ニュースサイトの広告バナーにBofraワーム 51
ストーリー by Oliver
危険はあらゆる所に 部門より
危険はあらゆる所に 部門より
Sassy 曰く、 "ITmediaによりますと,SANS Institute社がSP2以外では未パッチのIE6のIFRAMEの脆弱性を悪用するコードが仕組まれたバナー広告がヨーロッパで数多く確認されていることを発表しました。Sans Instituteは感染したバナー広告については明らかにしませんでしたが,その後英Register誌が「広告会社Falkから配信された一部バナーがBofraワームに20日朝感染していたため,昼過ぎまでに配信を停止した」旨を発表しました。もし日本時間の20日午後3時から翌21日午前0時半までの間にWindowsマシンでRegisterサイトにアクセスされた方は念のためウィルスチェックをすることが推奨されています。"
Falkの釈明によれば、一台のロードバランサーが何者かによりクラックされ、正規の広告のかわりにBofraワームを含むサイトへのリダイレクトが設定されていたそうだ。
bofra (スコア:5, すばらしい洞察)
Re:bofra (スコア:1)
「お、日本発か!」と思ってしまいました :-(
Re:汚い水にうじゃうじゃ (スコア:1)
Re:汚い水にうじゃうじゃ (スコア:1)
それは既に毒物だから当然ではないかと [health.ne.jp]
Re:bofra (スコア:0)
しっかりと感染してしまった・・・ (スコア:2, 参考になる)
いつの間にか類似のものに感染してました(笑)
わたしはwin2kを使っているのですが
ファイアーウォールを導入していて事なきを得ました(多分)
わたしが感染したのはbofraではなくc:\に直接bla.exe
ってのを作ってしまうタイプのもので
ノートン先生はまだ個別対応してくれてないらしくその実態はよくわかりません。
他のところだといくつか判別してくれているところもあった
と思ったんですがやっぱりよくわからなかったような・・・
64.186.138.100から何かを落としにかかってたんですが
これが本体だったんでしょうねぇ。
まぁアダルトサイトをIEで巡るなんていうのが
そもそも間違いなわけですが。
普段operaを使っててたまたまieを使ってみたら
っていう思いがけない状況だったのでなんとも複雑な気持ちです。
皆さんもお気をつけ下さい。
Re:しっかりと感染してしまった・・・ (スコア:0)
>いつの間にか類似のものに感染してました(笑)
>わたしはwin2kを使っているのですが
>ファイアーウォールを導入していて事なきを得ました(多分)
で、感染したの?しなかったの?作り話もほどほどに。
Re:しっかりと感染してしまった・・・ (スコア:2, すばらしい洞察)
感染したけど発症しなかったってことでしょう? だからファイアーウォールのおかげで事なきを得たと言っているんであって。
むらちより/あい/をこめて。
Re:しっかりと感染してしまった・・・ (スコア:2, 参考になる)
パスワード無し・簡単なものだった、て言う機械じゃありませんかね>T.MURACHI
そのexe名になんとなく覚えがあります。
(まぁ同じ名前の別物かもしれませんが)
昔の職場からSOS来て、サーバのイメージがどかんと届いたんですが、
リストアしてみたら、同じ名前のものがありました。
トロイで、レジストリ書き換えて、ディスク内容をどっかに送信してて、その他諸々って奴。
c:\winnt\systeem32\drivers\ ってとこに本体や、.reg, .bat など、色々置かれてましたよん。
NATでグローバルIPアドレス⇔プライベートIPアドレス、一対一対応のNT4.0。(笑)
リモート管理用のDesktopOn-callには、一日辺り3000くらいのリクエスト。
IISが何故かインストールされてて、MS SQLも入ってて(以下あまりに悲惨なので略)
ちゃんと後任のセキュリティ/ネットワーク担当者雇えよ。>昔の職場
結局、個人作成?なのか、有名どころの対策ソフトやその作成会社のサイトのどこにも
それの情報は載らず終いでした。
Re:しっかりと感染してしまった・・・ (スコア:1)
っておいらに聞かれても知らんけど (^_^; 。
bla.exe でぐぐってそれっぽい情報として見つかったのはこの辺 [kosuge.kdn.jp]とかこの辺 [pasokoma.jp]とか。どちらも u1p さんのおっさられる通りファイルをダウンロードしてくるトロイの木馬さん。
んで、今回の件と関係あるのかしら? と思って、「bla.exe iframe」でぐぐってみた [google.co.jp]ら、英語の情報ですがそれっぽいのもいくつか引っかかっていますので (この辺 [antisource.com]とか。。。前出のそれと同一のものかは不明ですが)、一応関係ないことも無さそうです。
