2006/11/6の記事にアカウントハックURLを含むコメントが投稿された。現在はAkismetにスパム扱いとして登録し、該当記事よりコメントは削除した。気づき次第同様の措置をとるが常に監視してるわけにもいかないので、以前やっていた「日本国内からのアクセスのみ許可」措置を近日中にとることにする。
そのコメントだが以下のようなもの。URL自体は伏せた。
まさキッス | http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Heimdalメインで活動している製薬師のサイトです。
日記の他に、参加したイベントのレポートを載せています
http://xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
どこかで見た記憶があるな、この文面は。管理上、書き込み元のIPアドレスは222.78.67.6だと判っているので、とりあえずhostを調べる。
$ host 222.78.67.6
Name: 6.67.78.222.broad.dynamic.ly.fj.cn.cndata.com
Address: 222.78.67.6
いい感じに中国のプロバイダからのアクセス。うーむ。回線業者のabuseに苦情メールを入れてもいいのだがまあスルーされそうな気もするので微妙。
で、問題のURLにはどんなのが置いてあるかなあ、と思い少し調査。うちはSeaMonkeyだからVBScript系は動かないので問題はないのだが、まあ一応自宅Linuxサーバのコンソールからw3mでアクセスし、wgetでページデータを取得してみる。
いきなりVBScriptの書かれたページが取得できた。この手のサイトはまず画像データを表示して偽装し、領域サイズ(0,0)のiframeで別サイトのスクリプトを動かしたりするのだが、ここはストレートだった。ただ一応本番のスクリプトはASCIIコード分解して簡単な偽装が施してある。単純だったのでphpで展開してみた。こんな感じ。
$enc = “111,110,…… 偽装された文字列データ”;
$msg = “”;
$chlist = explode(“,”,$enc);
foreach($chlist as $v) {
$msg .= chr($v);
}
print $msg;
出てきたコードは…もろに典型的なアカハックコード。デコード結果は書かないけど、cn系のBBSで手法が公開されてるのをgoogle先生が見つけてきた。方法としてはWindows Serverサービスの脆弱性(MS06-040)をついたもので、既にパッチが公開されている。Microsoft Updateでも既にパッチは配布されていて、セキュリティ更新プログラム(KB921883)が導入されていればまず対策はとれているはず。
ただしリモートからコードを送り込む方法はこれにとどまらず、ActiveX絡みの脆弱性も使われていると思う。対策としては、
- VBScriptは基本的に動作不許可、もしくは動作時に確認をとる設定にする。
- ActiveXは基本的に動作不許可、もしくは動作時に確認をとる設定にする。
- Microsoft Update等で最新のパッチを必ず適用する。
- そもそもIEを使わない。
- 怪しいURLは絶対に踏まない。
くらいかなあ。よー判らんという人はFireFoxを使うようにするだけでも相当効果があると思う(さりげなくMozilla系の宣伝)。
コメント
次はこんなのがコメントに書かれとりました。しかもこのエントリに(笑)
> リニューアルされた攻撃魔法
>
> 新しくなった攻撃魔法の威力が分かりました
> ここに載せておきます
> Lv49のInt20Wizが
> http://xxxxxxxxxxxxxxxx ← 罠URL
やっぱりスパム判定してAkismetに報告。今度のもiframeで色んなページ読んでますね。
僕自身は引っかからないけどほっとくのもあれなので、そろそろ日本国外のIPを弾くようにしようかな。
とりあえずURLを含むコメントの場合、こちらの承認後に有効になるように設定してみました。
コメント中にURLが記載されているとすぐにコメントとして反映されません。