcwEEI8X0

鯖板より罠ブログ
ttp://itsuki01azn■blog18■fc2■com/

267 ：(^ー^*)ノ〜さん ：08/01/12 17:26 ID:pW0I0jhR0

ttp://monk.s221.xrea.com/index.php?cmd=read&page=%B9%CD%BB%A1%2F%A5%BF%A5%A4%A5%D7%CA%CC%2F%C8%AF%D2%A6%B7%BF&word=%C8%AF%D2%A6
ここにはっつけてあるURLって明らかに怪しいんだが垢ハックの類だろうか
※リンク先自体はモンクテンプレに飛びます

268 ：(^ー^*)ノ〜さん ：08/01/12 18:03 ID:MSy7tGEa0

特典アイテムスレ983に貼られていたもの。
スレが埋まってるから警告が出せなかったけど、大丈夫かな……
管理板には削除依頼は出しておいた。

darkblueskp■blog34■fc2■com
--->www■gorsara■com/batteROyale
----->www■gamemmobbs■com/batteROyale/Ms06014■htm

>255の新ドメインが早速使われてる。

269 ：(^ー^*)ノ〜さん ：08/01/12 18:47 ID:j0MDNKKS0

>>267
>※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
一応、危険性は薄いが、精神的に有害かも知れない。やっている事もspamだし。

それと、各職Wikiの運営で尽力していた羊ケミ氏が、事実上一線を退く表明を出している。
アルケミWikiはSageWiki管理人Makichan氏が、共通データテンプレは貧スレWikiのRAGwalker氏が引き継ぎで落ち着いた模様だけど、
モンク・忍者・ガンスリの各職Wikiは現状でまだ確定していない。
この辺り、悪意ある人物が承継に名乗りを挙げるような事態にならなければ良いのだが。

#一応、テンプレサイト運営側のアカハック対策に関るので、こっちに書いてみる。

270 ：(^ー^*)ノ〜さん ：08/01/12 19:52 ID:p4X9k0CW0

>>267
当該ページの最終更新時間を見れば気づくと思うけど、基本的に無関係。
Last-modified: 2006-07-05 Wed 22:42:07 JST。一昨年。

実はこの頃、そのページに記載されているような文で各Wiki/bbsを荒らしまわった
者が居るという昔話があり、そのページはそれの名残で今に至るまで削除され
なかったものと思われる。

271 ：(^ー^*)ノ〜さん ：08/01/12 23:32 ID:BhcQDT9Y0

wiki観ようとしたら踏んでしまった・・・
踏んで直ぐにカスペルが検地したから削除した

踏んだ時、踏んだ後もROは起動してない
今は完全スキャンしてるけど、HDDフォーマットとOS再インスト
別PCでパス等の変更で良いのかな？

272 ：(^ー^*)ノ〜さん ：08/01/12 23:52 ID:i5TA/NOH0

カスペが阻止したならまず大丈夫だと思うよ。
もちろん保障はできんが。

273 ：(^ー^*)ノ〜さん ：08/01/13 00:10 ID:S3lkVZJc0

>>271
おｋ。但し、相談はテンプレを利用しよう。

パス等の変更は、踏んだのが明らかな時以降パスワードを送信する行為を一切していなければ不要。
パスを変更する場合は、そのＰＣが安全な環境であるかどうかの確認もお忘れなく。

274 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 07:02 ID:AATKg2Qs0

ttp://sportsnavi1■blog18■fc2■com
├ttp://www■ragnwiki■com/FFXI/
　├ttp://www■ragnwiki■com/read/red■exe
　├ttp://www■ragnwiki■com/read/fen■exe

罠のragnwiki■comはリネージュ資料室さんで確認されていて、
現時点のまとめ臨時分にも加えてあります。

ブログ部分はスポーツナビのパクリなのかも？
ソースチェッカーで自分が確認できたのはここまでです。
検体は確保していません。
他にも何か在るかもしれませんがよろしくお願いします。

275 ：(^ー^*)ノ〜さん ：08/01/13 13:33 ID:JXx0tzt30

自分が管理しているRO関連サイトの掲示板に、私の名前を使い、私の過去の記事をコピペしての
罠サイト（かどうかは過去ログにて確認しました）投稿がありました。
手口の一例として報告します。

スレチでしたらすみません。

276 ：(^ー^*)ノ〜さん ：08/01/13 17:25 ID:MaoQkgWY0

ライブドアブログ
記事にiframe仕込むのは面倒だと思うんだが…。
blog■livedoor■jp/ahirun1/
→www■ranninp■com/001358/
→www■anoelnet■org/FFXI/

www■ranninp■com/001358/
→www■ranninp■com/001358/t1■exe Trojan-PSW.Win32.Delf.ads, Trojan.PWS.Lineage.3678

www■anoelnet■org/FFXI/
→www■miarakure■com/wiki/lin■exe Trojan-PSW.Win32.Magania.bre, Trojan.PWS.Reggin
→www■miarakure■com/wiki/rse■exe Trojan-PSW.Win32.Delf.aih, Win32.HLLP.Lac
→www■miarakure■com/wiki/ff■exe Trojan-PSW.Win32.OnLineGames.lyx, Trojan.PWS.Gamania.6556