むらちより/あい/をこめて。
Re:しっかりと感染してしまった・・・ (スコア:1)
。。。ていうか、11/20 の時点で思いっきし Trojan.Vundo という名前で Symantec から報告が上がってますね [symantec.com] 。気付けよ>ヲレ (^_^;; 。
むらちより/あい/をこめて。
アップデートしましょう (スコア:1, すばらしい洞察)
Re:アップデートしましょう (スコア:2, すばらしい洞察)
Windows 2000 ユーザーの為にも、単独の修正パッチをいち早く配布して頂きたいと切に願います。
むらちより/あい/をこめて。
Re:アップデートしましょう (スコア:2, すばらしい洞察)
パッチをさっさと配布していただきたいところですね。
Windowsユーザーは多分2年後にも同じことでぼやくはめに
なるんでしょうなぁ
Re:アップデートしましょう (スコア:1)
可能な限りSP2にアップデートしましょうって話なのかな。
まあ、全然対応されていない脆弱性もあるので、
SP2に上げれば全て解決安心って話じゃないけど。
でもまあ、MSもアレだが最近はネットワーク甘く見てる会社多いなあ。
そんなにあっさり乗っ取られてどうするんだって気が。
何を使ってたんだろう…。
そこで (スコア:0)
iframeを無視するブラウザを使うってのもOK
言い訳する人の「危険なサイト」ってどんなですかね。
2chでスレに載ってるURL踏むだけでも充分に危険なのに。
Re:そこで (スコア:1)
#いや、危険なところじゃないとは言いませんが。
--------------------------
そろそろ時間です。
Re:そこで (スコア:1)
iframe{display:none!important}
と書くという手も。
Re:そこで (スコア:0)
Re:そこで (スコア:0)
充分に危険どころか、かなり危険じゃないですか。
言い訳だと思い込む人の意識がかなり低いのか、それとも単にあなた個人の意識がかなり低いだけのか、どちらなのかは知りませんけど。
Re:アップデートしましょう (スコア:0)
そんな話が数年前もあった [srad.jp]気がする。
VBS_Redlofの場合 (スコア:3, 参考になる)
ところで,こういうものに感染したと怒る人って,自分にも非があるということに気が付かないのでしょうね・・・
ところで (スコア:1)
クラックされたんでしょうね。
記事の要点としては重要ではないとか、事後調査がまだ終わってない
ということもあるのでしょうが、広告会社の説明にも英語の記事にも
サーバーのOSや突かれた脆弱性の情報が載っていないのですよね。
Re:ところで (スコア:2, 興味深い)
汎用サーバにバランス機能を載せたものか専用アプライアンス(?)かは分かりませんが、
普通「ロードバランサー」と書いたら専用のハコだと思います。
#656795 [srad.jp]のTameShiniTottaさんのコメントにもありますが、私もクラックされたバランサーと、
その入り口となった脆弱性が気になります。
ロードバランサーなんてたいてい独自アーキテクチャの独自OSだろうから、
単にパスワードが推測されやすいモノだけだったんちゃうんかと。
甘いですなぁ、ネットワーク管理。
Re:ところで (スコア:2, 参考になる)
PC ベースの製品も多いっつー話もありましたね。 [google.co.jp]
F5 使ってるけど実機見たことない。
CE さんは「まんまPCだった」って言ってたな…
> 単にパスワードが推測されやすいモノだけだったんちゃうんかと。
そもそも、ふつうはLB管理用のネットワークは非公開なんじゃないかなぁ。
発表によれば
>> Unauthorized access was possible only as a result the
>> intentional exploitation of a weak point of a network
>> load balancer located in the EU datacenter.
Unauthorized access ってのが具体的に何なのかがわからんが
例えば「内部ネットワークからなら無認証」って状態だったら
内部犯行なんだから内部の管理をしっかりすべきだし、
「インターネット経由で制御可能だった」ってことなら、
パスワードに何を使っていたかとかはさておき、
そういうネットワーク構成に問題があるよーな気がする。
まぁ現状ではそんな状況を妄想するだけですが。
# mishimaは本田透先生を熱烈に応援しています
Re:ところで (スコア:1)
ロードバランサーが狙われるというのは確かに珍しいですね. 普通に考えれば汎用サーバよりも機能が限られているだけに穴は少ないはずですから.
