テンプレートが書き換えられている！

テンプレートが書き換えられている！に関する記事です。

ブロガーの皆様に緊急警告＆読者様にお願い

本日未明、ねこねこサンタ様より当ブログにウィルスを発見というコメントを頂き
万が一を考えて対処が終わるまで非公開にしておりました。
その間にご来訪いただいた方にはご心配をおかけしてしまって申し訳ありません。

問題の原因がわかりましたのでご報告いたします。
発見されたウィルス：Exploit-RealPlay
これをグーグル先生にきいてみたところ
マカフィーのこちらのページで見つけることができました。
種別：トロイの木馬タイプ　だそうですが
これの関連でWoWのパス抜きに使われたという事例も見つかったので（→こちら）
当ブログを読んでいただいた皆様は大変お手数ではありますが
是非ともウィルスチェックをして頂きたい。
以下にオンラインのウィルスチェックをいくつかお知らせしておきます。
・シマンテックセキュリティスキャン
・カスペルスキーオンラインスキャナ
・ウイルスバスターオンラインスキャン
いずれも無料で利用できるものですが、
FireFoxからの利用はできませんのでIEからアクセスしてチェックしておいてください。
ちなみに、私のPCは感染していませんでした。

そして、今回最も驚いたことは
テンプレートが勝手に書き換えられている！　ということ
FC2ブログ利用の皆様には是非とも注意していただきたい。

まず、今回の騒動に非常に短時間で対処できたのは
第七猫様のFF11　ペット狩り黒猫奮闘記のウイルス検出について【報告】という記事に
大変詳細なマトメがしてあり、ココに辿りつくことができたからであります。
こちらのブログ様と全く同じ症状だったので
本当に素早く、悩まず対処することができました。大変感謝いたします。
自分のブログでウィルス発見なんてホントニ洒落にならないぐらい慌てましたヽ(;´д｀)ノ
追記：
当ブログにも＜iframe src=httｐ://ｗww■dda3■net width=0 height=0＞＜/iframe＞
という見たこともないインラインフレームが追加されていました。
//www.dda3.netというURLはRealPlayerの脆弱性を利用して
/sys.exeをダウンロードさせて実行
リネージュのパス抜き機能が確認され他にも機能があるかも？
（コメントによる、解析人さんからの情報提供です。大変感謝）

ブロガーの方は上記リンクを参考に、まず自分のブログをチェックし
該当症状があった場合には素早く削除すると共にサービス提供元に報告しましょう。
R-typeも今回の件、FC2に報告済みです。
（以前お知らせした名前パクリのところはちゃんとアカウント停止措置となっていました。）

そして上記リンク様をみてもわからなかったという方の為に
とりあえずこれだけやっとけFC2編　をお送りします。
まず、ブログ編集用のページにアクセスします。
そして左側の環境設定というところからテンプレートの編集をクリック

赤い楕円で囲ってあるところをクリックです。

開いたページでCtrlキー+Ｆを押して検索画面をだしたら
①＜iframe　を検索
②＜iframe　src="http://ｘｘｘｘ。ｘｘｘ。ｘｘ"　というのが見つかった場合
　その後ろの記述をチェック。
③width=0 height=0　もしくはwidth="0" height="0"　という記述だった場合
　限りなく怪しいので、＜iframe＞～＜/iframe＞までを削除してしまってok!

これはかなり乱暴な説明ではありますが、通常のテンプレートの場合
高さと幅が０のインラインフレームが組み込まれているとは考え難いので
見つけたら何か悪質なものと思って消してしまって問題ないとおもいます。

皆様の安全なヴァナライフの為に、ブロガーの皆様は一度確認しておくことをオススメ致します。

そして一番の問題は
ナゼコレが勝手に書き加えられてしまっているのか！ということ
本来テンプレートの編集はブログ主しか行うことができないはず。
FC2の回答としてはログインパスワードを盗まれて、他の人が勝手にブログにログインして
テンプレートに書き加えた可能性があるということです。
私も早速パスを変更しましたが、私の場合かなり長いパスワードだったので
偶然に解析されるということもないですし、パスを紙に書いて落としたということもありません。
とりあえずパスの変更はしましたが・・
うちだけでなく、第七猫さんのところでも同じことが起こっていると考えると
実はパスが判らなくても改竄されてしまうような脆弱性や、
パスがカンタンに解析されてしまうようなことがあるのではないか？と、思えてしまいます。
当面は注意深く監視していこうとおもいますが、
皆様も自衛を怠ることのありませんように！

