b4log

ほかにはない情報が、ここにはある(かも)。

XREAの広告にトロイの木馬が仕込まれた顛末

| 2件のコメント

自分も使用しているXREAの無料サービスで表示される広告が改竄され、トロイの木馬(ウイルス?)が埋め込まれる、という事件が起きました。

一時的かもしれませんが、26日の3:21から27日の1:40までの間、トロイの木馬が仕組まれたファイルが再び現れたとの報告がありました。現在はまた修正されたようですが、引き続きご注意下さい。

改竄されたのは、広告枠を表示するHTMLです。

  • http://imgj.xrea.com/id_iframe.html

このファイルの置かれているサーバは、DNSラウンドロビンで5台のサーバが割り当てられていますが、そのうち202.181.97.153に置かれたものだけが改竄されています。

その中に、次のようにファイルが呼び出されるスクリプトが置かれています。

  • http://1039045744:81/jp.js
    • http://1039045744:81
      • → http://1039045744:81/show.php

最後のshow.phpは、解析を妨げるためかwgetなどで取って来ると404エラーを偽装しますが、条件によっては次のように悪意あるコードが返されます。

  • http://so.7walker.net/index.php?site=http%3A%2F%2Ffccja.com%3A81%2Fshow.php&hua=

最終的にはhttp://1039045744:81/taa.gif (中身は実行ファイル) をインストールさせようとします。

Flash Playerが最新であれば被害に遭うことはないはずですが、複数ブラウザ利用者はアップデート漏れも結構あるようです。人気のあるホスティングサービスだけに、このまま放置されれば今後も被害が広がって行きそうで心配です。

埋め込まれたのはJavaScriptコードで、 世界的に猛威をふるっているSQLインジェクション攻撃で使用されたのと同じアドレスに置かれています。 Flash Playerの脆弱性を突いて、 オンラインゲームのアカウント情報などを盗むウィルスに感染させようとします。 対象となるオンラインゲームは、わかっているだけでリネージュ、リネージュ2、 RO、FFXIなどがあります。 Flash Playerのバージョンが最新でない場合には、ウィルス感染してしまいます。

そんなわけで、XREAのサービスで有料オプションを利用していない無料ユーザー(広告を出している人)すべてのサイトでブラウザに関係なく感染するおそれがありました。

なお当ブログは有料オプションを利用し、広告は自分がGoogle Adsenceで取得したものを貼付けているため、このサイトから閲覧者にウイルスをまき散らすような事態は免れているはずです。

ただし、他のXREAを利用したサイトでトロイの木馬が侵入した可能性もありますので、油断はしないで下さい。Adobe Flash Playerは最新版になっていることをチェック(9.0.124.0なら対策済みです、それより以前のバージョンは危険)し、出来ればコンピュータをウイルススキャンしましょう。てか日頃からのウイルスチェックは欠かさないで下さい。

現在はこの問題は解消されましたが、運営側の対応が万全だったかというと疑問がわきます。というわけで、2chのスレッドと比較してこの問題を振り返ってみます。

0. 予兆:さくらインターネットへのハッキング

xrea.com part131
404 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/04(水) 19:03:50 [ 0 ]

さくらインターネットの一部ホスティングサーバーに不正コード挿入の被害
http://internet.watch.impress.co.jp/cda/news/2008/06/04/19812.html

xreaは大丈夫かね。
spamやサポート掲示板の状況から見るに信頼出来るな^^v

よく比較されるレンタルサーバ業者のさくらインターネットの話題がのぼる。今考えればこれがXREAでの事件の予兆だったのかも。

1. トロイの木馬 第一報

スレッドで最初に問題が浮上したのは6月8日の正午過ぎのこと。

xrea.com part131
504 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 12:51:05 [ 0 ]

ちょっと聞いて欲しい。
無料のxreaの広告で、自動挿入じゃなくて自分で挿入する形式の奴あるよな。


<script type="text/javascript" src="http://imgj.xrea.com/xa.j?site=xxx.sxxx.xrea.com"></script>
<noscript><iframe height="60" width="468" frameborder="0" marginheight="0" marginwidth="0" scrolling="no" allowtransparency="true" src="http://img.xrea.com/ad_iframe.fcg?site=xxx.sxxx.xrea.com">
<a href="http://img.xrea.com/ad_click.fcg?site=xxx.sxxx.xrea.com" target="_blank">
<img src="http://img.xrea.com/ad_img.fcg?site=xxx.sxxx.xrea.com" border="0" alt="xreaad"></a></iframe></noscript>

ってやつ。
これの<script type="text/javascript" src="http://imgj.xrea.com/xa.j?site=xxx.sxxx.xrea.com"></script>
が入ってると怪しげなIPにアクセスするんだが?
61.238.148.112 : 81
このIPは香港のIP。ぐぐると危険なIPっぽいんだが大丈夫なのか?
<script type="text/javascript" src="http://imgj.xrea.com/xa.j?site=xxx.sxxx.xrea.com">
を削除すると、広告はしっかり表示されるが、そのIPへのアクセスは無くなる。
自分以外のxrea借りてて<!–nobanner–>で広告位置変えてるサイトを見てみたが、
上のタグ入ってるサイトは全部そこへのアクセスがある。
<!–nobanner–>使わず自動挿入されるページはなんともないようだ。

506 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 13:05:31 [ 0 ]

↑訂正。自動挿入の広告でもそのIPにアクセスする

さぞかし混乱するかと思いきや・・・

xrea.com part131
505 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 13:04:30 [ 0 ]

広告に文句があるなら金払って
広告排除しろよ・・・

508 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 13:15:12 [ 0 ]

>>504
サポートにこんなメールが来るのかな?
なんか対応するサポートが哀れだ。

558 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/09(月) 12:53:21 [ 0 ]

http://sb.xrea.com/showthread.php?t=12820

得意気に書き込んでるけど、それavast!側のエラーだから・・・
http://bbs.nicovideo.jp/test/read.cgi/bugreport/1212095444/l50

