レス数が1000を超えています。残念ながら全部は表示しません。

アカウントハック総合対策スレ9

1 ：夢 ★ ：07/11/25 11:04 ID:???0

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例に関して扱います。
重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

・ 関連＆参考情報アドレス (>>2)
・ 報告用＆質問用テンプレ (>>3, >>4)
・ アカウントハック対応の要点とFAQ (>>5)
・ 安全対策の簡易まとめ (>>6)
・ アカウントハッキングについて（ガンホー公式）
　 http://www.ragnarokonline.jp/playguide/hacking/

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。

【一般的話題用】
セキュリティ対策、質問・雑談スレ3
　http://enif.mmobbs.com/test/read.cgi/livero/1186660300/

714 ：(^ー^*)ノ〜さん ：08/05/22 10:00 ID:7Itg5rj70

朝からごめん、助けてほしい……

【　　アドレス 　 】www3■atwiki■jp/furin/　だと思う……
【気付いた日時】 5月22日09時前後
【　 　　 OS　 　 】 XPPro SP2
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 有　自動更新任せ
【　アンチウイルスソフト 】 Avast!4.7？
【その他のSecurty対策 】 SpyBot＋ルーター
【 ウイルススキャン結果】
　カスペオンラインスキャンで
C:\Program Files\Hudson\MasterOfEpic\cgMoEDrv.dll
が
Backdoor.Win32.Rbot.psr
に感染しているらしい。
【スレログやテンプレを読んだか】 YES
【hosts変更】
【PeerGuardian2導入】無
【説明】
上記のURLの更新一覧から、最新更新分（5月20日洗面鬼）をクリックした所、
本文が何も書いていないページが出現した。
更新忘れかと放置したものの、動作がやけに重いので、不安になってチェックをかけてみたら、ROとは違うMMOのファイルがウィルスとして出てきた。
（上のMOEはかれこれ半年以上触ってもいない）
毎晩寝る前にスキャンをしていて、昨日の時点では出ていなかったので、今日中に踏んだっぽい。

上の結果を見てすぐに、携帯のPCサイトビューアーからID・アカウントパスを変更したんだが、
Backdoorというウィルスの種類はあっても、Backdoor.Win32.Rbot.psrなんてウィルスはぐぐっても出てこないんだorz

垢ハックなのかも不明だけど、感染ファイルが格納されている\Hudsonごと削除すれば問題ないのかな(´･ω･`)

715 ：(^ー^*)ノ〜さん ：08/05/22 10:12 ID:L7LozTmd0

cgMoEDrv.dll でググる

716 ：714 ：08/05/22 11:46 ID:7Itg5rj70

>>715
ググってきた。

＞409 ：名無しオンライン：2007/12/27(木) 21:48:22.42 ID:F68edPSR
＞Openβ時代からcgMoEDrv.dll の挙動にはいろいろ問題が報告されているが
＞それは仕様がムチャクチャだからなだけで別にトロイじゃないって事

誤検出っぽいかな？
同じソフト入れてるもう一台の方は、バスターなんだが、そっちじゃ引っかからなかったし。
Avast!じゃなくて、今まで検出しなかったカスペで引っかかったって点が引っかかるけど、
幾分か気が楽になったよｱﾘｶﾞﾄｳ(´･ω･`)ﾉｼ仕事行ってくる。

717 ：(^ー^*)ノ〜さん ：08/05/22 11:53 ID:FQ7kOWzm0

ところで、垢ハック系のウィルス・トロイは、
キーロガーみたいな感じで情報を抜かれるのですか？
それとも、PCの情報ごと全て抜くみたいな感じですか？

718 ：(^ー^*)ノ〜さん ：08/05/22 12:03 ID:leZUNaZJ0

>>717
前者は知られている。後者は知られていないが今後ないとは言い切れない。
でも、漠然とした質問はセキュスレが担当なので、次回からはセキュスレをご利用ください。

719 ：(^ー^*)ノ〜さん ：08/05/22 13:01 ID:FQ7kOWzm0

>>717
thx

そしてすみませんです。

720 ：(^ー^*)ノ〜さん ：08/05/22 13:01 ID:FQ7kOWzm0

>>718だった。orz

721 ：(^ー^*)ノ〜さん ：08/05/22 15:36 ID:Js/ltnHJ0

>714
誤検出っぽいが、VirusTotalに投げてみるべし。

722 ：(^ー^*)ノ〜さん ：08/05/22 16:50 ID:aMvBXJ4J0

MoEの板・スレで聞けよ…。

723 ：(^ー^*)ノ〜さん ：08/05/22 18:23 ID:280h973c0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

724 ：(^ー^*)ノ〜さん ：08/05/22 20:50 ID:aMvBXJ4J0

Nice bot.