それにしても外側のネットワークから直接攻撃されたのか, 一旦内部のPCかなにかにトロイの木馬を送り込まれて, そこを足場として内側から攻撃されたのか, 具体的な方法が知りたいですね.
Re:ところで (スコア:0)
あったりするので、専用ハコだからといって甘く見ては
いけないですね。
ゲートウェイタイプのウイルス対策用アプライアンスのハコも、
単なるLinuxハコをちょこっとチューニングして、専用の
アプリケーションを入れただけだったりしますから。
Re:ところで (スコア:0)
今もそうかは知らないけど。
Re:ところで (スコア:0)
サーバOSについての情報がないということは、もうわかりましたね?
# 信憑性ゼロなので注意。
Re:ところで (スコア:0)
表の声
裏の声
Bofra・・・ (スコア:1)
ほんとはなんて読むんだろ
M$、ようやくパッチをリリース (スコア:1)
で、絵でみるセキュリティ情報:MS04-40 [microsoft.com]をみると、
Micro$oftに被害届が出されていないと、被害がないことになっちゃうのでしょうね(どなたかお願いします。笑)。ちなみに「adwareさんも利用」という記事がセキュリティホールmemo [ryukoku.ac.jp]に追記されていました。同じ穴の… (スコア:0)
一文目 (スコア:0)
ITmediaの記事より。IE6のIFRAMEの脆弱性を悪用するコードが仕組まれたバナー広告がヨーロッパで数多く確認されていることを、SANS Institute社が発表しました。この脆弱性はSP2以外では対応されていません。
この程度に区切って書いてほしかったです。
件の脆弱性を知っているからよかったものの、知らなかったらもっと混乱してたかも。
Re:一文目 (スコア:3, おもしろおかしい)
-- 星を目指さない理由は何もない -- 「MISSING GATE」by 米村孝一郎
Re:一文目 (スコア:0)
↓
太郎が食べた、と二郎が言った、と三郎が思い出した。
というパターンでしょうか。
Re:一文目 (スコア:1)
{{アレゲなニュース}と雑談}サイト
{アレゲな{ニュースと雑談}}サイト
{アレゲな}{ニュースと雑談}サイト
どれなんでしょう?
1を聞いて0を知れ!
Re:一文目 (スコア:0)
Re:一文目 (スコア:0)
三郎が{二郎が{太郎が食べた}と言った}と思い出した。
でも良いかも。
Re:一文目 (スコア:1)
#俺も賛同してるのでG7
Linuxでも安心禁物 (スコア:0)
全く安心できるとはかぎらないですね。
結局、地道な防犯対策しかない、ってことですね。
(その点は、コンピュータでも日常生活でも同じ、か...)
Re:またIFRAMEか (スコア:1)
(同僚からのメールで「あのモー娘。のサイン買っちゃうところだったよ、たぶんあれだ」とあったのでID)
Re:それを言うなら (スコア:1)
# Firefox 1.0 for OS/2ユーザーなのでID
Re:またIFRAMEか (スコア:0)
Re:またIFRAMEか (スコア:0)
アシモフの作品でそんなのがあったような
Re:またIFRAMEか (スコア:0)
Re:またIFRAMEか (スコア:0)
つーかiframeが悪なのではなく(以下ry
Re:またIFRAMEか (スコア:1)
今のIE (5.5/6.0)に、iframeは不可欠です。
# これをもっと早く発見できていれば……。
Re:またIFRAMEか (スコア:0)
これ、JavaScriptのオブジェクトが死んだりするんで嫌なのですよ。
かといって、Content-Disposition: attachmentにしないとブラウザの 中でファイル開いてくれますしね(Excelとか)
mozillaではこの現象みられません。
ダウンロード関係のボタンをtype="submit"にすればよいみたい。
Re:またIFRAMEか (スコア:1)
うちで起こったのは、frameの中にあるファイルダウンロード用のボタン(type="submit")を押すと、JavaScriptのオブジェクトの一部がお亡くなりになるという現象でした。で、それを回避するために、iframeな枠(display:none)を作り、そこに向かってformのデータをmethod="GET"で送ると。