559 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/09(月) 13:03:02 [ 0 ]

>>558
今時avast!使ってるヤツが管理人なんて
そっちの方が致命的な脆弱性な気がする。

560 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/09(月) 13:05:55 [ 0 ]

>>559
同意

561 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/09(月) 13:37:40 [ 0 ]

>>504のアホの子、サポ板に書き込んでるし・・・
http://sb.xrea.com/showthread.php?t=12819

とりあえず、その使えないアンチウイルスソフトをアップデートして
↓でも見て勉強してくれ。

トロイの木馬に感染しました・・・ – 教えて!goo
http://oshiete1.goo.ne.jp/qa766659.html

なんとまともに相手にされず、逆に叩かれる。

2. トロイの木馬 発覚

次第にその報告が本当にヤバいことが浸透し始め、ソフトのログなどを調べる人が出てくる。

xrea.com part131
507 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 13:10:49 [ 0 ]

>>505
広告に文句あるんじゃなくて、最近サイト改竄されたりとかあるだろ?
さくらインターネットでもあったような。
だから大丈夫なのかってことなんだが。

519 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 14:36:03 [ 0 ]

>>504
ttp://nanashisan.s153.xrea.com/h_image.htmlに何回かアクセスし,
61.238.148.112に接続することをTCP Monitor Plusで確認しました.

ログは以下の通り:

  • ***.***.*.* *** **** 61.238.148.112 061238148112.ctinets.com 81 40 119 TCP(DL) 2008/06/08 14:21:43 B2 74 AB C0 50 10 FE 12 B1 AB 00 00 00 00

一方, ttp://www.myipneighbors.com/で61.238.148.112を調べ, 該当サイトに
アクセスしたところ, Aviraが次のような警告を発しました:

  • Virus or unwanted program ′TR/Drop.Agent.65536 [trojan]′
    detected in file ′C:?Documents and Settings?****?Local Settings?Temp?39.tmp.
521 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 14:50:59 [ 0 ]

>>519
スパムサイトのIPアドレスなんて貼るな、馬鹿!
広告にスパムサイトがあるようですってサポートに報告してろよ。

529 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/08(日) 15:40:37 [ 0 ]

>>519
IP広場でアドレス検索して、そこから危険サイトとして通報しようぜ!
ところで、こういうスパムIPを誰でも登録できるところってある?

557 名前: 名無しさん@お腹いっぱい。 Mail: 投稿日: 2008/06/09(月) 07:26:03 [ 0 ]

ヴァナモンとかいうところはs115.xrea.com
スクリプト埋め込まれたとかなんとか

ヴァナモンがまたハックされてウィルス仕込まれてる
http://www.23ch.info/test/read.cgi/ogame/1209400965/

578 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/09(月) 15:42:04 [ 0 ]

てゆーかマジでxreaの手動広告ついてるサイト閲覧すると
PGが61.238.148.112:81へのアクセスを遮断するね。
ttp://www.google.com/search?hl=ja&lr=&ie=UTF-8&oe=UTF-8&num=50&q=xrea+s
で3、6、7、12番目のサイトがそう。

592 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/10(火) 07:23:20 [ 0 ]

>>578
今確認してみたが61.238.148.112:81へ接続しなくなってるねー
運営が何か弄ったんだろうか?

596 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 15:41:11 [ 0 ]

061238148112●ctinets●com って (www●.)ddaio●com か?ブラックだよな、これ

ddaio●comでググると『このサイトはコンピュータに損害を与える可能性があります。』

598 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 15:51:30 [ 0 ]

>>596はなんの話?

599 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 15:52:29 [ 0 ]

61.238.148.112:81の話

618 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 16:39:51 [ 0 ]

ほんとお前ら平和ボケもいいとこだなw
運営の広告が改竄される=お前らのHPだって改竄される可能性がある。
それどころか個人情報が漏れてる可能性だってあるのにww
それでも使いたけりゃ使えばいんじゃない?w

633 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 19:28:56 [ 0 ]

tracerouteを取ると、s*.xrea.comは大阪kddi経由で鯖に行っているけど、imgj.xrea.comはSAKURAの中に行っている感じなんだ。
まさか、な……

634 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 19:39:38 [ 0 ]

>>633


imgj.xrea.com
6     9 ms     9 ms    10 ms  as2514.nspixp2.wide.ad.jp [202.249.2.115]
7    10 ms     9 ms     9 ms  xg2-3-kanda-core11.sphere.ad.jp [202.239.114.45]
8    10 ms     9 ms     9 ms  g3-0-kanda-core3.sphere.ad.jp [203.138.72.65]
9    10 ms     9 ms     9 ms  g0-12-kanda-arena-gw26.sphere.ad.jp [202.239.114.23]
10    11 ms    15 ms    13 ms  j1.ax.xrea.com [210.153.116.18]

s143.xrea.com
5    17 ms    17 ms    17 ms  124.211.14.9
6    32 ms    31 ms    10 ms  otejbb204.kddnet.ad.jp [59.128.7.2]
7    11 ms    31 ms    11 ms  sjkBBAC06.bb.kddi.ne.jp [210.234.225.246]
8    19 ms    18 ms    24 ms  125.53.98.210
9    19 ms    20 ms    19 ms  obpBBML14.bb.kddi.ne.jp [222.227.1.34]
10    20 ms    20 ms    27 ms  obp-OskchuobiruML01.bb.kddi.ne.jp [222.227.25.35]
11     *        *        *     Request timed out.
12    20 ms    19 ms    37 ms  s143.xrea.com [222.227.75.8]
640 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 20:03:46 [ 0 ]

nslookupすればわかるけど, imgj.xrea.comは以下の5箇所のラウンドロビン:


59.106.22.138 → さくら.
202.181.97.140 → さくら.
202.181.97.153 → さくら.
202.229.187.26 → デジロック直轄. 上位はNTT.
210.153.116.18 → NTT.

IPによって61.238.148.112に繋がる繋がらないの違いがあるかは未確認.