725 ：(^ー^*)ノ〜さん ：08/05/22 21:30 ID:5BqqbrRQ0

http://enif.mmobbs.com/test/read.cgi/livero/1205488101/540-566

726 ：(^ー^*)ノ〜さん ：08/05/23 20:49 ID:vi9p8Zrz0

>>714 >>716
MoE公式サイトにて、カスペルスキーでの誤検知であると正式に発表が出たようです。

727 ：(^ー^*)ノ〜さん ：08/05/25 01:13 ID:aPWCWA060

>>661に似たようなリンクがうちのmixiにも貼られてて何を血迷ったかアドレス削って
http://www■sakerver■com/を踏んでしまったんですが・・・アウトですか？

真っ赤な背景でアドオンがどうたらって出てきました・・・

728 ：(^ー^*)ノ〜さん ：08/05/25 01:25 ID:09zaY6VG0

>>727
それは既知のアカハックアドレスっすね。アウト。
ブロックされたか、なにかがすり抜けたかは不明。

対処方法は、OS入れなおし。（自己責任でセキュリティソフトを過信してもいいがお勧めできない）

729 ：(^ー^*)ノ〜さん ：08/05/25 19:19 ID:aPWCWA060

アウトですか・・・ありがとうございます。

ウイルススキャンしたところ、VBS_PSYME.BDGというやつがみつかりました。
おそらくIEのキャッシュかな？
心配なのでバックアップをとってクリーンインストールをしようと思います。

730 ：(^ー^*)ノ〜さん ：08/05/26 01:10 ID:4IZFGe9YO

>>729
ざまぁｗｗｗ

731 ：(^ー^*)ノ〜さん ：08/05/26 01:52 ID:NdcR0UJD0

http://world2001■blog39■fc2■com/

思いっきり踏んだんだけど、ここ大丈夫じゃないよね？

732 ：(^ー^*)ノ〜さん ：08/05/26 01:57 ID:JRUdJg340

>>4

733 ：(^ー^*)ノ〜さん ：08/05/26 03:10 ID:NZMnjggp0

>>1

734 ：(^ー^*)ノ〜さん ：08/05/26 05:15 ID:2EzGD5rL0

なんかうちのBlogに来てたんで報告しておきます。

ttp://www■yaplogjp■com/Blog/

"ro blog 2008"というキーワード検索でたどり着いた、日本のホストからの接続なので
こちらも一つ一つ禁止語句設定していくしかないというイタチゴッコです

735 ：(^ー^*)ノ〜さん ：08/05/26 07:54 ID:xCWl1vcj0

>>734
同様に情報提供として…検索サイトから「武器 2008/05」というようなのも定期的に来る。

736 ：(^ー^*)ノ〜さん ：08/05/26 09:49 ID:A3frDjA80

>731
セキュスレ506から頻繁に出てるハクアドレス。
罠に引っかかってるかどうかは、エスパーじゃないので判らん。


>734
yaplogjp
-->www■yaplogjp■com/Blog/jp3■exe

VBScriptによる、いつものパターン。
今、チェックできる環境が無いので、検体チェックはしてません。

737 ：(^ー^*)ノ〜さん ：08/05/26 11:24 ID:t6VyPnlZ0

>>736
5/25時点のログ。
VirusTotal: analisis/26e9108175a5e9ee456e4da0ca8a6532

738 ：(^ー^*)ノ〜さん ：08/05/26 11:33 ID:ai2zBodt0

そろそろ blog の類に、逆引きしたIPの所有国が中国／朝鮮だった場合は
エラーも何も出さないけど書き込みを拒否する、みたいな仕組がほしいねぇ。

739 ：(^ー^*)ノ〜さん ：08/05/27 03:13 ID:EX18CBoP0

>>734のアドレスなんですが、ソースチェッカーオンラインでチェックしても
安全度100%と表示されてしまうので（ソースを見れば明らかな感はあるんですが）
仮に、チェッカーに対し全信頼を置かれている方やソースが読めない方がもし居られましたら
注意喚起をしてあげてください。

