インジェクション

いつもの。
http://books-loader.info/ur.php
http://milapop.com/ur.php
http://t6ryt56.info/ur.php
http://tadygus.com/ur.php

ドメイン名の登録は
t6ryt56.info 2011-01-28
books-loader.info 2011-01-18
となっていますが、使い捨てが当たり前のドメイン名を
更新するとは思えませんので乗っ取りでしょうか。

Analyzing a Mass SQL Injection Attack - Lizamoon (IBM ISS)
新しいタイプのWebサイト改ざんSQLインジェクション攻撃 (IBM 東京SOC)
LizaMoon mass injection hits over 226,000 URLs (was 28,000) (Websense)
Update on LizaMoon mass-injection and Q&A (Websense)
More on the "massive" SQL injection attack (Sunbelt GFI)
Apple iTunes page infected (Sunbelt GFI)
LizaMoon, Etc. SQL Injection Attack Still Ongoing (Trendmicro)
日本のWebサイトも改ざん被害-「ライザムーン」攻撃詳報 (Trendmicro)
Lizamoon SQL Injection: 7 Months Old and Counting (ScanSafe Cisco)
What's the deal with the Lizamoon SQL injection? (Sophos)
LizaMoon Mass SQL-Injection Attack Infected at least 500k Websites (SANS ISC)
LizaMoon the Latest SQL-Injection Attack (McAfee)
Odd FakeAv Marketing (Kaspersky)
新型SQLインジェクション攻撃「LizaMoon」多発～日本でも改ざん例を確認 (So-net)

2011-04-02

---

2011-04-06

数日前からLizamoonで騒がれたためか
「いつもの」SQLインジェクションのタグが削除されました。
放置されているとしか思えないサイトからも削除されていますので
サイト管理者ではなく犯人が一時的に削除したものと思われます。
つまり、ほとぼりが冷めた頃に復活するでしょう。

Lizamoonは「Windows Stability Center」でしたが、
その数日前には「MS Removal Tool」が流行りました。
被害報告増加中! 偽セキュリティソフト「MS Removal Tool」にご用心 (Trendmicro)
偽セキュリティソフトにご用心～「MS Removal Tool」の感染被害続出 (So-net)
「MS Removal Tool」ウイルス感染大ブーム!? 駆除・削除方法 (無題なブログ)
日本ではこちらが多かったようです。

偽アンチウイルス(いわゆるFakeAV)はほぼ毎日新作が出ています。
Rogue number crunching (GFI)
先月末の1週間分を引用してみます(多すぎて笑ってしまいます)。

2011-03-25 Windows Power Expansion
2011-03-26 MS Removal Tool
2011-03-28 Windows Expansion System
2011-03-29 Windows Repair
2011-03-30 Windows Process Regulator
2011-03-31 Windows Stability Center

# 同社の(VIPREの?)物と思われる文字列を削除し、
　実物と同様に空白を挿入しています。
　日付を年月日の順にしています。

また、注入される lizamoon.com などはあくまで入り口に過ぎず、
本体が設置してある大量の.inや.co.ccに飛ばされます
(私も踏みました。もちろん感染しませんでしたが)。
大量のドメインを列挙し、花火のように美しい図にしてくれる
Danchevさんのブログ(多すぎて笑ってしまいます)。
Dissecting the Massive SQL Injection Attack Serving Scareware (Dancho Danchev's Blog)

悪用される脆弱性は既知の(パッチ済みの)物ばかりです
(JavaやPDFです。PDFにはFlashを埋め込むこともできます)。
閲覧しただけで感染する、いわゆる
ドライブバイダウンロード攻撃への対策として
セキュリティソフトの導入より重要なのは
OSやこれらのアプリケーションを最新の状態に保つことです
(ゼロデイ攻撃は別ですが、既知の脆弱性の悪用がほとんどです)。
この点はGumblarから何も変わっていません。
つまり(ゼロデイ攻撃ではない)ほとんどの場合は
Gumblarから何も学ばず、アプリケーションの更新を怠った
選ばれし者しか感染しません
(ドライブバイダウンロードとは関係なく
ダイアログが表示されているようなファイルを
そのまま実行してしまう、言い換えるならファイル交換ソフトや
アップローダーのファイルをそのまま実行してしまう
選ばれし者の中の選ばれし者は何をやっても感染します)。

# 読みは「ライザムーン」ですか…。
　私は「リザムーン」と読んでいたのですが
　(たとえばAppleのLisaが「リサ」なので)。

---

話が逸れますが…。

東北地方太平洋沖地震等に係る情報提供のデータ形式について (経済産業省)

PDF等自動処理のしにくいデータ形式でのみ情報提供がなされている例が多く見られます。

その通りですね。
紙しか受け付けない人も居ますので
周知依頼文書がPDFであるという点については
(テキストも貼っていることですし)文句はありません
(CSVはXMLにしたほうがWebで扱いやすいとは思いますが)。

節電ウェブページ開設のお知らせ (経済産業省)

リンクがありません(PDFへのリンクしかありません)。

PDFにリンクがあります。


去年の同様の愚痴。