277 ：(^ー^*)ノ〜さん ：08/01/13 18:03 ID:0AaLFqiH0

今、アルケミwiki見てたらウイルスに進入されてしまった・・・
ro繋いだまま検出してるんだけど大丈夫かな？

278 ：ま ◆sp4Sh9QXGI ：08/01/13 18:04 ID:sM+GgGZD0

お久しぶりです。
未だ求職中でピンチのまとめの人です。
時間がとれたのでサイトを更新しました。
…が、大したことはしておりません。
作業を全てリネージュ資料室の中の人に丸投げするという
無責任な管理人でまことに申し訳ございませんorz

279 ：(^ー^*)ノ〜さん ：08/01/13 18:14 ID:m6fEI+5k0

>>277
侵入された時点で大丈夫とは言えなくなっている。
ログアウトして、そのPC以外からパスワードを変更した方がよい。
で、件のPCはクリーンインスト。

280 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:34 ID:VUulR0ql0

>>278
なんだか大変そうで本当におつかれさまです。

ログはこちらに。htmに変更していただければ
ttp://sky.geocities.jp/ro_hp_add/SSZ3.txt
確保しだい削除します。

281 ：まとめ臨時 ◆kJfhJwdLoM ：08/01/13 18:47 ID:VUulR0ql0

不定期報告です。サイトのほうで定期的になんとか更新しております。
http://sky.geocities.jp/ro_hp_add/

基本的に各サイトを回られてhostsファイルを手動で編集するのがよいと思うのですが
非推奨ながら熟練者向け？に裏でUPしていたリスト
(主要サイト様方のリストをまとめすぎたリスト)を試験的にリンクしてみました。

282 ： ◆sp4Sh9QXGI ：08/01/13 19:07 ID:sM+GgGZD0

>>280さま
臨時の管理も含め、お疲れ様です。
セキュスレのログ、ありがたくいただきました。

283 ：(^ー^*)ノ〜さん ：08/01/13 20:09 ID:r0mnrqKd0

ぢつはアカウントハックスレ関連はBSWikiさん関連の場所でも保管されてたり。
http://smith.z49.org/kako/namazu.cgi

>>274
一応それだけで良い筈。

>>276
良くある対策システムはドメイン単位で可否を判定する物が多いから
各アカウントにディレクトリを掘るlivedoorとかyahooはあんまり嬉しくない物ですな。

>>277
アルケミテンプレは管理移行により流動的な部分はあると思うけど、
新管理人さんもSageテンプレでやってた人だから、書き込みうける可能性は
低そうな気がするんだけどな。
だからこそ、テンパっている時で悪いけど、有意な情報の為に報告テンプレを
使って欲しいな。

284 ：(^ー^*)ノ〜さん ：08/01/13 21:06 ID:S3lkVZJc0

>>268
一応、追記。

｜darkblueskp■blog34■fc2■com
｜--->www■gorsara■com/batteROyale
｜----->www■gamemmobbs■com/batteROyale/Ms06014■htm
　----->www■gamemmobbs■com/batteROyale/ani■c
　----->www■gamemmobbs■com/batteROyale/ro1■exe

ro1■exe : Trojan.Win32.Inject.qt

ro1■exeは1/12時点のVirusTotalでは下記の結果。
AntiVir○、Avast×、AVG○、カスペ○、マカフィー×、NOD32×、ノートン×

285 ：(^ー^*)ノ〜さん ：08/01/14 11:30 ID:OOkSgmu80

gamemmobbsには
www■gamemmobbs■com/pcent/ro3■exe
もあるのでro2もどこかにあると思う。

286 ：(^ー^*)ノ〜さん ：08/01/14 13:44 ID:SGdWojd60

少々スレの趣旨とは異なる可能性があるけど、注意して欲しい事

ここ最近ですが、exblogを使っている人のところを中心に
コメントに垢ハック系のURLが書き込まれているところが多いです
exblog利用者が知り合いに居た場合は、コメントのURLに注意してください

287 ：(^ー^*)ノ〜さん ：08/01/14 14:25 ID:Vkjgo14v0

>>285
Trojan.Win32.Inject.qt

288 ：(^ー^*)ノ〜さん ：08/01/15 19:50 ID:6j09wG6M0

すまない、垢ハックを踏んでしまったようなんだ。
友人のブログにあるコメントで、ｺﾒﾝﾄから垢ハックと判断してURL検索→まとめサイトに載ってるか探そうとして結果開いたらそのサイトだったｏｒｚ
普通のサイトで一瞬で閉じたんだがこれはどうなんだろうか。rundll132.exeもrodll.dllも発見できず、いつもなら怪しいURL踏んだら反応するAVGも反応なし。
大丈夫そうではあるんだがどうにも不安でｏｒｚ