# ちなみにaguseでも全セーフと表示されてしまいます。

740 ：(^ー^*)ノ〜さん ：08/05/27 09:09 ID:SgXz54Qv0

【　アドレス　】www■kyu9■net/cat125
【気付いた日時】 ５月２７日8:30位
【　 　　 OS　 　 】 winXPSP2
【使用ブラウザ 】 IE7　だと思います・・・
【WindowsUpdateの有無】 自動更新になっています
【　アンチウイルスソフト 】 ウィルスバスター2008
【その他のSecurty対策 】 ないです
【 ウイルススキャン結果】 今カスペルで検索中です
【スレログやテンプレを読んだか】 読みました
【hosts変更】無いです
【PeerGuardian2導入】無いです
【説明】
病気の症状を調べようとヤフーで検索していてクリックしたら真っ白いページが出るだけで何も表示されなかったので心配に・・・
バスターは特に何も動かなかったです。
ROとは何も関係ないのですが、垢ハックなのでしょうか・・・
今は別のPCで書き込んでいます。
クリーンインストールしたほうがいいのでしょうか・・・？

宜しくお願い致します＞＜

741 ：(^ー^*)ノ〜さん ：08/05/27 09:27 ID:w+miYmnQ0

※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません

742 ：(^ー^*)ノ〜さん ：08/05/27 09:39 ID:jJeSyX2p0

>>740
「病気の症状に関する用語集」。アカハック関係無い。
Safari3.1、Firefox3RC1、Opera9.5Betaでは表示できるが
IE7では真っ白。CSSかHTMLがどこか間違っているんだろう
(実装がクソなIE6でしか確認していないなど)。
今後鑑定依頼は他所でやるように。

743 ：(^ー^*)ノ〜さん ：08/05/27 10:27 ID:kaGJwkDL0

>>742
IE6でも表示できません。憶測で余計なことを書くのは如何なものかと。
最後の行については同意。

744 ：(^ー^*)ノ〜さん ：08/05/27 10:32 ID:WVEPQ9vd0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

745 ：(^ー^*)ノ〜さん ：08/05/27 11:33 ID:8+DLahm20

またアレか。日本語文字コードの自動判別失敗。

746 ：(^ー^*)ノ〜さん ：08/05/27 13:15 ID:vbnxctW30

>>6
>・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera)

747 ：(^ー^*)ノ〜さん ：08/05/29 00:08 ID:AktTSB9K0

【　　アドレス 　 】http://softa■softkills■net/soft1■exe
　　　　　　　　　　その他類似アドレス多数
【気付いた日時】 本日19時半頃
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 Sleipnir 2.7.1
【WindowsUpdateの有無】 自動更新有、最新Verの模様
【　アンチウイルスソフト 】 NOD32 バージョン3137
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 NOD32のIMONとAMONで『Win32/PSW.OnLineGames.NWBの亜種』、『Win32/Small.NDW』を検出
　　　　　　　　　　　　　　　　 カスペルスキーオンラインスキャン(20時頃)に『Trojan-Downloader.Win32.Small.wga』と『Trojan.Win32.Agent.nbl』を検出
　　　　　　　　　　　　　　　　 ※NOD32の隔離フォルダから『Trojan.Win32.Agent.nbj』と『Trojan-PSW.Win32.OnLineGames.ajss』と『Trojan-PSW.Win32.OnLineGames.ajsw』を検出
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】 無
【PeerGuardian2導入】 有
【説明】 どこのサイトからこのURLを踏んだのかは不明だがRO関係のサイトは見ていないときに検出されました
「orz.exe」というプロセスがLocalSettingsフォルダ内に作成され、どっかに接続しようとしていたのも確認。削除済み
スタートアップ書き換えなし、全ファイル削除後NOD32でウィルス検出なし
手動駆除活動後、orz.exeや接続しようとするプロセス、怪しいプロセスの出現なし
ROには踏んでからまだ未ログイン、パスワード変更済み

大丈夫だとは思うけど万全を期してクリーンインスコをしたい
バックアップというのはどうやるもの？欲しいデータをDVDに写していくだけ？

748 ：(^ー^*)ノ〜さん ：08/05/29 00:11 ID:PmD70TAe0

欲しい物というか自分で必要だと思う物
辞書なりお気に入りなりフォントなり、各種設定とか
そこら辺は個人で違ってくるから調べてみて

749 ：(^ー^*)ノ〜さん ：08/05/29 00:13 ID:AktTSB9K0

追記

もちろんexeなんてつくアドレスをホイホイ踏むわけもなく、どこかからの自動転送で送られてしまったと思われます
その自動転送URLはわかりません
一番重要なところなのにすいません