えぇぃ業者め
こんなことに手を煩わせている場合じゃないのに！！

CM
アインシュタインの脳・集中力をつけるCD
パチンコ必勝完全マニュアル

↑オンラインゲームブログランキング参加中

[RSS]

≪両手斧とストアTPの関係 | ホーム | 【戦士ソロ】「何もできない」なんていわせない【からくり士AF３】≫

この記事へのコメント

業者はそこまでしてくるんですね～(-.-;)

うちはほぼ日記なので情報配信するって程でもないですが、それでも見にきてくれている方を危険な目にあわせるわけにはいきませんよね。PCが使える時間になれば、私も確認したいと思います(>_<)

2008/03/03(月) 12:37 | URL | ふぇり #-[ 編集]

はじめましてー！

いつもROMっていましたが今回は流石にこれは；；；

情報ありがとうございます！
こちらのブログでも注意するような内容の記事書かせていただきます(´；ω；`)

2008/03/03(月) 13:06 | URL | そるふぁ #FOTi0RoY[ 編集]

なんだか，いろんなとこで大変なんですね・・・PCについては，さっぱり無知なので・・・．
この問題ってこうやって普通に読んでるだけの人には何か影響はあるんでしょうか？

2008/03/03(月) 17:26 | URL | Blood #oOBmnrVY[ 編集]

>>ふぇり様
まさかテンプレが改竄されるなんてほんとにショックでした。。

日記だろうが業者はきっと容赦なくやってきます((((゜д゜;))))
どうかお気をつけください。

>>そるふぁ様
実はおいでになっていたことはずっと前から足跡で存じておりましたｗ
ＦＭのあとの数字に意味があるのかと勘ぐっているところです(・×・)
テンプレ改竄はちょっとオオゴトなので注意を呼びかけて一人でも多くの方に知ってもらえたらとおもいます。

>>Blood様
ブログを読んでいるダケの場合には
知らない間にウィルス入りのページを読み込んでいる可能性があるので、お手数ではありますがウィルスチェックをよろしくお願いします。
ウィルス除去と共に、POLのパスをPC内に格納していた場合は速やかに別のパスへ変更しておくことをオススメ致します。

今のところ、旧型のRealPlayerがインストールされていなければ被害はでないのじゃないかなとおもっていますので、最新版にアップデートされているか、パッチがあたっていればたぶんだいじょーぶ。
感染してる人は少ないとは思います。

が、しかし、ウィルスチェックだけはしておいたほうがいいですっ

2008/03/03(月) 20:53 | URL | R-type #UuvXpI/I[ 編集]

ひゃっはーヽ(´ー｀)ノこれはｗｗｗｗ
うちのＰＣからみるとずいぶん前からテンプレート崩れてたのと関係あるんでしょうかねぇ？
今ウィルスチェックちぅｗ

2008/03/03(月) 21:14 | URL | しゃむ #JalddpaA[ 編集]

>>しゃむさま
ちょっ　そういうことはハヤクイウっ！ヽ(;´д｀)ノ
テンプレ今も崩れてるのかな
使ってるブラウザとOSの詳細もplz
基本的にうちはFireFoxとIE6でしか確認してないから
他の環境で見てるとどうなるのかわからないんですよねぇ。。。

2008/03/03(月) 21:22 | URL | R-type #UuvXpI/I[ 編集]

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

2008/03/04(火) 02:59 | | #[ 編集]

はじめまして、某青魔道士のFF11雑記と言うブログをFC2で管理している者です。

当方でも改竄を確認いたしました。
注意を促す記事にてリンクさせていただきましたのでご連絡にあがりました。

こちらの記事のおかげで比較的早期に発見することが出来たこと感謝いたします_(._.)_

2008/03/04(火) 04:41 | URL | 某青魔道士 #-[ 編集]

こんにちわ！
【ヤーン】ばれてたんですね！
…ばれてるもなにも、設定で「足跡残す」にしてれば解りますよね(￣ω￣;)

しょぼいながらも戦士してるんで参考にさせて貰っております！

613は…む、無(6)意(1)味(3)なんです(/ω＼)ｸ､ｸﾀﾞﾗﾅｨ

2008/03/04(火) 09:44 | URL | そるふぁ #FOTi0RoY[ 編集]

dda3が罠サイトです。利用する脆弱性はRealPlayerで、
スクリプトを見る限り多くのバージョンに対応しています。

dda3がダウンロードし実行するのは/sys.exeで、検体をVirusTotalでスキャンしましたが珍しく「全滅」です。
RealPlayerは最新版の11でも「現時点で」大穴が開いており、塞がれていません。アンインストールを推奨します。