ついていたｺﾒﾝﾄ
−−−−−−−−−−−−−−−−
■とりあえず速報

本日のＧＶを最後に　妖精輪舞-久遠の絆-　が同盟からはずれました。
ぼて創立から同盟を組んでいたので寂しいですが、同盟という形がなくなった

だけなので、
妖精の皆様、これからもどうぞ宜しくお願いしますね！

rara_gm (←ここにHPのURL)
−−−−−−−−−−−−−−−−
コメントの内容は友人のブログともリンク先ｻｲﾄとまったく関係無し。

289 ：288 ：08/01/15 20:12 ID:6j09wG6M0

か、かきこめねぇ・・・

290 ：(^ー^*)ノ〜さん ：08/01/15 20:21 ID:cWn7kEJD0

まずテンプレ読め。

291 ：(^ー^*)ノ〜さん ：08/01/15 20:31 ID:+mDWp82h0

>>rundll132.exeもrodll.dllも発見できず
いやいや、情報古すぎるから
とりあえずテンプレ読んで勉強してきてください

292 ：288 ：08/01/15 20:36 ID:6j09wG6M0

ま、まぁ落ち着いてくれ。
一番落ち着くべきは俺なんだが、何故か書き込みにエラーがでて書き込めないんだ。


【　　アドレス 　 】ttp://gtvxi■com/uplink1028/9974link/■com/uplink1028/9974link/
【気付いた日時】2008/01/15 19:30
【　 　　 OS　 　 】 WinXPSP2
【使用ブラウザ 】 Luna4
【WindowsUpdateの有無】 有　自動更新(ちょっと日時がわからないですｏｒｚ)
【　アンチウイルスソフト 】 AVGFLEE（最終更新2008/01/12)
【その他のSecurty対策 】 常時機動はしていません。
【 ウイルススキャン結果】 McAfeeオンラインスキャンで未発見
【スレログやテンプレを読んだか】 今読みましたｏｒｚ
【hosts変更】無
【PeerGuardian2導入】無
【説明】
SourceCheckerOn-lineで調べたらインラインフレームで
ttp://www■mbspro6uic■com/indexm■htm　検出、さらにその先に
ttp://www■mbspro6uic■com/naizi/nait■htm　があって、
−−−−−−−−−−−−−−−
注意！ループタグを発見！ (1)
※ windowオープンを発見しました。
\x47\x45\x54
−−−−−−−−−−−−−−−
ただのブラクラなのかなと行き着いたんだですがどうなのでしょう？

293 ：(^ー^*)ノ〜さん ：08/01/15 20:38 ID:+mDWp82h0

>>292
セキュスレの方見てもらえばわかるけど垢ハクURLです
カスペオンラインスキャンでもしつつテンプレ熟読してくださいな

294 ：(^ー^*)ノ〜さん ：08/01/16 15:44 ID:RjX5R+HV0

ちょっと質問です。
自分のブログの記事に書き込みがあって、内容がその記事にやや関係ある
文章＋　〜〜の絵です。http〜〜.zip
という内容でした。垢ハックの恐れがあるものの、もし普通のものであれば
消すのは申し訳ないので今はそのままにしてあるのですが、その内容を安全に
確かめる方法は無いでしょうか？

295 ：(^ー^*)ノ〜さん ：08/01/16 15:48 ID:CCqaI9b20

zipなんだからDLしてウィルスチェックして確かめればいいじゃん。

296 ：(^ー^*)ノ〜さん ：08/01/16 16:06 ID:bFnHZyZu0

>>294
そういう相談はセキュスレへどうぞ。

検体確保になるので、ピリオドを■に置き換えて、そのもののアドレスを書いてくれるとありがたい。
セキュスレを「zip」で検索書けると、同じ物が出てくるかもしれないよ。

いきなりファイルのアドレスを、見知らぬ人が書いてくる時点で危ないものだと思った方がいいよ。

297 ：(^ー^*)ノ〜さん ：08/01/16 17:41 ID:RjX5R+HV0

ttp://www■lineagecojp■com/movie/mov0028■zip
でした。

>>296
セキュリティスレ覗いたらよく似たものがあったので垢ハクのようです。
ありがとうございましたー

298 ：(^ー^*)ノ〜さん ：08/01/16 19:55 ID:W6FVrO2I0

先日垢ハクされ、装備が全部なくなってしまいました
メインPCはフォーマットをし
パスワードは数ヶ月使っていなかったPCから変更しました

ここで質問なのですが
やっぱり、垢ハクされた垢はもう使わないほうが良いのでしょうか？
装備はなくてもどうにかなりますが
愛着のあるキャラクターたちが心残でなかなか踏ん切りがつけられません

299 ：(^ー^*)ノ〜さん ：08/01/16 20:43 ID:qWiZB8Ns0

>メインPCはフォーマットをし
>パスワードは数ヶ月使っていなかったPCから変更しました

逆に、使わないほうが良いのでしょうか？と考える理由は何？

300 ：(^ー^*)ノ〜さん ：08/01/16 21:04 ID:bFnHZyZu0

>>298
パスワードを変更した数ヶ月使っていなかったPCとやらが「安全な環境」だったのであれば、
次にパスワードを盗まれるまでは安全であると考えて良いでしょう。保証はできませんが。

read.cgi ver5.26 + n2 (02/10/01)