nazolabo

フリーランスのWebエンジニアが近況や思ったことを発信しています。

【復旧済】jp2.php.net/docs.phpがクラックされ中

iframeが仕込まれています。

918 : ニーチュ(福岡県):2008/06/02(月) 07:34:44.02 id:fDXxYyKb0
憶測も交えてもうちょっと。長くなるので分けます

pp■cool0■biz/bmw/am1■htm?34-8681
  ゆずソフトのサイトにiframeで仕込まれていたURL。以下の各種URLを呼び出す。

pp■cool0■biz/ax14■htm
  VBScriptコードを生成する。IE以外は関係ない。
  ActiveXコントロールの脆弱性をつくもの。
  2006年の脆弱性であり、Windows Updateを行っていれば感染することはない。
  ↓参考URL
  http://www.microsoft.com/japan/technet/security/bulletin/MS06-014.mspx

pp■cool0■biz/re10■htm
  JavaScriptコードを生成する。IE6もしくはIE7でなければ何もせず終了する。
  RealPlayerActiveXコントロール(IERPCtl.IERPCtl.1)の脆弱性をつくもの。
  IEユーザーでRealPlayerをインストールしており、
  2007/10/25以降アップデートを行っていない場合感染の可能性がある。
  ↓参考URL
  http://pc.nikkeibp.co.jp/article/NEWS/20071022/285084/?ST=pc_news

www■tongji123■org/axfs■htm
  IEの場合は4561.swfを呼び出し、Firefoxなどの場合4562.swfを呼び出す。
  Flashプラグインの脆弱性をついたもので、ブラウザに依存しない。
  Flashプラグインのバージョンが9.0.124.0(最新版)未満であれば感染の疑いがある。
  ↓参考URL
  http://blog.trendmicro.co.jp/archives/1380

続く

919 : ニーチュ(福岡県):2008/06/02(月) 07:35:28.09 id:fDXxYyKb0
続き

pp■cool0■biz/axlz■htm
  ActiveXコントロールが呼び出せなければ呼ばれないのでIE以外には関係ない。
  ActiveXコントロールOurgame 'GLIEDown2.dll'の脆弱性をつくもの。
  Ourgameは中国のオンラインゲームサイトで、そこで使われているActiveXコントロール。
  日本人にはほとんど関係ないと思われる。
  ↓参考URL
  http://www.symantec.com/avcenter/attack_sigs/s22935.html

pp■cool0■biz/re11■htm
  ActiveXコントロールが呼び出せなければ呼ばれないのでIE以外には関係ない。
  RealPlayerActiveXコントロールの脆弱性をつくもの。
  IEユーザーであり、RealPlayerのバージョンが11.0.2未満の場合感染の可能性がある。
  ↓参考URL
  http://japan.cnet.com/news/sec/story/0,2000056024,20369230,00.htm

js■users■51■la/1564751■js
  アクセス解析

http://namidame.2ch.net/test/read.cgi/news/1212288872/

多分これと同じ
http://php.net/関数名」でjp2に飛ばしてた方は注意してください。

2008-06-02 11:23:00追記

トップページも書き換えられています。

2008-06-02 16:16:00追記

ethna.jpも同様の現象が発生してて、サーバダウンさせています。
jp2.php.netも現在は停止中のようです。

2008-06-02 17:58:00追記

ethna.jpは復活したようです。
両者のホスティング元のさくらインターネットから障害告知が出ました。
http://support.sakura.ad.jp/page/news/20080602-001.news

2008-06-02 18:20:00追記

jp2.php.netも元に戻ったようです。

2008-06-03 09:17:00追記

http://d.hatena.ne.jp/maru_cc/20080602/ethna_jp_ifreame
こちらに詳しい状況が書かれています。