(○口○*)さん <><>07/04/25 16:19 ID:2a4usTN10<> アカウントハックが横行する昨今、セキュリティに関して話し合いましょう。
・ウイルスソフトやスパイウェアチェックソフトなどの質問。
・アカウントハック対策に関しての討論など。
アカウントハックの危険性があるURLは「.」を「■」に置き換えて貼り付けください。
最新の予防策・垢ハックを踏んでしまった時の相談などはMMOBBS/Ragnarok板のスレへ
アカウントハック総合対策スレ6
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1173963316/ <>セキュリティ対策、質問・雑談スレ2
(○口○*)さん<>sage<>07/04/25 16:24 ID:2a4usTN10<> 以下、前スレの使えそうな所ダイジェスト(テンプレにするかどうかは次スレ立てる時に相談)
【PCにウィルス対策ソフトを導入してない方へ】
・Kaspersky Anti-Virus (体験版)
http://www.kaspersky.co.jp/trial/
・カスペルスキー:オンライン ウイルス&スパイウェアスキャナ
http://www.kaspersky.co.jp/scanforvirus/
・NOD32 アンチウイルス (体験版)
http://www.canon-sol.jp/product/nd/trial.html
■PG2用 RO許可リスト■
RAGNAROK-JP:61.215.212.0-61.215.212.255
RAGNAROK-JP2:61.215.214.128-61.215.214.255
WEB-SYSTEM:61.215.220.64-61.215.220.255
RAGNAROK-JP2:211.13.228.0-211.13.228.255
GUNGHO-MODE:211.13.229.0-211.13.229.255
RAGNAROK-JP3:211.13.232.0-211.13.232.255
RAGNAROK-JP4:211.13.235.0-211.13.235.255
GUNGHO-PAT1:219.123.155.160-219.123.155.191
GUNGHO-PAT1:221.247.195.160-221.247.195.191
GUNGHO-PAT3:125.101.19.64-125.101.19.95
GUNGHO-PAT4:124.32.117.192-124.32.117.22 <>
(○口○*)さん<>sage<>07/04/25 16:24 ID:2a4usTN10<> とりあえず「PCのことなんてわかんね」って人用に面倒でもやるべきこと まとめ(XPの人用)
1 WindowsUpdateをする
手順:スタート→全てのプログラム→WindowsUpdateとクリックし、【高速ボタンで全てインストール】
2 ウィルス対策ソフトを導入する
めんどくても必ず何かしら入れること
推奨は【NOD32】、【カスペルスキー】のふたつのうちどちらか
無料のソフトもあるのでその辺は検索のこと
3 InternetExplorerの設定
スタート→コントロールパネル→ネットワークとインターネット接続→インターネットオプションを開く
上のメニューから「セキュリティ」を選び、「レベルのカスタマイズ」をクリック
中ごろにある【ページの自動読み込み】を【無効】にする
その下にある【ポップアップブロックの使用】を【有効】にする
そこからもう少し下のほうにある【拡張子ではなく、内容によってファイルを開くこと】を【無効】にする
4 2ちゃんねるブラウザ等の掲示板ブラウザの画像プレビュー表示機能、オートリンク機能をオフにする
これは各ソフトで設定が違うので各ソフトのヘルプ等を参照のこと <>
(○口○*)さん<>sage<>07/04/25 16:27 ID:2a4usTN10<> ■前スレ969によるhosts更新支援スクリプト■
あこすれてんぷら避難所を間借りする事で公開しました。
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript
一応説明を付けていますが、自己責任、という事でお願いします。
cfgとvbsの2ファイル構成で、動作に必要なwget等は付属してません。
※ 配布ページとファイルをよく読んで、【自己責任にて】 ご利用ください <>
(○口○*)さん<>sage<>07/04/25 16:35 ID:2a4usTN10<>
■1PC環境におけるウィルス駆除前のパスワード変更方法について
踏んでしまった or 踏んだかもしれない時、すぐに安全な他のPCを利用できない場合どうすればいいのか、
テンプレにもBSWikiにも記述がありますので良く読んで頂くとして、事前の準備を考えている人向けにプチまとめ。
これまでに確認されたアカウントハックのプログラムは、感染力のあるウィルスやワーム
と言ったものではなくトロイ・スパイウェアの類なのですが、この先どこまで高機能化するか判りませんし
やはり「ネットからの切断・感染PCの隔離」が最優先事項といえます。
それ故に同じPCで早急にパスワードの変更をしたい場合には、それなりの事前の準備が必要になってきます。
・1CD Linux (詳細はテンプレやBSWiki安全の為にを参照)
Windowsではない別のOSである「Linux」をCD(DVD)から起動してGungho公式にアクセスしパスを変更します。
[長所]
安全度はかなり高いといえます。HDDを使わないので緊急用としてはお手軽です。
初めてLinuxを使う人は操作に多少戸惑うかもしれませんが、ブラウザ起動さえ出来れば
パス変更程度ならなんとかなるでしょう。
[短所]
CD-Rを持っていてISOイメージで焼く事のできる人のみ利用可能です。(雑誌のオマケに付いている事も有りますが)
自分のPCで上手く動くCDを作成するまでが大変かもしれません。
ハードウェアの認識力は高くなってきてはいますが、まれに古いPCや相性の悪いPCだと動かない事もあります。
(その場合は別の1CD Linuxを試してみると動く事もあります。Linuxは様々な派生バージョンがありますので)
・デュアルブート
1台のPCにWindowsを2つ(もしくはWin+Linux)入れておいて非常時にはサブの方から起動しパスを変更します。
メインで使うWindowsからサブのWindowsが見えないように分離したい所なのですが、その辺りの設定が出来る
ブートマネージャを導入しパーティションを不可視にするといった作業はやや難しいかもしれません。