750 ：(^ー^*)ノ〜さん ：08/05/29 00:46 ID:SGc4kIq00

>>747
どこかのインジェクションされたサイトを踏み、そこのscript(あるいはiframe)から
君の使っているアンチウイルスで検知できないexeが実行された。
んでそのexeはダウンローダで、別なサイトからダウンロードリストを取得して
片っ端から拾って30匹ほど実行した。
xiaobai01■net/update.txt
でググってみてね(■はピリオドで)。

751 ：(^ー^*)ノ〜さん ：08/06/01 18:35 ID:WqzubEki0

ゆずソフトのサイト改竄のってROは大丈夫？
>>1リネージュ資料室見るとリネージュ関連ウィルスで載ってるけど

752 ：(^ー^*)ノ〜さん ：08/06/01 18:39 ID:GMrXX9rS0

なにがどう大丈夫なんだか…

自分がやってないゲームのアカウントだけが対象ならいいかとか
ヌルい考えはやめたほうがいい。

753 ：(^ー^*)ノ〜さん ：08/06/01 18:41 ID:yJ2JczoG0

【　　アドレス 　 】http://www■berseek■com/wiki/cinema/videonews/fwFN5bSBp8■zip
【気付いた日時】 本日１７時半頃（踏んだ瞬間）
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 FireFox (2.0.0.14)
【WindowsUpdateの有無】 自動更新になってます
【　アンチウイルスソフト 】 Mcfee
【その他のSecurty対策 】 なしです
【 ウイルススキャン結果】 現在カスペルスキャン中です
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】なしです
【PeerGuardian2導入】なしです
【説明】
mixiのRO関連コミュで踏みました。
zip直置き、DL確認画面でやばいと思いキャンセルしました。
捨て垢じゃないようなのですが、不安です・・・

別PCからアトラクションIDパスは変更済みです。
クリーンインストールしたほうがいいのでしょうか・・・

754 ：(^ー^*)ノ〜さん ：08/06/01 18:59 ID:WqzubEki0

そうは言ってもどうしたらいいのか分からん・・・
janeのビューアで
http://www■tongji123■org/4561■swf
http://dm■htifns■com■cn/4561■swf
http://dm■htifns■com■cn/4562■swf
こんだけ開いただけなんだけど

755 ：(^ー^*)ノ〜さん ：08/06/01 18:59 ID:pPzkP7gc0

>>753
zipのダウンロード中で解凍すらしてないならセーフ。
気になるならクリーンインストールコースどうぞ〜

756 ：(^ー^*)ノ〜さん ：08/06/01 19:00 ID:pPzkP7gc0

>>754
OSから入れなおしGO〜

757 ：(^ー^*)ノ〜さん ：08/06/01 19:02 ID:1VZHgfvC0

どうしたらいいのかわからなかったらまずスレのテンプレ熟読ぐらいしてくれ

758 ：(^ー^*)ノ〜さん ：08/06/01 19:08 ID:uGD8CtCu0

今mixiで「RO」と「カムバックキャンペーン」という単語を入れた日記を書くと、
もれなくマルウェア・ZIPのアドレスを書いたコメントをつけられる模様。
気をつけて−。

759 ：(^ー^*)ノ〜さん ：08/06/01 19:16 ID:JVtmz9qh0

>754
セキュスレ見た？

そのswfはゆずソフトに仕掛けられたのと同一アドレス。
有志が調査してカスペに投げてくれてくれたので
そのうち対応する（と回答済み)

発動したかどうかはテンプレに沿って無いので何とも。
最悪OS再インストールだな


つーか、慌ててるのは分かるが、テンプレに沿ってくれ
回答する方も情報不足で何とも言えん

760 ：(^ー^*)ノ〜さん ：08/06/01 19:44 ID:WqzubEki0

>>759
今見てきました

janeでゆずソフトがハッキングされたってスレでビューアでURL全部開いて>>754です
テンプレ守らずすみません

【　　アドレス 　 】 http://www■tongji123■org/4561■swf
【　　アドレス 　 】 http://dm■htifns■com■cn/4561■swf
【　　アドレス 　 】 http://dm■htifns■com■cn/4562■swf
【気付いた日時】 今日
【　 　　 OS　 　 】 WinXP SP2
【使用ブラウザ 】 JaneDoeViewα080508
【WindowsUpdateの有無】 有、最新
【　アンチウイルスソフト 】 Avast4.8
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 スキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有[最終更新は去年、問題のアドレスの記述は無]
【PeerGuardian2導入】 無
【説明】 リネージュ資料室より
「ゆずソフト」という会社（PC用18禁ソフトのメーカーだそうです）のサイトが改竄され、ウィルスが仕込まれています。 6月1日 17:00時点では、まだ危険なままの状態です。
仕込まれたウィルスは、RealPlayerの脆弱性や、先日お知らせしたFlashの脆弱性などを悪用してインストールしようとされ、 OSだけでなくプラグインもすべて最新の状態になっていないと感染します。

