掲示板お問い合わせランダムジャンプ

トップスペース
rss-reader.png taRgrey  削除ガイドライン  おしらせ  SPAM対策  専属DJのブログ  BOF  SPAM対策別館

2009年07月10日
危険なアクセス解析
ブログをご利用の方は自分のブログのアクセス状況を解析してくれる「アクセス解析ツール」を利用している事が多いと思いますが、7月7日前後に、
XREAの無料アクセス解析サービス AccessAnalyzer にウィルスが仕込まれました。

「リネージュ資料室」さんの記事より

http://lineage.paix.jp/guide/security/virus-site.html#XREAAX

とのこと。

XREAの無料アクセス解析サービスをブログ等で利用している場合、そのブログを閲覧しただけではウィルスに感染することはありませんが、ブログの所有者がアクセス解析結果を表示する画面を表示した際、PCに脆弱性があるとウィルスに感染するようです。

他にもブログパーツ等のプログラムにも影響するかもしれない事例として、
https://www.netsecurity.ne.jp/3_13598.html
この様な記事もありましたので、無防備に「ブログパーツ」とか拾ってきてブログに貼り付けるのもリスクがあることをお忘れなく...

「てくてく糸巻き」さんの情報より

*追記
改竄部分が変わったかのように書いたのだが、2台あるax.xrea.comの内219.101.229.188が元々改竄されていて、不正コードはHEADタグの中に書かれていた。

んで、もう1台の219.101.229.189は改竄されていなかったらしい(2chによる)のだが、解析ページの100行目ぐらいのTABLEタグの前に不正コードが書かれている。
で、トップページを見ると、確かに219.101.229.189は改竄されていないかのように見える。

www.okubo.tk/blogさんの情報から

これはax.xrea.comがロードバランサーにより冗長化されていて、片方は改竄されていないという情報があったけど、実は改竄された箇所が違うだけでどちらもやられてるって事の様です。

追記 1)
やっと公式アナウンスが出たようです。

解析サーバーの不具合について(2009/07/21)

「正直に申し上げますと」って、公式アナウンスですか??
公式アナウンスまでに時間がかかりすぎなのはもちろん、その内容を見ると唖然としてしまいます...
お客様 各位

平素はアクセスアナライザーをご利用いただき誠にありがとうございます。

下記内容で、アクセス解析用のサーバーにおきまして不具合がございました。

○内容
分散しておりますデータ解析用のサーバーの2番目のサーバーにおいて、7月7日
頃から改ざんされ、不正なページ(10日頃までウィルスが自動ダウンロードさ
れていた)へリンクするスクリプトが設置されておりました。
21日までにサーバーを交換し最新版のソフトウェア、設定に切り替え、運用を
再開しています。

○原因・経緯
サーバー、ソフトウェア共に、外部に構築依頼しておりましたが、昨年、同様
の問題(ホームページ編集用のパスワードが受託者以外に漏れていた問題)が
あった以後から、管理を引き継いでおりました。正直に申し上げますと、委託
契約を解除し、そのままシステムを引き継ぎましたが、1番目の解析用サーバー
は、昨年、自社管理のシステムに移して運用中でございましたが、2番目のサー
バーについては、直接の問題対象外であったということもあり、システム移行
作業を怠り、前システムのまま、つまり、類似の問題が解消されない状態で運
用されておりました。

この度、2番目、合わせて3番目のサーバーについて自社システムに切り替え、
運用を再開しました。

対応に関する不手際、対応時間など、問題自体以外にも、多々問題があり、大
変申し訳なく思っております。本件について猛省し、再度、セキュリティ対策
を講じたいと存じます。

この度は、ご迷惑、ご心配をおかけし、大変申し訳ございませんでした。

今後ともよろしくお願い申し上げます。

以上です。

2009/07/21 06:00 AM


追記 2)

アクセス解析よりももっと深刻な問題として、ドメイン管理ページの改竄も発生していたわけですが、こちらも #やっと# 公式アナウンスが出ました...