バイナリを見る限りLineage2のパス抜きと思われますが、他にも機能はあるかもしれません。
ブログのテンプレート書き換えが「もし」頻発しているなら2つ考えられます。
・FC2本体が(社内の誰かが踏んだなどで)食われた←あまり考えたくない。
・貴殿がどこかで踏んで、それがブログの管理画面のIDとパスを送信した。←ありがち。

2008/03/04(火) 10:11 | URL | 解析人 #e0aAybls[ 編集]

>>某青魔道師さま
お役に立ったようで何よりです。
リンクフリーですので好きなように張ったりはがしたりしてくださいませ。

>>そるふぁさま
おおぉぉ
なんと！意味は無いという意味だったのですね！！

目から鱗！

>>解析人さま
詳しい情報ありがとうございました。
時間の取れるときに本記事のほうへ反映させていただきます。
テンプレ改竄騒動は今回が初めてではありますが、他にも被害にあわれている方が複数おられること、
私のPCはウィルスチェックで特に怪しい物は見つからなかったこと、
ネットカフェ等からFC2にログインしたことがないことなどを考えると、
何か余程のことがあったんじゃないかと思えてしまうのですよねぇ。
とりあえず被害者が出ないことを祈ります。

2008/03/04(火) 12:24 | URL | R-type #UuvXpI/I[ 編集]

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

2008/03/04(火) 20:22 | | #[ 編集]

>>秘密の方
情報提供＆ご指摘ありがとうございます～早速なおしておきます

結局自分が感染してないこと以上はわからないR-typeさんでした(´Д｀;)

2008/03/04(火) 21:51 | URL | R-type #UuvXpI/I[ 編集]

ウィルス感染なし、スクリプトもでてきませんでしたｗ

テンプレートの崩れは今は直ってますね。
イラストの部分(右のカラム)が記事下に落ち込んでたんですよ、以前は。
あの記事にでっかいSSそのまま張っちゃったときにはみ出しちゃってテンプレ崩れる、みたいな感じ・・・。

当方IE6のXPです。

2008/03/05(水) 00:43 | URL | しゃむ #JalddpaA[ 編集]

なるほど。
だからここでくるたびにウィルスソフトが頻繁に動いたわけだ。
被害が出てない事を祈る限りです。

しかしかの農薬の国は何でもありだわね。

2008/03/05(水) 03:50 | URL | つ #-[ 編集]

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

2008/03/05(水) 04:27 | | #[ 編集]

業者は次から次へといろいろやってくれますな・・・。
しかし今回のテンプレ改竄は悪質です。
当ブログも目を　＜●＞　＜●＞　のようにして点検しましたが、
今のところ無事みたいです。
ウィルス感染もないので大丈夫とは思いますが。
知識がないので不安ですー！(´つω；`)

2008/03/05(水) 12:10 | URL | シンバ #-[ 編集]

>>しゃむさま
被害がなくてなによりです。
右カラムが落ちてたのは別の原因ですね。
FireFoxでは正常だったので放置してましたが、今後気をつけます。
せっかく書いていただいたイラストもみえなくなっちゃいますしね(*゜―゜)

>>つ様
おぃぃ、そういうことはハヤクイウ

>>シンバ様
そちらに被害がなくてなによりです。
暫らくは定期的なチェックが必要かもしれませんねぇ

2008/03/05(水) 14:26 | URL | R-type #UuvXpI/I[ 編集]

こ、こりゃ大変だ･･･！
うちもチェックしてみましたが
何もなかったんでひとまずセーフ･･･

注意喚起としてうちのトップページに張らせてもらいます･･･。

2008/03/05(水) 15:58 | URL | 内藤(樽) #-[ 編集]

困ったものですね

自分のサイトを持ってる身からしても、業者が居なければ、もっと沢山の情報を供給できるのですが。業者が居るせいで、自分のサイトの宣伝も中々出来ないのも悲しいです。呑むしかないかな。

2008/03/06(木) 20:23 | URL | 石屋のまいく #JalddpaA[ 編集]

どうやってFC2のパスを抜いたのでしょうかね。
なんともダルイ事態になったものです(´＿`。)

自分もいつどこでパス抜かれて改竄されるかわからないので気をつけようと思います。

2008/03/06(木) 21:53 | URL | やんぼう #v14okzU2[ 編集]

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

2008/03/07(金) 12:39 | | #[ 編集]

管理人のみ閲覧できます