改竄の顛末とFC2ユーザーへの注意喚起

改竄の顛末とFC2ユーザーへの注意喚起 に関する記事です。
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

[RSS]

ブログのテンプレートがまたもや改竄されていました。
皆様にはご心配とご迷惑をおかけしましたことをお詫び申し上げます。


改竄されて仕込まれていたウィルスに関しては先にお知らせしている通り
0dayのトロイを含む複数のトロイによりキーロガーをダウンロードさせるもの。
特にIE6、IE7に関しては自動的にウィルスをダウンロードしている可能性あり。
FireFox+NoScriptではスクリプト自体がブロックされるので被害無しでした。

まず、感染が疑われる人へ…
1.FFのアカウントに関して
→セキュリティートークンを利用していればとりあえず安心
→トークン使ってない場合はクリーンな環境からのパスの変更が必要。
2.その他の被害
→HPやネットバンク、その他オンゲの暗証番号を抜かれる可能性もあり
 →PCの安全が確保されるまで暗証番号等の入力を行わない
OSのクリーンインストールを行い安全が確保された段階で
各種暗証番号等の変更をするのが一番安全。

もうひとつ気になる点は、
ナゼ改竄を受けたのかということ。

なぜ改竄を受けたのか?という問題に

FC2だからと安易な答えを求めるのは簡単ですが…
それでは安心できる運営はどこなのか?
なにか問題があるたびに引っ越しを行うのか?
単純に利用者が多いから狙われただけなのか?
抜本的な問題があるのか?

まずは管理人である私のFC2IDのパスの管理の問題を検証。
テンプレート改竄の直後(7/7)からプライベートモードにして
何社かのオンラインスキャンをフルスキャンで実行。
結果的には何もでてきませんでした。
定義ファイルに載っていないウィルスという可能性も無いことは無いのですが
変異性の高いトロイならまだしもキーロガーの様なパスを盗むもので?
というと考えにくいかなぁとは思います。
とりあえず既知のウィルスの様なものには感染していなくても
改竄が起こりえるということ。


FC2側の問題としてXSSの脆弱性が指摘されています。
セキュリティコラムやヘタマンガを書いている PRISONER LANGLEY のブログ
こちらのブログの「どうも脆弱性があるらしい」という記事。
htmlやらの知識はさっぱりの私ですが
要約するに「ul=*********」という記述がソースにあるとまずいらしい
これを悪用することによって悪さをすることが可能なようで
今回改竄を受けているFC2ブログの全てでこの記述が見受けられます。
もちろん記述があっても改竄されてないところもあるわけですが…
何らかの方法でクッキーを抜いておいてそこから
管理画面への認証を済ませて改竄を行っているのでしょうか・・・
ソレナラクッキー盗む物が検出されてもいいようなきもしますけどヽ(;・ー・)ノ
そこら辺は知識が足りないためよくわかりませぬ。

今回の改竄についての関係性は別として
XSSの脆弱性としてソースに「ul=*******」を利用しているのが問題なのは確か。
FC2のブログパーツでいうと
「メールフォーム」「ブログ内検索」に利用されているのを確認
また一部の「ユーザーテンプレート」にもこの記述があります。
これらブログパーツのソースが改良されるまで、外しておくことをオススメします。

確認方法は
ブラウザの「表示」→「ページのソースを表示」でソースを表示して
ctrl+Fで「ul=」検索 
これが記述されているプラグインを探して管理画面から削除。



というわけで当ブログも
「メールフォーム」をはずしました。
御用の方はコメント欄に呼び掛けて頂けるようお願いいたします。
メールアドレスをご記入になる際には非公開コメントをご利用ください。


CM
アインシュタインの脳・集中力をつけるCD
セキュリティーソフトのトレンドマイクロ・オンラインショップ
人気ブログバーナー
↑オンラインゲームブログランキング参加中

[RSS]

コメント
この記事へのコメント
ぎゃあああまたですか!;
モテるのも考え物ですな(何
FireFox+NoScript使ってるせいか最近結構無頓着で・・
気を緩めずに管理しなきゃいけませんね;
がんばってください。
2009/07/11(土) 08:19 | URL | Xandlla #hE4kmW4M[ 編集]
ぬはー、お早い戻りで安心しました 。・゚・(ノ∀`)・゚・。

これで、テンプレとソース両方定期的にチェックしないとなんですねε=(〜ω〜;)
2009/07/11(土) 22:29 | URL | そるふぁ #vNL4O1UA[ 編集]
色々と大変ですね…対応のほうお疲れ様ですw
あまりテンプレートを弄らないのでよくわかってませんが、狙われ易い原因とかあるのでしょうかね?(;つД`)
他のブログ様でも同じ現象をいくつか確認したのですが全部FC2でした…
私もFC2なので、こういう事態が多発するFC2ではなく、他のところに乗り換えることも視野に入れたほうがいいのかと、ちょっと悩み中です。
2009/07/11(土) 23:41 | URL | ねこねこサンタ #2kbNzpR6[ 編集]
>>Xandlla さま
ありがとうございます
自分たちの環境でいえばNoScriptでほぼ確実にブロック出来てしまうので
油断しがちなんですよねぇ・・・
ワンタイムパス導入でアカウントの方も安全ですし。
ただ、やはりトークンを利用されてない方でアカハックの実態被害も出てしまっているようです。

>>そるふぁさま
今回は結局三日ほどしめておりました
正直もう閉めてしまおうかとも思いましたヽ(;・ー・)ノ

>>ねこねこサンタ さま
私も素人なので結局根本的な原因が何だったのかということになりますね。
私も何件かFC2で被害にあわれたブログを確認しています。
もう少し様子をみつつ移転も視野にいれて検討中です。
もういっそブログをあきらめてhtmlとCSSだけのページにしてしまおうか…
2009/07/12(日) 04:33 | URL | R-type #UuvXpI/I[ 編集]
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
http://ffxiwar.blog91.fc2.com/tb.php/359-1c5adad1
この記事にトラックバックする(FC2ブログユーザー)
この記事へのトラックバック
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。