ミクチェ【公認非公式】コミュのトロイの木馬の警告

本日午前8時頃より
ttp://o123.jp/mixi/AuthorMessage/0024.htmlへのｱｸｾｽによるtrojan horse（Redirector-H4）とttp://gumblar.cnへのﾘﾀﾞｲﾚｸﾄがミクチェのﾁｪｯｸごとに発生してｱﾝﾁｳｲﾙｽがなりっぱなしですｗ

ttp://o123.jp/ 以下どこにｱｸｾｽしてもtrojan horseのｺｰﾄﾞが含まれているようです。

とりあえず、ﾐｸﾁｪのﾘｻｲｸﾙﾀｲﾑを長めに再設定して回数を減らすことで対応中

コメント(22)

最初
全て
最新の40件

[3] mixiユーザー 05月12日 20:57

お久しぶりです。
友人になんかエライことが起こってるとメールを受け数ヶ月にmixiにログインしました。

ちょっと状況確認してみますね。

[4] mixiユーザー 05月12日 21:15

原因はわかりませんが状況はわかりました。

http://o123.jp/mixi/　配下のHTMLファイル等に
不正がJavaScriptコードが埋め込まれていました。
ウェブサーバ(←有料レンタル)がウィルスに感染したのでしょうか。

私のPCはウィルス感染していません。
ねんのため、別のソフトでも完全スキャンですが。

今、ローカルにあるHTMLファイルでサーバ上のファイルを上書きしているところです。
怖いですね。
大手のレンタルサーバなのでニュースにでもなるんでしょうか・・。

[5] mixiユーザー 05月12日 21:49

＞よっちゃん
おつかれさま
ｱｼﾇｹできない現状に同情しつつ、対策お願いしますｗ

わが社ではavastのfree版で検知しました

c.f.
検証はしていませんがｗｅｂ版マルウェアサーチも結構使えます＞all
↓
http://www.trendflexsecurity.jp/security_solutions/housecall_free_scan.php#

タブブラウザだと起動しない場合があるのでIEからアクセスすると大丈夫、（な、はずｗ）

[6] mixiユーザー 05月12日 21:51

と、おもったら対策完了された様子。。
アラートが出なくなりました

ありがとう

おつかれさま

[7] mixiユーザー 05月12日 22:40

FTPサーバがDos攻撃でも食らっているのはいつになく途切れ途切れ・・・
なんとかファイルは全てローカルファイルで更新し終わりました。
現時点では正常なはずです。
今後また同じ現象になるのかは、わかりません。

whiskerさん、ありがとうございます。
学生の頃、オンラインスキャンはよく使っていました^^
今はご提示のトレンドマイクロのオンラインスキャンで完全スキャン中。(現在85％完)

PCのバックアップはHDD丸ごと毎日とっているので
ウィルス感染しても直ぐ元通りにできると
強気でo123.jpサイト踏んでみましたが感染はしていないもよう。
JavaScriptコード、ここで提示はしませんが
あのコードではきちんとリダイレクトされないですねぇ。
特定のブラウザ向けの文法(攻撃方法)なのでしょうか。。。

他のトピ見てみたらミクチェのバグなど発生しているのですね。
本件が気になるので、とりあえず今日は原因調査に努めます。

[9] mixiユーザー 05月13日 08:38

あれ？また来たｗ

同じTrojan Horseのアラートがたった今上がりました
どっかに８：３０タイマー仕掛けられてこの時間帯に更新かけられてるのかしら？

となると、やっぱり原因はサーバー側？

[10] mixiユーザー 05月13日 13:34

サーバー側に対策されるまではミクチェ利用を控えたほうがいいのでしょうか。

[11] mixiユーザー 05月13日 23:20

internews.jpへのアクセスもこの影響かな？

[12] mixiユーザー 05月14日 00:31

こんばんは。
またやられていましたね。
30分ほど前に上書きしました。

> whiskerさん
FTPでサーバのファイルを確認したところ、朝8:30～8:32の間に
ウェブ表示系のファイルが書き換えられていましたので今全て上書きアップロードしました。
なんなんすかねぇ、ほんと。

