ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
うわさの、ArpSpoofingな改ざん事例の状況です。
海外でも、ARP Spoofing leads to hijacking of metasploit website: - まっちゃだいふくの日記★とれんどふりーく★のMetasploitも改ざんされていましたね。
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。
ちょっとかかわったので、流れを記録として残しておこうと思います。
1 (ethna.jpのサーバに保存されている)コンテンツの改竄は行われていません * ご連絡いただいたMLアーカイブ等もHTML自体はキレイなものでした * 言い換えると、*.htmlすべてで現象が再現しています 2 user landまでは「正しい」コンテンツが出力されていることを確認しました * strace /usr/sbin/apache2 -Xとかしてsocketなfdに正しく(iframeタグなし で)write()が発行されていることやapacheログで記録されているコンテンツサイ ズなどなど、あれこれ検証しましたが間違いなさそうです * その場合でもclientにはiframeが付加されて返って来ていたので、kernel landがやられているか、ethna.jp <-> clientのどこかでやられていると考えら れます 3 ethna.jp周辺のIP帯域の80番を叩かせていただいたところ軒並みダメな感じで す(お気をつけください!) * ちなみにうわさのjp2.php.netさんも(digすれば分かっちゃうので書きます が)ethna.jpの割とそばにあります(ip的に) 4 これだけだと、「なんだ、IP連番でやられてるだけじゃん」と考えられるのですが * ethna.jpと近いIPを持つサーバで * 外のサーバからwgetとかで確認させていただくとiframeが付加されてしまう サーバでも * ethna.jpのサーバ*から*、w3mやwgetでアクセスすると現象が再現しません (つまりethna.jpからlocalでw3mとかで確認するとiframeとかはついてきません) ということもわかりました ということで、現状では1-4から判断して * ethna.jpが直でcrackされたわけではなさそう(まだ油断はできませんが...個 人的にはその他ログとかも見るに間違いなさそうとか思っています) * どうやらその先でなんかされてるんじゃないか と考えています。が、(ホスティング先には別途問い合わせますが)いずれにして も現状のethna.jpのサーバでhttpなサービスを行うのはいずれの場合でも(それ ぞれ違った事情で)厳しいかな、と思います。
さくらインターネットの障害情報がでていますね。
さくらインターネットの「障害発生のお知らせ」に追記がありました。
[6月3日追記2]
弊社技術者により該当のサーバを調査しましたところ、上記サーバにて
クラッキングされていたことが判明いたしました。そのため、影響範囲
のお客様サーバへ WEBによるアクセスを行った場合、改竄されたウェブ
ページが表示される事象がございました。状況によっては、ウイルス等
による被害をうけられる可能性がございました。影響を受けられたお客様へは、別途状況の連絡をさせていただきます。