現状で把握しているリネージュ関連ウィルスファイル
http://www■tongji123■org/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4561■swf 200 2008/06/01 16:43:01 817 application/x-shockwave-flash
http://dm■htifns■com■cn/4562■swf 200 2008/06/01 16:43:01 729 application/x-shockwave-flash

761 ：(^ー^*)ノ〜さん ：08/06/01 20:28 ID:42OwCWSm0

>753
fwFN5bSBp8■zip （実際は拡張子をzipに替えただけのrarファイル）
---->fwFN5bSBp8■exe(Trojan.Win32.Inject.ceo)

>755の言う通りかな。


>760
4561と4562のswfファイルは現時点でもカスペのパターンに入ってない。
(カスペの傾向からして、配布まであと数時間かかると予想)

janeは使ってないので知らんが、url開いたのなら、Flashのプラグインを
最新にしてないと確実にアウトだろうね。

というか、危険なスレと判ってたら開いたらダメだろ……

762 ：(^ー^*)ノ〜さん ：08/06/01 23:20 ID:42OwCWSm0

一応転載
--------------------
>799 名前：788 MAIL:sage 投稿日：08/06/01 22:29 ID:t/Q2xJTn0
>先ほどチェックした所、PCのカスペで検出・削除した事を確認。
>VTでも検出された。
--------------------
念のため、踏んだ人はカスペのオンラインスキャンへGO

763 ：(^ー^*)ノ〜さん ：08/06/02 07:12 ID:Y3/1rAiv0

カスペのオンラインスキャンで4561と4562のswfファイルのキャッシュが
Trojan-Downloader.SWF.Small.ax
Trojan-Downloader.SWF.Small.ay
で検出されたんだけどこれ削除しとけばOKかな？
他の不正プログラムをダウンロードする攻撃コードって書いてたけど
他には何も検出されなかったからダウンロードされなかったってこと？

764 ：(^ー^*)ノ〜さん ：08/06/02 07:16 ID:v62fzaHG0

FlashPlayerが9.0.124なら実行されない。

765 ：(^ー^*)ノ〜さん ：08/06/02 20:33 ID:canR36t90

Aviraも次のうｐだてで対応のこと

> The file '4561.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.
> The file '4562.swf' has been determined to be 'MALWARE'. Our analysts named the threat EXP.Flash.lok.729. Detection will be added to our virus definition file (VDF) with one of the next updates.

766 ：(^ー^*)ノ〜さん ：08/06/04 11:02 ID:hIMykLwX0

RO起動するとｎProが作動してctfmon.exeがbackdoorだとか出るんだけどさ
ctfmon.exeって別に問題ないソフトでそれに偽造してるものがbackdoorらしいんだけど
nProは正規のものをウイルスだと断定してｱﾗｰﾄしてんの？

767 ：(^ー^*)ノ〜さん ：08/06/04 11:07 ID:zh6DIDAk0

うちのは出ないが。

768 ：(^ー^*)ノ〜さん ：08/06/04 11:20 ID:/kTrGChq0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

769 ：(^ー^*)ノ〜さん ：08/06/04 12:28 ID:PdV+w5ONO

Nice b0t.
てめえのカキコでスレ無駄に埋めてりゃ世話ねーや

770 ：(^ー^*)ノ〜さん ：08/06/04 12:50 ID:wmuzvScr0

>>1

771 ：(^ー^*)ノ〜さん ：08/06/04 21:56 ID:+9weN9mW0

なんか罠を踏んだ。
問題のURL：tp://moor■sugoize■com/

上記URLにアクセスした覚えは無いんで何処かに仕込まれた罠から更に飛んだんだと思うけど、キャッシュや履歴からは
特定できなかったのでリンクを仕掛けられた場所は不明；（他の履歴に全てにアクセスしてみたけれどPG2は無反応だった）

ぐぐってみると、元はゲーム攻略サイトか何かがドメイン失効した跡地らしい(?)。
aguseでサイトSSを見た所では、失効ドメインで表示されるような案内やら広告メニューが表示されるているだけ…かと
思いきや、上記URLへアクセスするとPG2が反応を示して 666■lyzh■com へのアクセスをブロックしたと出る。

この moor■sugoize■com/ のソースを火狐で見た所、0サイズのフレームが記述されていて
dummy■htmlからimage■phpを読み込むようになっている。
こっから先は素人だから分からないけどimage■phpから666■lyzh■comを読み込む仕掛けなのだと思う。
これは失効ドメイン跡地を中華が改竄して罠に仕立てたって事かな？

で、666■lyzh■comはリネ資料室のウィルス置場一覧に書かれている既知の罠ドメイン。
ROも関係ありそうな予感なので一応報告。

772 ：(^ー^*)ノ〜さん ：08/06/04 22:03 ID:HZKVBrdm0

>>771
>dummy■htmlからimage■phpを読み込むようになっている。
こんなの無いぞ?