> あっちさん
ミクチェが「ブラウザ機能」でページを開くのは
　No.1 作者からのお知らせ機能
　No.2 メッセージ管理画面のビュー
　No.3 コミュニティフィルターのビュー
ぐらいです。

このうち、No.1は私のサイトですが、お知らせ送っていないので開かれません。
No.2はローカルのファイル。
No.3はユーザが指定したページです。

サーバ側が対処してくれるまでお知らせ送ることはないので大丈夫かと。
ご心配でしたら暫く控えるのも良いかと思います。

ちなみに、上で挙げた以外はページのソースを取ってきて
テキスト情報を解析して更新したとか判定しているので問題ないです。
作者からのお知らせ情報も、設定ファイルをテキスト解析しているだけです。

[13] mixiユーザー 05月14日 00:40

よっちゃんさんへ
回答ありがとうございます。

そういうことなら、たぶん大きな被害はないと思うので大丈夫でしょう。
Firewallがちゃんと働いてくれることを祈って。

[14] mixiユーザー 05月14日 04:33

おつかれさまー
どうもありがとう

そういや、やっぱりinternews.jpへのｱｸｾｽも止まりました

ﾀｲﾏｰ攻撃だとしたら24時間ﾘｻｲｸﾙなんてのんびり攻撃だしｗ
まさかと思うけど出勤前のリーマンおちゃめさん？ｗｗｗ

にしても、今日の８：３０をとくだね見ながら待ちます♪

[15] mixiユーザー 05月14日 08:23

通勤中です。
8:30は勤務開始時間…気になるΣ(´□｀;)

[17] mixiユーザー 05月14日 18:33

毎週木曜は予定があるため、今日は定時で帰ってきました。

あゆ☆＠ゴンベ大好きさん、はじめまして^^
サーバのファイルを確認しましたが、ファイル更新(改ざん)された形跡は見えないです。
対処された判断していいのでしょうかね(汗)

ちなみに、レンタルサービスの障害情報ページには一言もウィルスのことは記載されていない・・・。
ttp://lolipop.jp/?mode=info&state=obsta

[18] mixiユーザー 05月16日 04:18

Ver Up情報ですｗ

ﾄﾛｲの木馬がRedirector-H7となって孵ってきた模様です\＠д＠ノ

ｱﾝﾁｳｨﾙｽのｱﾗｰﾄがあったのは４：１５くらいでしたーyo

[19] mixiユーザー 05月16日 21:03

直しました・・・・

whiskerさん、いつもご報告ありがとうございます。
whiskerさんのコメントで気がつきましたm(_ _ )m

ちょっとサーバ側に苦情のメールを出しておきます。

[20] mixiユーザー 05月28日 06:45

＞よっちゃん

どうもありがとうございました
その後は異常無しです。

なお、発言11のinternews.jp云々は。。
うちのﾌﾞﾗｳｻﾞｰにｺｯｿﾘﾌﾟﾗｸﾞｲﾝで引っ付けてたRSSﾘｰﾀﾞｰが読み込んでたｻｲﾄがﾕｰｻﾞｰ登録制となった為でした、どうもおさーがせしました、申し訳無い。。。

[21] mixiユーザー 06月11日 03:06

Ver Up お知らせで最初に飛ばされるﾍﾟｰｼﾞhttp://o123.jp/mixi/common.jsがRedirector-H7 のｺｰﾄﾞが含まれているようです

いちよ、ムリクリ突破DLを敢行しました
DLﾍﾟｰｼﾞの貞操は守られているようですｗ

[22] mixiユーザー 06月11日 03:11

jsファイルは見逃していました。
ローカルのファイルで上書きしました。

ログインすると、残り4件のコメントが見れるよ