ethna.jpの第一報

10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。

10:31 (mikapon) おはようございます
10:32 (mikapon) ethnaのサイトなんですが
10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか？

ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ました。
firefoxで開いたところ、htmlの先頭で iframeの開始タグのみがあるので、ページが真っ白になってしまっていました。
修正や調査をする権限は無いので、MLに報告を投げました。

10:39 (maru_cc) ほんとだ　なんか変だ http://ethna.jp/pipermail/users/　＜開かないほうがいいかも
10:39 (maru_cc) 先頭に変なのが入ってる
10:39 (maru_cc)

※pp.cool0.bizは絶対に開かないで下さい! リンクにならないようにしています

Firefoxで、Flash Playerが最新だったおかげでなんともなかったのですが、この段階で、不用意に開いた自分に反省。

ぐぐって同じような現象にあっているという 2chのスレッドがありました。
http://namidame.2ch.net/test/read.cgi/news/1212288872/66-67

ただし、この段階ではまだ詳細は不明。

jp2.php.netでは

IRCのログを追ったところ、%PHPStudy のチャンネルでも一報がありました。

10:07 (nazo) jp2.php.netがクラックされてるのですが
10:09 (nazo) http://bloggers.ja.bz/sunouchi/
10:09 (nazo) の人に報告すればいいのでしょうか

IRCベースで、対応が進んでいたようです。

ethna.jpでの対応

ethna.jpのサービスを止めて調査を開始
http://ml.ethna.jp/pipermail/users/2008-June/000970.html

http://ml.ethna.jp/pipermail/users/2008-June/000971.html

IEおよびFlashの脆弱性突いてきますので決して踏まないでください。
http://namidame.2ch.net/test/read.cgi/news/1212288872/918-919

こちらに正確かどうかわかりませんが、現象がかかれていました。

http://namidame.2ch.net/test/read.cgi/news/1212288872/918-919

918 ： ニーチュ(福岡県)：2008/06/02(月) 07:34:44.02 id:fDXxYyKb0
憶測も交えてもうちょっと。長くなるので分けます

ppâ– cool0â– biz/bmw/am1â– htm?34-8681
　　ゆずソフトのサイトにiframeで仕込まれていたURL。以下の各種URLを呼び出す。

ppâ– cool0â– biz/ax14â– htm
　　VBScriptコードを生成する。IE以外は関係ない。
　　ActiveXコントロールの脆弱性をつくもの。
　　2006年の脆弱性であり、Windows Updateを行っていれば感染することはない。
　　↓参考URL
　　http://www.microsoft.com/japan/technet/security/bulletin/MS06-014.mspx

ppâ– cool0â– biz/re10â– htm
　　JavaScriptコードを生成する。IE6もしくはIE7でなければ何もせず終了する。
　　RealPlayerのActiveXコントロール（IERPCtl.IERPCtl.1）の脆弱性をつくもの。
　　IEユーザーでRealPlayerをインストールしており、
　　2007/10/25以降アップデートを行っていない場合感染の可能性がある。
　　↓参考URL
　　http://pc.nikkeibp.co.jp/article/NEWS/20071022/285084/?ST=pc_news

wwwâ– tongji123â– org/axfsâ– htm
　　IEの場合は4561.swfを呼び出し、Firefoxなどの場合4562.swfを呼び出す。
　　Flashプラグインの脆弱性をついたもので、ブラウザに依存しない。
　　Flashプラグインのバージョンが9.0.124.0(最新版)未満であれば感染の疑いがある。
　　↓参考URL
　　http://blog.trendmicro.co.jp/archives/1380

続く

919 ： ニーチュ(福岡県)：2008/06/02(月) 07:35:28.09 id:fDXxYyKb0
続き

ppâ– cool0â– biz/axlzâ– htm
　　ActiveXコントロールが呼び出せなければ呼ばれないのでIE以外には関係ない。
　　ActiveXコントロールOurgame 'GLIEDown2.dll'の脆弱性をつくもの。
　　Ourgameは中国のオンラインゲームサイトで、そこで使われているActiveXコントロール。
　　日本人にはほとんど関係ないと思われる。
　　↓参考URL
　　http://www.symantec.com/avcenter/attack_sigs/s22935.html

ppâ– cool0â– biz/re11â– htm
　　ActiveXコントロールが呼び出せなければ呼ばれないのでIE以外には関係ない。
　　RealPlayerのActiveXコントロールの脆弱性をつくもの。
　　IEユーザーであり、RealPlayerのバージョンが11.0.2未満の場合感染の可能性がある。
　　↓参考URL
　　http://japan.cnet.com/news/sec/story/0,2000056024,20369230,00.htm

jsâ– usersâ– 51â– la/1564751â– js
　　アクセス解析

ふじもとさんが調査してくださった調査結果第一報。
http://ml.ethna.jp/pipermail/users/2008-June/000972.html

1 (ethna.jpのサーバに保存されている)コンテンツの改竄は行われていません
* ご連絡いただいたMLアーカイブ等もHTML自体はキレイなものでした
* 言い換えると、*.htmlすべてで現象が再現しています

2 user landまでは「正しい」コンテンツが出力されていることを確認しました
* strace /usr/sbin/apache2 -Xとかしてsocketなfdに正しく(iframeタグなし
で)write()が発行されていることやapacheログで記録されているコンテンツサイ
ズなどなど、あれこれ検証しましたが間違いなさそうです
* その場合でもclientにはiframeが付加されて返って来ていたので、kernel
landがやられているか、ethna.jp <-> clientのどこかでやられていると考えら
れます

