正直日記

2009/03/18

_ そういえば自分もさくらにアカウントを持っているのだった

まず真っ先に自分のサイトを確認しろよ、と今になって思ったが、こちらは改竄
されていない模様。危ないところだったのかもしれず。

_ SAURAのアカウント乗っ取り？それとも改竄？

あらすじ：Web を巡回していたら、突然 Firefox のタブに見慣れないページが
現れたので調査することにした。

現れたページは完全に空白ページなので何だか分からないが、有害なソフトウェ
アを実行させようとするサイト（の名残り？）らしい。

まずは、いつどこで開かれたのか分からないので page info を見る。


危険かも知れないので、上記のサイトは開かないこと

Referring URL で記されているサイト（URL の一部はモザイク加工した）のソー
スを見ると、最下部に JS が仕込まれているようだ。

strange_js.txt (view-source)

（一部の古いブラウザは、テキストファイルに書かれたスクリプトを実行してし
まうようなので、実行部分はこちらでコメントアウトし、一応 view-source: も
経由するようにしておいた）

何重にも暗号化（と言っていいか分からんが）が施されており手動で復号するの
は面倒くさいが、document.write を alert に書き換えて仮想 PC のブラウザ上
で実行すれば、とりあえず最終的なスクリプトは得られる。が、復号していく段
階の途中でも少しだけ工夫されていた。

「rf5f6ds」という名前のクッキーが無ければ新たに作成し、jsの復号を続行。
復号が完了すると、今度は「advmaker_komap」という名前のクッキーを同様に調
べ、クッキーの作成から 720 秒経過後にマウス操作が発生したら、可能な限り
最小なウインドウサイズで件のページをポップアップする、という処理が行われ
ているようだ。

要するに、720 秒後に爆発する爆弾が、サイトを初訪問したときだけ仕込まれる
らしい。

--

とりあえずサイト管理者には連絡した。

が、ただの改竄でなくアカウント乗っ取りだった場合、メールが本来の管理者に
届かない可能性がある。さくらインターネットに連絡するべきだろうか。

--

追記：
どうやら、さくらは過去にも改竄を許してしまったケースがあったようだ。


2008年6月1日から2日にかけて，ホスティング事業者のさくらインターネットが
預かる複数のサーバーの送信データが改ざんされる事件があった。

［ARPスプーフィング］他のマシンあての通信を乗っ取り，監視強化が先決：ITpro

ひょっとしたらそのときの名残りなのかと思ったが、該当ページの最終更新時間
が 2009年3月17日 15:42:36 なので、最近改竄されたものと判断した方が良さそ
うだ。上記記事と同様の手口だった場合、サイト管理者にはどうしようもないだ
ろうから、やはり、さくらにも連絡するか。

--

追記２：
サイト管理者に連絡がつき、改竄が確認されて現在は、悪意のあるスクリプトは
除去された模様。良かった良かった。

しかしそうなると、さくらに連絡したのは勇み足だったかもしれないな。