https://babibubebo.org/tags/web/ Recent content in Web on ばびぶべぼ研究室 Hugo -- 0.147.9 ja Mon, 20 Jan 2014 08:16:24 +0000 https://babibubebo.org/blog/a736/ Mon, 20 Jan 2014 08:16:24 +0000 https://babibubebo.org/blog/a736/ <p><a title="GMOデジロック" href="http://www.digirock.jp/" target="_blank" rel="noopener">GMOデジロック</a>(旧デジロック)が運営する共有レンタルサーバー「<a href="http://www.value-server.com/" target="_blank" rel="noopener">VALUE SERVER</a>」が、クラッキングされ、<br> Indexページ改ざんという被害が発生しています。<br> 改ざんが確認されているのは「s1.valueserver.jp」(IP: 157.7.184.16)サーバーです。</p> <p>発生日時は2014/1/19 16:40で、1/20 2時～3時頃まで改ざんされたページが表示される状況でした。<br> また、復旧後も対策漏れがあり、1/20 17時～18時に再び改ざんされてしまいました。<br> 現状につきましては、公式の<a href="http://mainte.value-domain.com/eventview.cgi?host=www.s1.valueserver.jp&amp;no=18">障害情報ページ</a>にて発表があります。</p> <p>現時点では、悪意のあるページに改ざんされたり、リダイレクトされるようなことは確認されていません。</p> https://babibubebo.org/blog/a580/ Sat, 22 Dec 2012 14:45:39 +0000 https://babibubebo.org/blog/a580/ <blockquote> <p>W3Q: <a title="あぁ諸行無常…2012年にサービス終了したWebサービスまとめ23個" href="http://w3q.jp/t/3316" target="_blank">あぁ諸行無常…2012年にサービス終了したWebサービスまとめ23個</a></p></blockquote> <p>本年も様々なWebサービスが終了しました・・・</p> <p>個人的に大きいのは、「<a title="Google Apps（無償版）" href="http://support.google.com/a/bin/answer.py?hl=ja&answer=2855120&ctx=cb&src=cb&cbid=-j6f96misb4b5&cbrank=2" target="_blank">Google Apps 無償版</a>」ですね。<br> 2012年12月6日以降、新規アカウントの登録は終了したとのことです。（既存ユーザーは継続）<br> 事前にこの告知がされていたのはどうかは知りませんが、私は終了当日にGoogle Appsのアカウントの方のメールにて初めて知りました。<br> 思い返せば以前から、最大50ユーザーが10ユーザーに削減されたりと、無償版サービスの提供が縮小傾向だったことは確かです。<br> これほどのサービスを無償で利用できるのは皆無といってもよいので、非常に残念です。</p> https://babibubebo.org/blog/a503/ Tue, 17 Jul 2012 21:30:24 +0000 https://babibubebo.org/blog/a503/ <p>一昨日16日に、本サイトを動かしているサーバー機を更新しました。<br> これに関しては、また<a href="https://babibubebo.org/blog/507" title="サーバー機更新内容">後ほど詳しく</a>書こうと思います。</p> <p>また、16日～17日にかけて、サーバーの設定ミスによりアクセス不能となっておりました。<br>  わざわざ零細サイトにアクセスしようとしてくださった方、申し訳ありませんでした。<br> 一応確認したつもりだったんですが・・・<br> いち早く異常を報告してくれたGoogleウェブマスターツールに感謝です。</p> https://babibubebo.org/blog/a492/ Sat, 07 Jul 2012 17:55:24 +0000 https://babibubebo.org/blog/a492/ <p>ある業界では有名な「Blackhole Exploit Kit」ですが、どうやら最近アップグレードが行われたようです。</p> <blockquote> <p>Symantec : <a href="http://www.symantec.com/connect/blogs/blackhole-3" target="_blank">BlackHole 悪用ツールキットがアップグレード: 擬似ランダムなドメイン</a><br> Slashdot : <a href="http://it.slashdot.org/story/12/07/03/1315230/blackhole-exploit-kit-gets-an-upgrade" target="_blank">Blackhole Exploit Kit Gets an Upgrade</a></p></blockquote> <p>で、今回の目玉は「疑似乱数によるドメインの動的生成」らしいです。</p> <p>何のことかと言うと、まず、Exploit Kit によるマルウェアサイトに誘導する主な手法はサイト改竄です。<br> その理由は、セキュリティベンダなどが提供しているブラックリストベースの検出を回避するため。<br> また、既存のサイトを改竄することで、特に何もすることなくユーザーが怪しむことなく集まります。<br> 攻撃者にとってはホイホイな訳で。</p> <p>そこで、改竄時に挿入される難読化されたJavaScriptについてが本題です。<br> 大まかな動作としては、攻撃用サーバーにアクセスさせるために不可視のiframe(インラインフレーム)を埋め込みます。<br> んで、そこからJavaやらAdobe Flash / Reader やらのExploitが送り込まれて、それらが成功すればドライブバイダウンロードでマルウェア感染ってなことが一連の流れです。</p> <p>ただ、従来の方法には一つ欠点がありました。<br> それはiframeとして埋め込んだURLがダウンした（ブラックリスト入りしたり、対策された）時です。<br> 攻撃用サーバーにアクセスさせるためには、当然新しいURLに差し替える必要があります。<br> ただ、大量の改竄サイトを更新するのは困難であると。<br> そこで、もしダウンした場合でも自動的に更新するために、日付などの情報を基にして疑似乱数を基にドメイン名を動的に生成しようという訳です。</p>