645 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 20:09:59 [ 0 ]

>>640


Non-authoritative answer:
Name:    j1.ax.xrea.com
Addresses:  202.181.97.153, 202.229.187.26, 210.153.116.18, 202.181.97.140
59.106.22.138, 202.229.187.26
Aliases:  imgj.xrea.com

ま た さ く ら イ ン タ ー ネ ッ ト か !
前回アタックされたのは「219.94.145.0 ? 219.94.145.127」

657 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/11(水) 23:44:41 [ 0 ]

netgamers.jpもSAKURAだったっけか。相当、シナ畜から狙われてるな。xrea利用者としては、いい迷惑だぜ。

666 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 07:48:37 [ 0 ]

馬鹿な報告しか出来ないヤツが多いので
>>632のツールを使ってみた。
http://2sen.dip.jp/cgi-bin/upgun/up1/source/up15982.zip

GET /jpcount//stat.asp?style=&referer=http%3A//imgj.xrea.com/ad_iframe.html&screenwidth=1024 HTTP/1.1
なんてアクセスあるけどヤバい?
詳しいやつ、解析頼んだよ?

668 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 08:12:07 [ 0 ]

>>666

GET /show.php HTTP/1.1
Host: 1039045744:81

1039045744:81→61.238.148.112:81
672 名前: 666 Mail: sage 投稿日: 2008/06/12(木) 08:55:03 [ 0 ]

>>670
たぶん時間じゃない。

>>666で61.238.148.112:81に接続した後、
50回連続で読み込みを行っても再接続できなかった、
ブラウザ終了(クッキー削除)+繋ぎ変えしたらまた接続した。

>>668
IPアドレスがそんな書き方できるとは知らなかった。

675 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 09:13:16 [ 0 ]

広告鯖はラウンドロビンだろ。どこに繋がるかはそのとき次第だっつの。
そして、まったく状況は改善されていない。

685 名前: 666 Mail: sage 投稿日: 2008/06/12(木) 10:33:11 [ 0 ]

解析終了!

>>666/show.phpってファイルにアクセスしてるけど
これがFlashプレーヤーの脆弱性を突いたファイルを読み込ませようとしてる。
????.swf、???.swfやらが脆弱性を突いたファイルだと思われる。

Flashプレーヤーを最新版にしてれば問題ないとは思う。
サポ板に誰か報告しといて。

686 名前: 666 Mail: sage 投稿日: 2008/06/12(木) 10:40:04 [ 0 ]

ちなみにFlashプレーヤーのバージョン確認。
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

バージョンが9.0.124.0なら問題なし。
9.0.115.0以下だとヤバイかも。

694 名前: 666 Mail: sage 投稿日: 2008/06/12(木) 11:53:55 [ 0 ]

>>690
XREA.COMがなんかしてるんじゃなくて
「imgj.xrea.com」が乗っ取られてる。


C:?>nslookup imgj.xrea.com
Non-authoritative answer:
Name:    j1.ax.xrea.com
Addresses:  202.181.97.140, 202.229.187.26, 210.153.116.18, 202.229.187.26
59.106.22.138, 202.181.97.153
Aliases:  imgj.xrea.com
699 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 12:04:09 [ 0 ]

もともと、imgj.xrea.comをデジロックの鯖以外(さくらの鯖)に分散させていたってこと?

んで、さくらのルーターがARP Spoofingをうけていると?

700 名前: 666 Mail: sage 投稿日: 2008/06/12(木) 12:07:39 [ 0 ]

>>698
もう解析されてたのね。

>>699
たぶんそう。
さくらインターネットのサポートに連絡した方がよさそう。

718 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 15:13:54 [ 0 ]

202.181.97.140 SAKURA
202.181.97.153 SAKURA
202.229.187.26 DIGIROCK(NTTPC)
210.153.116.18 NTTPC
59.106.22.138 SAKURA
719 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 15:24:52 [ 0 ]

for i in 202.181.97.140 202.181.97.153 202.229.187.26 210.153.116.18 59.106.22.138; do
echo $i; wget -qO- http://${i}/ad_iframe.html | md5sum; echo
done

202.181.97.140
061a0dbc17873ef1d655093b47eb5a93  -

202.181.97.153
bae3970b24cad8473cef20d8b7cd0085  -

202.229.187.26
061a0dbc17873ef1d655093b47eb5a93  -

210.153.116.18
061a0dbc17873ef1d655093b47eb5a93  -

59.106.22.138
061a0dbc17873ef1d655093b47eb5a93  -

202.181.97.153 だけ返ってくる内容が違うんですよ

745 名前: 666 Mail: sage 投稿日: 2008/06/12(木) 17:16:53 [ 0 ]

仕事あらかた片付いた。

>>719
特定乙
IP直接指定すればよかったんだねー

>>723
ARPテーブルを書き換えたのが、
202.181.97.153だけだったんじゃない?

202.181.97.153が問題あるのははっきりしてるから
さくらインターネットからそのうち何かしらの報告あるんじゃない?
http://support.sakura.ad.jp/page/mainte/all

778 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/13(金) 00:17:22 [ 0 ]

○ 個人の対策

  1. Windows Updateは必ずする. 当然.
  2. ウイルス対策ソフトは必ず最新版にする.
    感染するウイルスは最新. データベースが数日古いだけで感知できない.
    最新版にしたあと, 面倒でもフルスキャンしておく.
  3. Flash Playerは必ず最新版にする.
    バージョン確認(>>686):
    http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
    最新はWindowsの場合: WIN 9,0,124,0
    それより古いなら, 最新版をインストール.
    複数のブラウザを使っている場合は, 全てのブラウザでバージョン確認する.
758 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/12(木) 19:29:54 ?S★(717781)



xss対策もできてないなんて><

787 名前: 666 Mail: sage 投稿日: 2008/06/13(金) 01:48:59 [ 0 ]

>>758
技術力を示したいのは分かるけど
確実に攻撃に繋げられる方法を提示してどうするんだ。
本気でその投稿は削除してくれ!