http://value-domain.com/info.php?action=press&no=20090721-1
■ログインページにおける不正表示について

お客様 各位

平素はバリュードメインをご利用いただき誠にありがとうございます。

下記内容で、ログインページにおきまして不正表示がございました。

○症状

7月6日、ログインページにて、ウィルスダウンロードを誘導するページへのリ
ンクが設置されていました。ウィルスについては下記が参考になります。

Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について
 http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html

○事実・経緯

7月6日朝に、新しい機能に対応するため本番用ウェブサーバーのメンテナンス
作業を行いました。その際の流れは、下記の通りとなります。

通常、メンテナンス時は、普段は停止中である代替用ウェブサーバー(202.222.
31.78)をアクセス可能にし、本番用ウェブサーバー(202.222.31.77)からウェブ
ページをコピーし、DNSの切り替えと、データベースサーバー側での受け入れ認
証設定の変更を行い、本番用サーバーの作業をします。また、本番用サーバー
がアクセス不能である場合は、割り当てIPを即座に切り替えて、障害に対応す
るようになっています。メンテナンス終了時、また、障害解消時に、本番用サ
ーバーに戻し、運用を再開します。

そのメンテナンス時に利用した代替用ウェブサーバーにて、不正改ざんページ
が設置されておりました。

同日夜、メンテナンスが終了し、および、DNSの切り替えが反映されると共に
症状は解消されました。


○原因・調査結果

代替ウェブサーバーでの書き換えについて、本番用、代替サーバー内、および
DBサーバー等のログ等の調査を行いました。システム的な乗っ取りは確認でき
ず、手動アップロードであると確認しました。また、本番用のログインページ
の表示はプログラムで生成していますが、不正ページはプログラムで動作する
形ではなく、静的なHTMLファイルが書かれているページ・HTMLテンプレートで
した。

代替サーバー自体の運用に問題あり、ウェブサーバーを停止し、対策を行いま
した。

根本的な解決策ではありませんが、少なくとも症状を回避するには、代替サー
バーに本番用サーバーの最新データを強制上書きして運用すべきでした。
ログインページ自体の開発、変更をしばらく行っていなかったため、代替サー
バーの不正なページファイルの変更時間の方が、本番用サーバーよりも新しか
ったため、上書きされずに不正なファイルが残り、表示されてしまいました。

復旧後の調査でございますが、代替サーバーでの調査では、ログインページ以
外の動作はなく、その他の被害はございませんでした。また、DBサーバーへの
アクセス等も調査を行いましたが、パケットでのフィルタ、ソフトウェアでの
フィルタ等を行っているため、アクセスはございませんでした。


ブラウザIEで、ログアウトされている状態で、新しくログインページを開いた
お客様が閲覧された可能性があると存じますが、ログ、最終ログイン時間等の
判断で、約90アカウントと判断しております。6日朝〜夜に新しくログインし
た履歴のあるお客様のアカウントにおきましては、注意表示をするようにして
おります。また、ログインユーザ名が特定できたお客様には、個別にお詫び
と確認のメール連絡を差し上げています。




対応に関する不手際、時間など、問題自体以外にも、多々問題があり、大変申
し訳なく思っております。特に遅くなった情報提供、アナウンスについての体
制、姿勢を深く反省し、今後の改善につなげて参りたいと存じます。

この度は、ご利用の皆様には、ご迷惑、ご心配をおかけし、大変申し訳ござい
ませんでした。


今後ともよろしくお願い申し上げます。

以上です。


[ 投稿者:Cookie at 12:57 | お知らせ | コメント(0) | トラックバック(0) ]

この記事へのコメント

この記事へのトラックバック

この記事へのトラックバックURL
http://shinshu.fm/MHz/77.88/a00055/0000288712.trackback

この記事の固定URL
http://shinshu.fm/MHz/77.88/archives/0000288712.html

記事へのコメント
 
簡単演算認証: 9 x 9 + 5 =
計算の答えを半角英数字で入力して下さい。
名前: [必須]
URL/Email:
タイトル:
コメント:
※記事・コメントなどの削除要請はこちら