773 ：(^ー^*)ノ〜さん ：08/06/04 22:08 ID:l0uRTOjQ0

ないな、普通に失効してるページぽいけど
あとは掘っていったけどDomainSearchBar.msiのDLくらいかねぇ

774 ：(^ー^*)ノ〜さん ：08/06/04 22:17 ID:HZKVBrdm0

つーか、ページの作りがまんまドメイン業者の広告だな

775 ：(^ー^*)ノ〜さん ：08/06/04 22:40 ID:+9weN9mW0

あれ？ホントだ。
踏んだのは2日のam3：57で、少なくとも昨日のpm4：34まではdummy.htmlとimage.phpもあったんだ。
（履歴洗ったりソース見ようとして再度pg2がブロックしたりしたので）
その時はこんな長いソースじゃなくてフレームタグで構成された短いソースだった。
管理者が気付いて削除したのかな…？

776 ：(^ー^*)ノ〜さん ：08/06/05 01:54 ID:m267oBxh0

【　　アドレス 　 】アドレス確認しにいったらもう編集されてた・・・どう確認すれば
【気付いた日時】踏んだのは午前1時ごろ
【　 　　 OS　 　 】winXP SP2
【使用ブラウザ 】 IEです、バージョンはわかりません
【WindowsUpdateの有無】 自動更新
【　アンチウイルスソフト 】 ウイルスバスター２００６(更新は５/３０日)
【その他のSecurty対策 】特になし
【 ウイルススキャン結果】 Mell.なんとかっていうのがウイルスバスターで見つかりました
【スレログやテンプレを読んだか】 今読んでます
【hosts変更】無
【PeerGuardian2導入】無
【説明】
職別のwikiを見ていたのですが、ステタイプ説明文の途中の「武器カードについてはこちら」
みたいなのをクリックしてアドレスを特に確認もせずに飛んでしまいました
その飛んだ先は普通のblogでしたが、あまりに変だと思い相談
善意を装ったblogで気づかぬうちに・・・という可能性が・・・
どこかにfc2blogはヤバイみたいなことを書いてた気がしました
URLにもfc2があった記憶がかすかにあります・・・
OSを再インストしないとまずいでしょうか？とりあえずＲＯはアンインスト
してみました

777 ：(^ー^*)ノ〜さん ：08/06/05 02:06 ID:ZvGXuHon0

URLはわからずともどのWikiなのかわからないと確認しようもない
IEのバージョンは同ヘルプから確認可能
VB2006ってまだサポートしてるの？

とりあえず踏んでる臭いからカスペのオンラインスキャンで再確認してみて

778 ：776 ：08/06/05 02:17 ID:m267oBxh0

Wikiはハンターwikiです
IEのバージョンは６でした
VB2006はどうなんでしょう・・・最新の更新はしています

今からオンラインスキャンしてきます

779 ：(^ー^*)ノ〜さん ：08/06/05 02:33 ID:2cRJ9EQq0

弓手Wikiの改竄部分を確認。粘着的に編集が行われている様子が見うけられる。

fsbahsygg■269g■net/
-> www■gawezuki■com/Blog/
--> www■skywebsv■com/Blog/index1■htm
www■bluewoon■com/Blog/k1■exe

PukiWikiであれば、ページヘッダ部分で「差分」や「バックアップ」と表記されている部分をクリックすれば、変更点の確認が出来る。
こんな感じで。
ttp://hunter.rowiki.jp/index.php?cmd=diff&page=%C9%F0%B4%EF.
ttp://hunter.rowiki.jp/index.php?cmd=backup&page=%C9%F0%B4%EF.&age=120&action=diff
この部分は、左側のMenuBarと違い、PukiWikiのスクリプト自体でハードコーディングされているので、ハッキング改竄の心配は少ない。
各種Wikiを利用する上で、覚えておいて損はない。