◎XREAユーザはマジで注意◎

  1. XREAユーザはクッキーを削除する。
  2. メールや掲示板からXREAへのリンクがあったとしても
    絶対にクリックしない。URLがhttp://www.xrea.com/だとしても。
816 名前: 666 Mail: sage 投稿日: 2008/06/13(金) 14:22:56 [ 0 ]
  1. >>758の件
    • XREA → 「専門・担当の者に連絡いたしました。」
  2. 202.181.97.153の件
    • さくらインターネット → abuse@sakura.ad.jpに連絡済み。返答なし。
    • XREA → 「対応中です」
819 名前: 666 Mail: sage 投稿日: 2008/06/13(金) 14:38:57 [ 0 ]

>>796

  1. 202.181.97.???が侵入されて、arp spoofing。
  2. 202.181.97.153が直接侵入されて、改竄されている。

たしかに2つの可能性があるけど、、、

それよりもお客さんのサーバがアタックを受けているのは確実なんで
さくらインターネットには何よりも先にサーバを止めてほしい・・・

821 名前: 666 Mail: sage 投稿日: 2008/06/13(金) 14:49:18 [ 0 ]

>>820
>>697にも少し書いているけど
Flashプレーヤーのバージョンを確認して
そのバージョンの脆弱性を狙ったswfファイルを実行させようとする。

最新版だと該当するswfファイルがないから
何も実行されない。だから無反応でOK。

何度も書いてるけど、「現時点での話」だからなー

822 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/13(金) 14:57:04 [ 0 ]

>>821
こういうピンポイントでトロイ配信してくるのって厄介だよね
担当者に十分な情報が伝わってないと、再現性無しでスルーされそうだし

825 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/13(金) 15:22:09 [ 0 ]

>>821
ありがとう

886 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/14(土) 13:42:54 [ 0 ]

FlashPlayerが古い場合、ブラウザ関係無くやられる。
ttp://www.virustotal.com/analisis/b9c9fb50aae160a0838d8da586f1b43d
検体は2日前に送ったんだが、NortonやMcAfeeやBitDefenderがスルー。

805 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/13(金) 13:02:46 [ 0 ]

これは常識っていうか前提みたいなものかもしれないけど、
XREA+(PLUS)の7日間お試しプランでとりあえず広告を消しといた。
7日過ぎて未解決だったら問答無用で広告消す。

スレッドの流れをそのまま載せたのでかなり長い引用になってしまいましたが、広告が乗っ取られて、Flashの脆弱性を突かれてトロイの木馬にハマってしまう・・・という流れがわかってきた。ちなみにこのpart131スレの666氏はこの後で纏めページを作るなど、かなり尽力することになる。纏めサイトはpart132の660氏でした。

3. サイト管理者の対策

訪問者がAdobe Flash Playerを最新版に更新するのが一番の対応策だが、ウェブサイト制作者の側でも何かしらの対応策を迫られることになる。

xrea.com part132
173 名前: 名無しさん@お腹いっぱい。 Mail: 投稿日: 2008/06/16(月) 21:33:16 [ 0 ]

対策

  • XREA+に契約(まじめな人)
  • XREA+7日間無料コースを契約(お金がない人)
  • アカウント停止覚悟で広告削除(勇気ある人)
  • VDの広告をキャプチャしてjpgとして貼り付け(ルールをあからさまに破るのは嫌いだけど、ルールを勝手な解釈で捻じ曲げるのは好きな人)
174 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/16(月) 21:37:23 [ 0 ]

>>173

  • 何もしない(いいかげんな俺)
159 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/16(月) 20:36:17 [ 0 ]

スプリクトをオフにしてフラッシュなしで閲覧していても
感染の可能性ってありますか?
あとうちの対策ソフトだと反応しないようで、
感染していたら確実に発見してくれるオンラインスキャンってどこでしょうか?

それと、知っている管理人さんのサイトがXREAで広告ありなのですが
お教えした方が良いのでしょうか?
日記やどこにも今回の件には触れられていませんが
日が経っている様だし、大手さん(1000hit/1day)なので誰かが教えていると思うのですが…。

160 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/16(月) 20:41:20 [ 0 ]

>>159
Javascriptオフならとりあえずは大丈夫。
ただ今後どうなるかはわからんのでFlashplayerが入ってるなら最新バージョンにしておくとよし。
オンラインスキャンはカスペルスキーお薦め。検出率だけで言えば現状No.1。

そのHPにはすぐ教えた方がいい。
XREA公式から全くアナウンスないし、公式に報告された時も
「swfがウィルスとまちがえられて・・・」だの「avastがマルウェア反応して困ります><自分はavast切ればいいだけだけど」だの
危機感まるでナシの書き込みだらけだった。

163 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/16(月) 20:50:30 [ 0 ]

>>160
レスありがとうございます。
flash確認したら最新版じゃなくてorz
自分は基本JSoffなので多分大丈夫とは思いますが
カスペルさんのところへ行ってきます。

念のためにと言うことでXREA使われている管理人さんにもお知らせしてきます。
公式告知がないとスルーしちゃいそうですよね。
告知がもしあったら今は安全なはずか……。

4. XREAサポートへの不満

対応をするそぶりすら見せない運営側に対しての不満も当然溜まってきます。

xrea.com part131
780 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/13(金) 01:01:18 [ 0 ]

良鯖だったのに、残念だ。。。(・ω・`)

781 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/13(金) 01:05:09 [ 0 ]

移転してきたばかりなのに/(^o^)?

