コンテンツへスキップ

5

GMOデジロック(旧デジロック)が運営する共有レンタルサーバー「VALUE SERVER」が、クラッキングされ、
Indexページ改ざんという被害が発生しています。
改ざんが確認されているのは「s1.valueserver.jp」(IP: 157.7.184.16)サーバーです。

発生日時は2014/1/19 16:40で、1/20 2時~3時頃まで改ざんされたページが表示される状況でした。
また、復旧後も対策漏れがあり、1/20 17時~18時に再び改ざんされてしまいました。
現状につきましては、公式の障害情報ページにて発表があります。

現時点では、悪意のあるページに改ざんされたり、リダイレクトされるようなことは確認されていません。

... "VALUE SERVER(s1.valueserver.jp) 改ざん被害 対応後も再び改ざん!" を続けて読む

2

IPA: 2013年6月の呼びかけ「 ウェブサイトが改ざんされないように対策を! 」
Trend Micro Security Blog: 日本のWebサイト改ざんを複数確認:PCは常に最新状態に!

どうも最近、先月末頃からWebサイト改ざん被害の報告が増加しているとのニュースが・・・
改ざんされたページを見るにウェブアプリケーションの脆弱性をついた攻撃による改ざん被害が見受けられます。
また、各所での報告によるとGumblarの時みたいにFTP・SSHアカウントの漏洩などが原因で改ざんされた例も多くあるようです。
全体的なことは上記リンクを読んでいただくとして。

... "相次ぐWebサイト改ざん被害 遅れる対応 -CookieBomb-" を続けて読む

2

ある業界では有名な「Blackhole Exploit Kit」ですが、どうやら最近アップグレードが行われたようです。

Symantec : BlackHole 悪用ツールキットがアップグレード: 擬似ランダムなドメイン
Slashdot : Blackhole Exploit Kit Gets an Upgrade

で、今回の目玉は「疑似乱数によるドメインの動的生成」らしいです。

何のことかと言うと、まず、Exploit Kit によるマルウェアサイトに誘導する主な手法はサイト改竄です。
その理由は、セキュリティベンダなどが提供しているブラックリストベースの検出を回避するため。
また、既存のサイトを改竄することで、特に何もすることなくユーザーが怪しむことなく集まります。
攻撃者にとってはホイホイな訳で。

そこで、改竄時に挿入される難読化されたJavaScriptについてが本題です。
大まかな動作としては、攻撃用サーバーにアクセスさせるために不可視のiframe(インラインフレーム)を埋め込みます。
んで、そこからJavaやらAdobe Flash / Reader やらのExploitが送り込まれて、それらが成功すればドライブバイダウンロードでマルウェア感染ってなことが一連の流れです。

ただ、従来の方法には一つ欠点がありました。
それはiframeとして埋め込んだURLがダウンした(ブラックリスト入りしたり、対策された)時です。
攻撃用サーバーにアクセスさせるためには、当然新しいURLに差し替える必要があります。
ただ、大量の改竄サイトを更新するのは困難であると。
そこで、もしダウンした場合でも自動的に更新するために、日付などの情報を基にして疑似乱数を基にドメイン名を動的に生成しようという訳です。

... "Blackhole Exploit Kitアップグレードされる" を続けて読む

3

こんにちは。またお久しぶりの投稿となってしまいました。
並びに延べ2万アクセス突破ありがとうございます。
もう3月ですよ~、しかも今日は桃の節句、雛祭りですよ。〽あかりをつけましょ ぼんぼりに…


さて、今回は「WordPress」の激増する改竄被害について取り上げます。
というのは1月下旬、検索で行き着いたあるWordPressで運用されたブログが改竄されていたのを発見したためです。
(ちなみに管理者には既に連絡し、対応して頂きました)

注:続きを見る方へ。掲載しているスクリプトコードがセキュリティ対策ソフト等で検出される場合があります。

... "WordPress 増える改竄被害" を続けて読む