780 ：(^ー^*)ノ〜さん ：08/06/05 02:54 ID:6+d/FfD30

アルケミテンプレサイトが同様なので報告に参りました
先ほどまでは普通に使えてたのでリアルタイム遭遇orz

アルケミスレテンプレサイト www.ragfun■net/alchemist/ にて
fsbahsygg■269g■net/へのリンクへ左のメニュー部分が全部変更されてました

781 ：(^ー^*)ノ〜さん ：08/06/05 03:02 ID:XHLEMw600

殴りアコプリテンプレもトップ・メニューのリンクがfsbahsygg■269g■net/に書き換えられてたっぽい…とりあえずバックアップまで戻したけど。

782 ：(^ー^*)ノ〜さん ：08/06/05 03:15 ID:RQ5aTWZi0

>779
VTの結果
index1■htm　(18/32)　ttp://www.virustotal.com/analisis/36e520fd57c79804994ae3f93f8210c1
k1■exe　(19/32)　ttp://www.virustotal.com/analisis/29a1557bbe11cc9055eea4427b8aea56

約6割が検出してるとはいえ、未検出のもあるので注意

783 ：(^ー^*)ノ〜さん ：08/06/05 03:25 ID:RQ5aTWZi0

追記

>782現在で、両方スルーしてるのはAvast。
それ以外はどちらかを引っかけてるので、なんとかなるけど
Avast使いはご注意を。

それと gawezuki のIPは61■139■126■91で
BS Wikiさんのリストに寄れば

coconlovely■com
gamelaone■com
gawezuki■com
hotgome■net
okireng■com
2ch22■com
bluewoon■com
skywebsv■com
ff11bloglina■com
play0nlink■com
playhaogame■com
playncc■com

が同一IP、つまり>779のアドレスは全て一緒。

784 ：(^ー^*)ノ〜さん ：08/06/05 03:30 ID:ZvGXuHon0

警告ageしておくかな、各Wikiはご注意

785 ：(^ー^*)ノ〜さん ：08/06/05 03:57 ID:fJRalupV0

ハンタ、ケミ、クルセ、殴りプリ Wikiで改竄確認。
うちケミのところはIP規制入りました。

786 ：776 ：08/06/05 03:59 ID:m267oBxh0

いまさらなんですが、オンラインスキャンはしないほうがいいと
ＦＡＱに書いてました・・・抜いたほうがいいですよね
手遅れかな・・・orz

787 ：(^ー^*)ノ〜さん ：08/06/05 04:15 ID:6DAC/ucZ0

うわ、これだったのか。Firefoxなんですが
さっきリンカーwikiでスキルの欄を押したら、外部に接続しますけどいいですか？
みたいな文字と、その外部のアドレスが出てきた。アドレスにカーソル合わせるとポンプアップで
行き先の画像が出てきたんだが、これは垢ハックを喰らったことになるんでしょうか？

788 ：(^ー^*)ノ〜さん ：08/06/05 04:24 ID:eOp2J/ZJ0

>>787

それは違う、最近ガンホーのサイトにも実装されたが
リンカーＷｉｋｉの外に出ますけど良いですか？っていうクッションページ

789 ：(^ー^*)ノ〜さん ：08/06/05 05:08 ID:Lm+ppeIg0

>787
ポップアップを表示させただけなら平気。リンク先が安全かどうかの参考にするためのプレビュー機能。

790 ：(^ー^*)ノ〜さん ：08/06/05 09:07 ID:Y8m/2NTl0

>>782
特定の製品のことをあれこれ言いたくないんだけど、
avastは最近誤検知が目立つ割にはスカるね…。

791 ：(^ー^*)ノ〜さん ：08/06/05 12:37 ID:Ej6AlMoUO

巡回先調べてみた
ローグ・モンク・忍者Wikiは異常な死

792 ：(^ー^*)ノ〜さん ：08/06/05 12:49 ID:Toqel1OI0

その誤変換は誤解を招く。ぱっと見で、逆の状況かと思った。落ち着いて書き込んでホスィ

793 ：(^ー^*)ノ〜さん ：08/06/05 15:31 ID:oyEeN5ty0

ぱっとみ異常があるようにみえた

794 ：(^ー^*)ノ〜さん ：08/06/05 16:38 ID:+2z7XEce0

クルセスレにも有ったので報告
fsbahsygg■269g■net/に全て変更されてました

795 ：(^ー^*)ノ〜さん ：08/06/05 16:48 ID:fJRalupV0

クルセWIKI、殴りプリWIKI、リンカーWIKIにまた湧き始めた。

796 ：787 ：08/06/05 17:07 ID:HmRZ3nkB0

>>788 >>789
そうだったんですか、どうもありがとうございます。
こんな便利な機能があったんですね

797 ：(^ー^*)ノ〜さん ：08/06/05 17:13 ID:vopKwCZ90

業者怖いなぁ･･･
アoサoシoンoうぃき は大丈夫なんだろうか。怖くてみれない。
（MMOBBSで業者がキーワードに反応するそうなので念のため伏字しておく。）
WIKIのTOP踏んだくらいなら（WIKI内のリンクを踏まなければ）大丈夫なんでしょうか？