926 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/14(土) 22:27:38 [ 0 ]

今現在も何の対応もなし?
xreaのユーザーのサイトへの訪問者がウィルス感染のリスクに
晒されるわけであって、サーバ事業者として即時対応すべきことが
あるだろ。
これまでの経緯が事実なら相当な数のウィルスを拡散してることになるぞ?
これをこれだけの間放置するって本当にどうなってるの?

xrea.com part132
18 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/15(日) 17:58:09 [ 0 ]

つーかまだ直ってないのな
アホかこの運営

20 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/15(日) 18:12:50 [ 0 ]

ttp://sb.xrea.com/showthread.php?t=12819
それでも既に1週間経過してるわけだけどね

51 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/15(日) 21:00:46 [ 0 ]

アナウンスがまったく無いと言うのが、
おかしいですよね。
メンテナンスなんかより優先されるべきことだと思うのだけど。

295 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 04:49:29 [ 0 ]

とうとうニュー速+にスレ立ちましたね。一刻も早いデジロックの対応を待ちます。

【ネット】 無料サービス「XREA」の広告から「Flash Player」の脆弱性をついたウイルス拡散中…今すぐ対策を
http://mamono.2ch.net/test/read.cgi/newsplus/1213644598/

308 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 08:59:31 [ 0 ]

>>295
ええ…、ただのニュー速じゃなくて、プラスに?
これは、風評ってどころじゃなくなるかね。

326 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 10:55:50 [ 0 ]

システム障害連絡掲示板をざっと見ただけでも、

  • 複数鯖でのメーリングリスト障害→放置状態(後に自然復旧?)
  • s143での管理画面(CGI?)異常→連絡くるも対処せず。事実上の放置状態
  • s282で有料鯖なのに広告表示→同上。事実上の放置状態。

他にもデータベース障害やメール障害なんかも結局放置されてたみたいだし、
もう潰れる(潰す)寸前としか思えない状態だよ。

きちんと動いてる間にさっさとバックアップとって
どっかに移る準備しといた方が良さそう。
まだ有料期間、半年以上残ってるんだけどなー。

362 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 13:04:15 [ 0 ]

無料サーバのうち, 会社運営でCGI(Perl)・PHPが使える主なもの:

  • http://www.space-i.jp/rent-web/

    20MB無広告. ただし, 容量超過は有料.

  • http://ag5.net/

    審査が厳しいかも.

  • http://www.meganebu.com/

    学生・教育機関関係者のみ申し込める.

  • http://land.to/

    広告はttp://qanda.me.land.to/参照.

  • http://www.a-auc.co.jp/free-server.html

    運営して1年あまりと思う. 当初は無広告だったが, 現在は小さい広告がつく.

  • http://www.sosite.jp/

    運営して1年ほどだが, サーバ監視ASPとしては老舗.

  • http://atpages.jp/

    大容量だが, 大きなファイルには転送速度制限がかかる.

  • http://www.watasinospace.com/

    運営して1年未満と思う. 仕様詳細が不明.

  • http://www.e-fpage.com/

    運営して1年未満と思う.

他に探したい人は次のところへ:

ものすごい勢いで誰かが無料サーバを探してあげるスレ10
http://pc11.2ch.net/test/read.cgi/hosting/1210891693/

363 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 13:04:57 [ 0 ]

低価格有料サーバ(約200円/月以下)の主なもの:

  • Y30ネット http://y30.net/
  • さくらライト http://www.sakura.ne.jp/ さくらはMySQLサーバが弱い. ライトはphpなし.
  • NEXTSPACE http://www.next-space.jp/
  • Just-size.networks http://www.just-size.net/
  • ハッスルサーバー http://www.hustle.ne.jp/

他に探したい人は次のところへ:

もの凄い勢いで誰かが有料レンタルサーバーを探すスレ 12
http://pc11.2ch.net/test/read.cgi/hosting/1195897254/

————————————————————

メイルを安心して使いたい人は, Webサーバと独立したメイルサーバを借りる
のが良いと思う. Webサーバは色々複雑な作業をこなすし, 攻撃の対象になる
こともある. 不具合がやむを得ない場合もある. メイルサーバだからといって
絶対確実とは言えないけど, 比較的安心できると思う.

  • 無料サービス
    • Google Apps http://www.google.com/a/
  • 有料サービス
    • さくらのメールボックス http://www.sakura.ne.jp/mail/
    • NEXTSPACEパーソナルメールプラン http://www.next-space.jp/
  • 無料プロバイダ(独自ドメインは使えない)
    • ぷららライト http://www.plala.or.jp/guest/others/dialup/regular/regu_light_service.html

昔はXREA mail&backupも紹介してたけど, 色々あるのでやめておく.

364 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 13:11:53 [ 0 ]

>>363
今回の件はさくらが原因なのにさくら進めるってバカなの?

368 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 13:19:59 [ 0 ]

さくらインターネットなんてこないだも問題あったばっかじゃん
んなとこに移転しようと思わないだろ

406 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 14:08:04 [ 0 ]

今はもうトロイがどのこうのじゃなく、次のステージへ行っている。

倒産するのかどうか、だ。

411 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 14:10:30 [ 0 ]

>>406
というより、すでに倒産前提で
「どこに移転するか」になっている気も。

413 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 14:11:54 [ 0 ]

xreaなんでここまで腐ったんでしょうね?

416 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 14:14:01 [ 0 ]

xreaが万が一ぶっつぶれたとして
その時バリュドメは大丈夫だろうか

サイトはローカルに保存すればいいけど
ドメインは移管しないといけないから困る

510 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:21:44 [ 0 ]

MXMから3月に逃げてきたところな俺涙目

515 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:24:51 [ 0 ]

>>510
mxmよりは…まあ生き延びるんじゃないか?

516 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:26:33 [ 0 ]

金とって運営してるレン鯖な時点で
こんな重要な事態を放置しちゃいかんだろ
有料の方でもおかしなことが起きたらどうするつもりだ

538 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:34:59 [ 0 ]

+の無料お試し期間にしておいて運営の対応を待つつもり。
運営が対応しない場合は、閲覧者保護のため広告は外します。
それでアカウント削除なら、もう金輪際XREAは使いませんから問題無し。
バックアップもとったし。

547 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:41:05 [ 0 ]

>>541
ウイルス騒ぎはXREA+契約増加に利用するという態度の運営は
信用できないから無料厨で結構。
夏にはXREA+に移行するつもりだったが、今回の騒ぎでサポートの
あまりの放置ぶりに気付けて幸いだ

他のサービスへの移転を促す書き込みまで出る始末。最近はサーバが不安定なものが見られるようになり、このウイルス騒ぎで不満が頂点に達してしまったようです。

ex. 第一報時のアレは?

