アカウント名:
パスワード:
・FTPがパスワードを平文で送信するという脆弱性についてはスルーですか(パケットを見て抜いているらしいとの情報あり)・サイトが改ざんされているかどうかのチェックはどうすればいいですか(ClamAV走らせておけば見つけてくれるとかそういう情報は見あたらず)・ウィルス自体はパスワードを抜くだけで、改ざんは別ホストから行われているとの情報を見ましたが具体的なIPアドレスなどは分かりませんでしょうか。(該当IPのブロックは拡散対策として有効だと思うのですが)
ちょこっと情報みつかりました。zlkon-gumblar-問題に関して [atword.jp]・今のところパケット監視説が有力だがキーロガーだったらscpでもダメかも・埋め込まれるJavaScriptは頻繁に変更されエンコードされているようなのでシグネチャでの検出は難しそう(ClamAVには期待できなさそう)・改ざんはボットネットからの接続で行われているっぽい(言われてみれば悪人が自分所有のサーバから接続してくるなんてことは無いよな)
とりあえずサーバサイドとしてはxferlogに海外からのアクセスが無いか確認、かなぁ。
>ちょこっと情報みつかりました。
「…かも」とか「…そう」とか「…っぽい」とか「…のような」とか「…かなぁ」だけじゃ、まわりを混乱させるだけです。リンク先のサイトも基本的な動作原理すらわらぬまま、錯綜している情報をごった煮に垂れ流しているだけのようですし。人の情報に頼らず自らウイルスに罹患してパケットキャプチャでもしたログを公開したほうが、よっぽど有用で参考になる情報になると思いますよ。(#仕事で解析してる人はみんなそうしてるわけで)
> 人の情報に頼らず自らウイルスに罹患してパケットキャプチャでもしたログを公開したほうが、よっぽど有用で参考になる情報になると思いますよ。
うちみたいな素人にそんなこと勧めないでください。危険ですよ。
> 人の情報に頼らず自らウイルスに罹患してパケットキャプチャでもしたログを公開したほうが、> よっぽど有用で参考になる情報になると思いますよ。
よろしく。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
問題の片側しか語られていない (スコア:2, 興味深い)
・FTPがパスワードを平文で送信するという脆弱性についてはスルーですか(パケットを見て抜いているらしいとの情報あり)
・サイトが改ざんされているかどうかのチェックはどうすればいいですか(ClamAV走らせておけば見つけてくれるとかそういう情報は見あたらず)
・ウィルス自体はパスワードを抜くだけで、改ざんは別ホストから行われているとの情報を見ましたが具体的なIPアドレスなどは分かりませんでしょうか。(該当IPのブロックは拡散対策として有効だと思うのですが)
Re:問題の片側しか語られていない (スコア:1)
ちょこっと情報みつかりました。
zlkon-gumblar-問題に関して [atword.jp]
・今のところパケット監視説が有力だがキーロガーだったらscpでもダメかも
・埋め込まれるJavaScriptは頻繁に変更されエンコードされているようなのでシグネチャでの検出は難しそう(ClamAVには期待できなさそう)
・改ざんはボットネットからの接続で行われているっぽい(言われてみれば悪人が自分所有のサーバから接続してくるなんてことは無いよな)
とりあえずサーバサイドとしてはxferlogに海外からのアクセスが無いか確認、かなぁ。
Re: (スコア:0)
>ちょこっと情報みつかりました。
「…かも」とか「…そう」とか「…っぽい」とか「…のような」とか「…かなぁ」だけじゃ、まわりを混乱させるだけです。
リンク先のサイトも基本的な動作原理すらわらぬまま、錯綜している情報をごった煮に垂れ流しているだけのようですし。
人の情報に頼らず自らウイルスに罹患してパケットキャプチャでもしたログを公開したほうが、よっぽど有用で参考になる情報になると思いますよ。(#仕事で解析してる人はみんなそうしてるわけで)
Re:問題の片側しか語られていない (スコア:1)
> 人の情報に頼らず自らウイルスに罹患してパケットキャプチャでもしたログを公開したほうが、よっぽど有用で参考になる情報になると思いますよ。
うちみたいな素人にそんなこと勧めないでください。危険ですよ。
Re: (スコア:0)
> 人の情報に頼らず自らウイルスに罹患してパケットキャプチャでもしたログを公開したほうが、
> よっぽど有用で参考になる情報になると思いますよ。
よろしく。