3 ethna.jp周辺のIP帯域の80番を叩かせていただいたところ軒並みダメな感じで
す(お気をつけください！)
* ちなみにうわさのjp2.php.netさんも(digすれば分かっちゃうので書きます
が)ethna.jpの割とそばにあります(ip的に)

4 これだけだと、「なんだ、IP連番でやられてるだけじゃん」と考えられるのですが
* ethna.jpと近いIPを持つサーバで
* 外のサーバからwgetとかで確認させていただくとiframeが付加されてしまう
サーバでも
* ethna.jpのサーバ*から*、w3mやwgetでアクセスすると現象が再現しません
(つまりethna.jpからlocalでw3mとかで確認するとiframeとかはついてきません)
ということもわかりました

ということで、現状では1-4から判断して

* ethna.jpが直でcrackされたわけではなさそう(まだ油断はできませんが...個
人的にはその他ログとかも見るに間違いなさそうとか思っています)
* どうやらその先でなんかされてるんじゃないか

と考えています。が、(ホスティング先には別途問い合わせますが)いずれにして
も現状のethna.jpのサーバでhttpなサービスを行うのはいずれの場合でも(それ
ぞれ違った事情で)厳しいかな、と思います。

これ以外にも対応を随時 %Ethna のIRCチャンネルで話をしていました。

ethna.jpをsf.jpへ移行

ethna.jpのコンテンツをこの機会に、以前から話が出ていた sf.jpへ移行してしまおうという判断になりました。
この判断が決定したのが、16時過ぎでした。

そこから、コンテンツの移行、DNSの切り替え等をして、復旧が完了したのが、20時。

http://ml.ethna.jp/pipermail/users/2008-June/000975.html
こちらにも書かれていますが、さくらインターネットで障害の報告があがっていました。

http://support.sakura.ad.jp/page/news/20080602-001.news

発生日時 : 2008年6月1日(日)01時52分 〜 6月2日(月)17時23分
影響範囲 : 専用サーバ 10M スタンダード一部
　　　　　 219.94.145.0 〜 219.94.145.127
障害内容 : 発生時間帯におけるサーバへの接続において断続的に不安定な
　　　　　 状況が発生しておりました。
補足事項 ：現在、障害は解消しております。

不安定？という話はありますが、ネットワークの上位で何かあったのは間違いなさそうです。

大久保さんが書かれている
http://ml.ethna.jp/pipermail/users/2008-June/000974.html

「セキュリティホール memo」さんでも話題になってますが、
ふじもとさんの解析結果と合わせるとARP Spoofingっぽいですね。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/10.html#20071005_ARP

ARP Spoofingというのを始めて知りました。

その後

とりあえず、障害は収まったらしく、jp2.php.netは復旧していますし、ethna.jpはサーバの移行を行いました。

サイトでも告知をしています。
http://ethna.jp/
http://ethna.jp/ethna-news.html#u03a0183

2008/06/02 の午前中に、ethna.jp のコンテンツに不正なiframeタグが埋め込まれているのではないかとメーリングリストに報告がありました。これは複数の脆弱性を突くマルウェアへと誘導するものでした。

もし、この時間内に、サイトを閲覧した人は、PCが感染していないか確認をしたほうがいいかもしれません。

追記

こちらのMLで、さくらに問い合わせをした回答を書かれている方がいました。
http://memo.st.ryukoku.ac.jp/archive/200806.month/9458.html

こちらもさくらに問い合わせました。1台ルータと同じIPを名乗るマシンがいた
そうです。
隔離ずみとのことですが、HTTP改竄をしていたことはどうも認識してなかった気配？
で、新しい情報が判明次第案内するとのことでした。

いくら自分のサーバをしっかりやっても、上位や所属するネットワーク内で、こういったことが発生すると防ぎようがないですね。
事後的な対応策としては、別のネットワークにバックアップサーバを用意しておいて、切り替えるぐらいでしょうか？

追記(2008-06-03)

さくらインターネットの「障害発生のお知らせ」に追記がありました。

[6月3日追記]
　　　同一ネットワーク内に収容された一部サーバにおいてネットワーク設定
　　　の誤りにより、本障害が引き起こされました。
　　　該当のサーバを隔離することにより、障害は解消しております。

ふと思いついたのだが、iframeタグが開始タグだけだから画面が真っ白になり問題が発覚したが、普通に閉じタグまであったら、一般の人は気づかないのではないだろうか？

追記(2008-06-03)

ふじもとさんの一時調査結果がメールからの引用だけだったので、前後にちょっと文章追記

追記(2008-06-03)

さくらインターネットの「障害発生のお知らせ」にさらに追記がありました。

[6月3日追記2]
　　　弊社技術者により該当のサーバを調査しましたところ、上記サーバにて
　　　クラッキングされていたことが判明いたしました。そのため、影響範囲
　　　のお客様サーバへ WEBによるアクセスを行った場合、改竄されたウェブ
　　　ページが表示される事象がございました。状況によっては、ウイルス等
　　　による被害をうけられる可能性がございました。

　　　影響を受けられたお客様へは、別途状況の連絡をさせていただきます。

追記(2008-06-04)

高木さんがBlogに今回のことを書かれていました。
「高木浩光＠自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか？」

URLにtypoがあったことにいまさらながら気づいたorz
はずかしぃ・・・

追記(2008-06-05)

同じ被害あわれて、さくらからのメールの全文を公開されています。
「(続)ホスティングでは同一セグメントのマシンのセキュリティと一蓮托生 - mmasudaのはてな日記」