しかしこの件をスレで報告した際に必死で叩いていたのは何だったんだろう。この事件の犯人か、もしくはサーバ運営側が火消しのために行ったのか、XREAの猛烈な信者が擁護したのか、はたまたただの愉快犯だったのか・・・。

xrea.com part131
890 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/14(土) 14:30:36 [ 0 ]

最初この件をこのスレで報告した奴を必死で叩いてたバカはなんだったんだろ

891 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/14(土) 14:33:31 [ 0 ]

たたいてたやつが犯人なんじゃねーの?
もしくは関係者とか

896 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/14(土) 15:14:17 [ 0 ]

>>890
見直して笑ったw
叩きすぎだろww

xrea.com part132
393 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 13:55:46 [ 0 ]

ここまで大騒ぎになってない・・・いや全くなっていないときに
ここに今回の件を書き込んだら、すんげー勢いで叩かれた僕の憤りを君たちは理解するべきっ!!!!1

395 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 13:57:21 [ 0 ]

>>393
感謝してるんだぜ?
叩いていた奴らは縮こまって反省しているよ

400 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 14:00:26 [ 0 ]

>>393
俺も書いてすげー叩かれたんだが
どうも君と同一人物扱いされてたらしいね(笑)

5. XREA運営側の対策

さて、XREAの運営の対策がなされた(らしい)のは6月17日の16時頃。

xrea.com part132
250 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 01:15:00 [ 0 ]

38 :既にその名前は使われています :2008/06/16(月) 16:28:21.44 ID:p3csSJh0
とりあえず暫定措置は来てる模様
リネージュ資料室のウィルス情報>感染源サイトから
>6月15日夜の時点で広告枠用ページは改竄されたままですが、埋め込まれたアドレス (1039045744:81) への接続は拒否されるようになっています。
>ただし、80ポートへの接続は正常に確立するため、サーバ自体が動作停止しているわけではなく、いつ復活するかわからない状態です。
対応来た?

253 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 01:23:45 [ 0 ]

犯人の鯖が休んでるだけってことかー
と言う事は次に繋がるようになった時には違うウイルスにとかありえるんじゃ

ところで相互サイトがXREA無料使ってるんだが
今更でも教えた方が良いのかね
1週間以上経ってから教えられても微妙だよね?
しかも閉鎖や移転くらいしか対策方法ないわけだし

255 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 01:27:13 [ 0 ]

>>253
今更でもすぐ教えれ。
その1週間の間にやられた閲覧者(そのHP管理者含む)が脅威をチェック・駆除できるだろう?
教えなかったらウィルスPCに抱えたままになるんだぞ?

565 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:48:30 [ 0 ]

おい、なんかなおったぞ?
今までウイルス散布してたxreaのサイトチェックしたが
例のIPへの接続なくなってる

569 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:50:06 [ 0 ]

>>565
12日目にしてようやくか?

589 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:55:08 [ 0 ]

どうも202.181.97.153に繋がらないようにしたっぽいな

594 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:57:41 [ 0 ]

早く安全宣言してくりゃれ

595 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 16:57:45 [ 0 ]

今まで手動広告は全部202.181.97.153に繋がってたが
ついさっきから202.181.97.140に繋がるようになったみたい

642 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 17:27:47 [ 0 ]

>6月15日夜の時点では、XREA側からの対処はまだされていませんが、
>ウィルスが置かれているサーバ (1039045744:81) がダウンして接続ができなくなっています。
>ただし、80ポートへの接続は正常に確立するため、サーバ自体が動作停止しているわけではなく、
>いつ復活するかわからない状態です。また、XREA側での対処がされていないため、
>今後また別のウィルス置き場のアドレスに書き換えられる可能性もあります。

XREAの対応じゃないっぽい

664 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 17:47:01 [ 0 ]

お、http:// 202.181.97.153 /ad_iframe.html が変わったぞ

680 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 18:00:29 [ 0 ]

>>661
nslookupするとまだ202.181.97.153が返ってくる。
xrea側が対応したんじゃなくてウィルスが通信しようとするサーバへつながらなくなってるだけ、
ウィルスが仕込まれることには変わりない。


Non-authoritative answer:
Name:    j1.ax.xrea.com
Addresses:  202.229.187.26, 59.106.22.138, 202.181.97.153, 210.153.116.18
202.181.97.140
Aliases:  imgj.xrea.com
697 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 18:13:10 [ 0 ]

XREA対応したな。


imgj.xrea.com ( j1.ax.xrea.com )
59.106.22.138/ad_iframe.html
202.181.97.140/ad_iframe.html
202.181.97.153/ad_iframe.html (元有害サーバ)
202.229.187.26/ad_iframe.html
タイムスタンプ 2008-06-17 16:06(日本時間)

210.153.116.18/ad_iframe.html
これは元の2005-06-10のまま、たぶん忘れてるんだろうけど 元々無害だしいいか。

703 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 18:18:32 [ 0 ]

>>660

XREAで無料HPサーバーをレンタルした場合、表示義務のある無料広告用ファイルの
置かれている5つのサーバーのうち、ひとつが汚染される

俺がxrea管理人なら問題の広告用サーバーを直ちに停止する。

なぜそれをしない?