798 ：(^ー^*)ノ〜さん ：08/06/05 17:37 ID:c3DHXmoIO

踏んだらＯＳ入れ直しが基本だな

799 ：(^ー^*)ノ〜さん ：08/06/05 17:50 ID:KpAUBQKk0

転送確認プラグインで止めれば大丈夫だよね？
それでもOS入れ直すの？

800 ：(^ー^*)ノ〜さん ：08/06/05 18:37 ID:PIhxLf2E0

>>797
開いたページ(トップページ)に物(ウィルス)が仕込まれていなければその通り。
よくわかんないなら見ないのが一番賢い。

801 ：(^ー^*)ノ〜さん ：08/06/05 18:43 ID:iLoCkhkk0

重要な情報が埋れてしまわないようにする為、一般的なセキュリティ
対策・相談・雑談はLiveROの雑談スレ(通称 セキュスレ)を利用して下さい。

セキュリティ対策、質問・雑談スレ5
http://enif.mmobbs.com/test/read.cgi/livero/1205488101/

802 ：(^ー^*)ノ〜さん ：08/06/05 19:09 ID:9ZC/zZZF0

セキュスレと並行してるけど、この話題はここで続けても問題無いよ。

803 ：(^ー^*)ノ〜さん ：08/06/05 19:50 ID:gO+jrK7I0

不覚にも垢ハクサイトをクリックしてしまった…（fsbahsygg■269g■net/）
avastで検索したら1件だけ有ってRootkitのみだったから出てきてない気がする
OS入れなおすべきか？

804 ：(^ー^*)ノ〜さん ：08/06/05 20:10 ID:fJRalupV0

管理の甘い殴りプリWikiが集中砲火されてるな…。
秒刻みで改竄入ってるぞ…。

805 ：(^ー^*)ノ〜さん ：08/06/05 20:10 ID:zSqlla/h0

ローグでも改変あったので注意

806 ：(^ー^*)ノ〜さん ：08/06/05 20:35 ID:fJRalupV0

ツール改変っぽいな。
クルセ、殴りプリ、リンカWikiの同時改変確認。

807 ：(^ー^*)ノ〜さん ：08/06/05 21:06 ID:fJRalupV0

もうだめだな…大本叩くか管理人がIPBANするかしないと収拾付かないわ。
とりあえず管理人ほぼ不在のクルセ、殴りプリ、リンカWikiは当分諦めた方がいいかも。

808 ：(^ー^*)ノ〜さん ：08/06/05 21:30 ID:phv3ur0l0

すいません、ローグWikiを見ようとしたら
Fatal error: Call to undefined function area_pickup() in /virtual/mohige/public_html/lib/spam.php on line 599
という表示がでたのですが、これは垢ハックなのでしょうか？

809 ：(^ー^*)ノ〜さん ：08/06/05 21:33 ID:9ZC/zZZF0

>>808
それはphpのエラーメッセージ。
サーバー側の設定ミスかファイル破損かは不明。

810 ：(^ー^*)ノ〜さん ：08/06/05 21:35 ID:phv3ur0l0

>>809さん
ありがとうございました！

今後、このようなメッセージがでてもあせらないように勉強しようと
思います。

811 ：Ｓ県七瀬 ◆/II.DEADh. ：08/06/05 22:14 ID:jUCPDArM0

>808
おそらくspam.php＞新バージョン　spam.ini.php＞旧バージョン
の時に踏んじゃってエラー吐いたんだとおもう。
今はもう直ってるよ。

812 ：(^ー^*)ノ〜さん ：08/06/05 23:07 ID:UuUFtxvp0

ｵｳﾞｧｰ今さっきリンカーwikiの対人のとこ見たばっかだ・・・
俺ｵﾜﾀ

813 ：(^ー^*)ノ〜さん ：08/06/05 23:12 ID:9ZC/zZZF0

>>803
>>812

はい、テンプレ読んでから、OSの再インストールコース行ってらっしゃい。

read.cgi ver5.26 + n2 (02/10/01)