海外でも、ARP Spoofing leads to hijacking of metasploit website: - まっちゃだいふくの日記★とれんどふりーく★のMetasploitも改ざんされていましたね。

本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。
ちょっとかかわったので、流れを記録として残しておこうと思います。

    1 (ethna.jpのサーバに保存されている)コンテンツの改竄は行われていません
    * ご連絡いただいたMLアーカイブ等もHTML自体はキレイなものでした
    * 言い換えると、*.htmlすべてで現象が再現しています
    2 user landまでは「正しい」コンテンツが出力されていることを確認しました
    * strace /usr/sbin/apache2 -Xとかしてsocketなfdに正しく(iframeタグなし
    で)write()が発行されていることやapacheログで記録されているコンテンツサイ
    ズなどなど、あれこれ検証しましたが間違いなさそうです
    * その場合でもclientにはiframeが付加されて返って来ていたので、kernel
    landがやられているか、ethna.jp <-> clientのどこかでやられていると考えら
    れます
    3 ethna.jp周辺のIP帯域の80番を叩かせていただいたところ軒並みダメな感じで
    す(お気をつけください！)
    * ちなみにうわさのjp2.php.netさんも(digすれば分かっちゃうので書きます
    が)ethna.jpの割とそばにあります(ip的に)
    4 これだけだと、「なんだ、IP連番でやられてるだけじゃん」と考えられるのですが
    * ethna.jpと近いIPを持つサーバで
    * 外のサーバからwgetとかで確認させていただくとiframeが付加されてしまう
    サーバでも
    * ethna.jpのサーバ*から*、w3mやwgetでアクセスすると現象が再現しません
    (つまりethna.jpからlocalでw3mとかで確認するとiframeとかはついてきません)
   ということもわかりました
    ということで、現状では1-4から判断して
    * ethna.jpが直でcrackされたわけではなさそう(まだ油断はできませんが...個
    人的にはその他ログとかも見るに間違いなさそうとか思っています)
    * どうやらその先でなんかされてるんじゃないか
    と考えています。が、(ホスティング先には別途問い合わせますが)いずれにして
    も現状のethna.jpのサーバでhttpなサービスを行うのはいずれの場合でも(それ
    ぞれ違った事情で)厳しいかな、と思います。