6. XREA運営公式の終息宣言

XREAの公式アナウンスがあったのは同日の18時36分。しかし、その文面から、当初は「いよいよ無料サービス廃止か」と噂されることに。

xrea.com part132
730 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 18:39:32 [ 0 ]

一応アナウンスはしてるみたいね

広告配信用サーバーの不具合について
下記内容で、広告配信用キャッシュサーバーで不正なファイルが設置されている不具合が発生しておりました。



サーバーを初期状態に戻し復旧しております。

731 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 18:40:17 [ 0 ]

http://sb.xrea.com/showthread.php?t=12839

736 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 18:42:49 [ 0 ]

無料サーバーはサービス中止するかもね

http://sb.xrea.com/showthread.php?t=12839

○今後の対策:

コスト削減のため、外部委託で管理しておりますが、このため弊社側で、ログインが
できなかったなど、多々問題が発生し、多々ご迷惑をお掛けしました。

正当な理由にはなりませんが、無料サーバー部門については完全な赤字となっており、
なるべくコスト削減を行い、長期運営を図るよう努力してまいりました。
現在もドメインのご利用のお客様を中心に新たにご利用が増加している状況にあります。
しかし、有料契約のお客様以上に頻発する規約違反への対応問題などで、コストは増加
する一方で、かつ、管理における問題も発生する状況になっております。

ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
方にもご迷惑をお掛けする許されない状況が増えつつある事実があります。

8月にて無料サーバー開始から8年となります。今後の無料サーバー自体の方向性も含め
見直しを図る所存です。

855 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 20:58:12 [ 0 ]

以前より質が落ちてるのに
金払いたくない〜。

http://sb.xrea.com/showthread.php?t=12840

874 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 21:33:15 [ 0 ]

> 正当な理由にはなりませんが、無料サーバー部門については完全な赤字となっており、
> なるべくコスト削減を行い、長期運営を図るよう努力してまいりました。
> 現在もドメインのご利用のお客様を中心に新たにご利用が増加している状況にあります。
> しかし、有料契約のお客様以上に頻発する規約違反への対応問題などで、コストは増加
> する一方で、かつ、管理における問題も発生する状況になっております。
> ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
> 方にもご迷惑をお掛けする許されない状況(迷惑メール、スパムブログ等々)が増えつつある事実があります。
> 8月にて無料サーバー開始から8年となります。今後の無料サーバー自体の方向性も含め見直し、
> サービス改善を図る所存です。(※誤解を与える表現であったため修正しました)

表現が変えられた。
「外部の方にもご迷惑をお掛けする許されない状況(迷惑メール、スパムブログ等々)
が増えつつある」「サービス改善を図る所存」だから無料鯖自体は存続で管理体制の見直し?

893 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 21:53:39 [ 0 ]

ttp://sb.xrea.com/showthread.php?p=83947
> 下記内容で、広告配信用キャッシュサーバーで
> 不正なファイルが設置されている不具合が発生しておりました。
>
> ○内容・対応:
>
> 5台を広告配信用キャッシュサーバーとして運用していますが、その中の1台において、
> 6月9日頃から不正なページ(ウィルス配布ページへの自動リンクされるページ)が」設置されてお > りました。
> このため、無料ユーザー様のページ内に自動挿入される広告を表示した際で、
> 主要広告以外の広告が表示された場合に、正常に広告が表示されず、ウィルスを配布するページへ
> 自動誘導される状態になっておりました。
> 17日18時の時点で、サーバーを初期状態に戻し復旧しております。
>
> ○原因:
> 現時点では、WEBMINというサーバー管理ソフトの脆弱性を付いた
> 書き換えである可能性が高いと判断しています。
> (一般のXREAサーバーでは動作していません)
> その他について、わかり次第、追ってアナウンス・修正させていただきます。
> (2008/06/17 9:20 PM時点)

894 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 21:54:20 [ 0 ]

> ○今後の対策:
>
> 外部に依頼していたため、恥ずかしながら弊社側でログインができなかったなど、
> 多々不手際が発生し、多々ご迷惑をお掛けしました。
> 正当な理由にはなりませんが、無料サーバー部門については完全な赤字となっており、
> なるべくコスト削減を行い、長期運営を図るよう努力してまいりました。
> 現在もドメインのご利用のお客様を中心に新たにご利用が増加している状況にあります。
> しかし、有料契約のお客様以上に頻発する規約違反への対応問題などで、コストは増加
> する一方で、かつ、管理における問題も発生する状況になっております。
> ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
> 方にもご迷惑をお掛けする許されない状況(迷惑メール、スパムブログ等々)が
> 増えつつある事実があります。
>
> 8月にて無料サーバー開始から8年となります。
> 今後の無料サーバー自体の方向性も含め、心機一転、見直し、改善を図る所存です。
> また、各サービスにおいて、再び、自社で管理する体制に順次戻していく予定です。
>
> この度はご迷惑をお掛けし大変申し訳ございません。
>
> 以上、よろしくお願い申し上げます。

また文章が書き換えられた。どんどん内容がまともになっていってる。

928 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/17(火) 22:17:51 [ 0 ]

ttp://sb.xrea.com/showthread.php?p=83947
ttp://s02.megalodon.jp/2008-0617-1849-27/sb.xrea.com/showthread.php?p=83947
ttp://s02.megalodon.jp/2008-0617-2209-42/sb.xrea.com/showthread.php?p=83947


ttp://sb.xrea.com/showthread.php?t=12839
ttp://s01.megalodon.jp/2008-0617-1845-30/sb.xrea.com/showthread.php?t=12839
ttp://s04.megalodon.jp/2008-0617-2214-10/sb.xrea.com/showthread.php?t=12839

株式会社デジロックは、レンタルサーバーのXREAやCORESERVERのほか、ドメイン登録・ネームサーバーのVALUE-DOMAINやアクセス解析のAccessAnalyzer.comなどのサービスを手がけているのですが、どうやらこのごろはXREAの事業は外部に下請けしていたようです。無料サーバーは赤字だそうで、会社の足を引っ張っていたのですね。それが元で広告がハッキングされてしまうとは。

7. メディアの報道

その後、インプレスのInternet Watchにてこの顛末についての報道がありました。

無料ホスティング「XREA」の広告にウイルスへのリンクが混入

XREAは、無料で50MBの容量が利用できるホスティングサービスで、ページには広告が自動挿入される仕組みとなっている。デジロックによれば、この広告配信には5台のサーバーを分散して使用していたが、そのうち1台において6月9日頃からウイルス配布ページにリンクされる不正なページが設置されていたという。

【トロイ広告】xrea.com part133【無料廃止か!?】
190 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/18(水) 14:17:46 [ 0 ]

無料ホスティング「XREA」の広告にウイルスへのリンクが混入
http://internet.watch.impress.co.jp/cda/news/2008/06/18/19977.html

196 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/18(水) 14:37:23 [ 0 ]

>>190
6/5頃からなのに6/9頃になってるね(笑)
最初にスレに報告あったのでも6/8なのに

スレッドのログを見れば、「6月9日」というのが事実と異なっているということが一目瞭然なのですが、「6月9日」と書いてごまかしているのでしょうか。

8. まとめ

今回のXREAの無料版の広告についての事件は収束しましたが、今後もソフトウェアの脆弱性を狙ったコンピューターウィルスが現れるとも限りません、というか必ず発生するでしょう。安全なネットライフを楽しむために、こまめにソフトウェアの更新・セキュリティ情報の確認は各自で怠らないようにしましょう。

また、XREA運営の公式発表の最初の縞では、無料サーバーサービスの廃止をほのめかすような内容でした。現在は表現が和らげられ、見直し・改善を進めて行くようですが、実際に無料サービスが赤字であることを考えると、新規利用者の停止などから段階的に廃止することは十分に考えられます。ちなみに、現在XREAで新たに無料サーバーの募集はほとんどしていません。一旦(1ヶ月分くらい)有料で借り、その後広告を出して無料で借りることは可能ですが。

自分はiswebから移転してからの約11ヶ月(登録してからサイトを本格的に稼働させるまでの休眠状態を含めるとおよそ1年半)は無料で使っており、「サポートはそんなに期待できないけど、無料で自由にやれる」という門戸の開け方(?)が気に入って使っていました。現在はサーバ代を払って使用していますが、無料サービスはこれからも細々とでも続けてほしい、と個人的には思っています。

なお、part131の>>666氏ともpart132の>>660氏とも自分は別人です、念のため。

?. 再来?

771 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 00:49:30 [ 0 ]

XREAの広告の 202.181.97.153/ad_iframe.html
またやられたというか巻き戻っちゃってるので注意。

772 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 00:50:24 [ 0 ]

タイムスタンプは26日3:21。

777 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 01:24:49 [ 0 ]

なんで戻ってるんだよww
また害虫がバックアップから戻したのか?

害虫がトロイ仕込む->XREAがなんとかアカウントを取り戻して初期化->害虫がバックアップを上書き
だったりしたら笑えない

779 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 01:27:06 [ 0 ]

よっぽど恨み買ってるのか
まちがってバックアップデータを突っ込んだか
再度ハクられたなら、管理者権限もたれちゃってないかい?

ていうか、そもそも犯罪でしょこれ。
XREAの中の人、被害届出してないのかな?

ちゃんと警察に相談してやってる人間捕まえたほうが良いよ。(国内なら)

780 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 01:29:04 [ 0 ]

これは嫌がらせだろXREA+にしろと

782 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 01:33:41 [ 0 ]

どういう思考回路やねん

783 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 01:46:24 [ 0 ]

1:40時点でアクセスしたけど、修正されたページだが?キャッシュはクリアした。

786 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 02:00:58 [ 0 ]

>>783
あ、今見たら戻しやがったw
奪い合いになってんじゃないだろうな…

788 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 02:07:49 [ 0 ]

奪い合ってたらすごいなー。
やってるヤツ、相当粘着ってことだな。

ここまでする理由ってなんだろ。
トロイ仕込んでもセキュリティソフトではねちゃうヤツだって多いだろうし
再度侵入するリスクのほうが高いのに。

XREAの中の人、頑張ってくれ。

789 名前: 名無しさん@お腹いっぱい。 Mail: sage 投稿日: 2008/06/27(金) 02:11:36 [ 0 ]

(バックアップ等の)作業ミスで昔のファイルに戻しちゃった、なんてこともあるかも。

一時的かもしれませんが、トロイの木馬が仕組まれたファイルが再び現れたとの報告がありました。現在はまた修正されたようですが、引き続きご注意下さい。

  • まとめの中の人

    先日はメール失礼しました。

    26?27日の問題についてちょっと補足を。
    結局、さらにもう一つの広告サーバーまで挙動がおかしくなったため、
    それらをふたつまとめて広告サーバーのDNSラウンドロビンから外してしまうという形で決着したようです。
    (この件に関する公式アナウンスはありませんでした)
    というか最初からそうしておけばここまで被害は拡大しなかったのですが。

    実際の被害についてですが、惨憺たるものです。
    アカウントハック対象になったオンラインゲームFFXIでは、
    被害数は今回の問題発生後異常な数に膨れ上がっています。
    アカウント救済のためのサポートセンターの電話は回線パンク状態、
    ゲーム内でアカウントハックがリアルタイムに進行していても、
    別件のアカウントハックが多数順次処理されているために、
    通報から数時間待たされる始末。
    2chのスレに寄せられる報告も問題発生からわずか3日で、
    直近1ヶ月間の報告にダブルスコアをつけるという有様です。

    個人でセキュリティにある程度気を配っていれば防げていた事態ではあるのですが、
    やはり問題発生から2週間放置したツケはあまりにも大きかった、
    と言わざるを得ないのかもしれません・・・。

  • To : まとめの中の人
    [q1]さらにもう一つの広告サーバーまで挙動がおかしくなったため、
    それらをふたつまとめて広告サーバーのDNSラウンドロビンから外してしまうという形で決着したようです。[/q1]
    ご報告ありがとうございます。
    最初にラウンドロビンから外したときに点検しなかったんでしょうかね。
    [q1]やはり問題発生から2週間放置したツケはあまりにも大きかった[/q1]
    そうですね、サポート掲示板やメールでの報告が以前からあったにもかかわらず
    ここまで放置したデジロックの側にも責任があるでしょう。
    (本来の犯人は勿論乗っ取ってトロイの木馬を設置した輩ですが)

Pingback / Trackback

この記事のトラックバック用URL