[長所]
サブが使い慣れているWindowsならやり易いでしょうし、オンラインウィルススキャンをかける事も出来ます。
Winが2つの場合安全度はウィルスの能力により大きく変動しますが、2つを分離できれば高いといえます。
[短所]
OSのクリーンインストールをほいほいできる程度の知識は必要です。
建前としてWindowsを2つ所持している必要があります(サブをLinuxにすれば問題ありませんが)
メーカー製のOSリカバリーディスクしかない場合、ディアルブート環境にするのが難しい場合もあります。 <>
(○口○*)さん<>sage<>07/04/25 16:35 ID:2a4usTN10<>
・仮想PC
仮想PC(仮想マシン)とは、あるOS(ホストOSと呼ぶ)の上にPCのハードウェアをエミュレートする環境を構築して、
その上で別のOS(ゲストOSと呼ぶ)を動かす仕組みの事です。
具体的には"Microsoft Virtual PC"等を利用してWindows上に仮想マシン環境を構築しそこに別のOSを入れる事になります。
[長所]
ゲストOSとホストOSの垣根を越えて悪さをする事は、基本的には出来ない筈ですから安全度は高いといえます。
使いこなせれば利便性はかなり高いです。ROにログインしたままパス変更をする事も可能だと思います。
[短所]
ググればインストールの方法などは出てきますが、まったくの初心者にはやや難しいかもしれません。
ある程度のマシンパワー(特にメモリ)が無いと重いです。
・IPフィルタ・パケットフィルタ等による一時的な送信制限
指定したIPに対する通信をブロックするツールの中には、
全域(0.0.0.0-255.255.255.255)をブロックした上で一部IPのみを許可できる物もあると思います。
つまり緊急時に指定したIP(Gungho公式やRO鯖のみ)に対してだけ送信を許可して、
パスワードを変更し時間を稼ごうという訳です。
FW系セキュリティソフトを導入済みなら、設定によって実現できるかもしれません。
[長所]
うまく設定できればROにログインしたままパス変更ができます。あくまで時間稼ぎの緊急措置ですが。
[短所]
プライベートIPの場合は非常に話がややこしくなります。
そこそこの知識が必要でやはり敷居が高すぎるかもしれません。設定をミスれば全く無意味なのでやる人はいないかも…
※ウィルスに対する安全性・導入の難易度・使用中PCへの影響などを総合的に考えると、
お勧めは「1CD Linux」もしくは「仮想PC」といったところでしょうか。
Wikipediaによる1CD Linuxの解説 ja.wikipedia.org/wiki/1CD_Linux
1CD Linuxは↓をみていただくと判る通り多くの種類が有ります。
ライブCDの部屋 2.csx.jp/livecdroom/
代表的な1CD Linuxである"KNOPPIX"の入手方法 (産業技術総合研究所版 KNOPPIX)
unit.aist.go.jp/itri/knoppix/index.html
ダウンロード→CD(ISO)版→最新ダウンロードサイトの3つから選んで
knoppix_v5.1.1CD_20070104-20070122+IPAFont_AC20070123.iso
ってのをダウンロードしてみて下さい。サイズは700M位あります。
ダウンロードできたらCD-Rに書き込む訳ですが、ライティングソフトのマニュアルを熟読して
必ず「ISOイメージ」として焼いて下さい。でないと起動できないただの巨大なファイルを焼いてしまう事になります。 <>
(○口○*)さん<>sage<>07/04/25 16:36 ID:2a4usTN10<> メール可能な検体提出先(英文が基本)
Avira GmbH(AntiVir) <virus@avira.com>
Dr.WEB <vms@drweb.com >
ESET(NOD32) <samples@eset.com>
F-Secure <samples@f-secure.co.jp>
Grisoft(AVG Anti-Virus) <virus@grisoft.com>
Kaspersky Lab <newvirus@kaspersky.com>
SOFTWIN(BitDefender) <virus_submission@bitdefender.com>
CA(eTrust Vet) <support@vet.com.au>
CA(eTrust Antivirus) <virus@ca.com>
ALWIL Software(avast!) <virus@avast.com>
K7Computing <k7viruslab@k7computing.com>
英文例 (2chセキュ板のをベース)
Hello.
I suspect attached file is infected with virus.
Please examine this.
Details are as follows.
Thanks in advance.
<Attached file info>
Decompression password : virus
File name : virus.zip
In file : virus.exe
<Where did I get this?>
http://exmaple.com/virus.exe
<Aditional Info>
<OS>
Windows 2000 SP4
<Country>
Japan
<Detection possible other software>
NOD32 Win32.NULPO
NORTON Win32.GATTSU <>
(○口○*)さん<>sage<>07/04/25 16:36 ID:2a4usTN10<> Webからの提出のみ?
Norman
http://www.norman.com/Virus/Submit_virus_sample/
Sophos
http://www.sophos.com/support/samples/
F-Prot
http://www.f-prot.com/virusinfo/submission_form.html
Norton
専用の提出プログラム sarcret.exe (自家製メーラ)を拾って
それで送れ、ということなんだけど
最近はプロバイダの迷惑メール規制でほぼ使い物にならない。
sarcretが送信するメールと同様のメールを作成して送ることもできるけど
やたらとめんどくさい(サブジェクト、本文、ファイル名などが固定)。
ということで英文フォーム。
https://submit.symantec.com/websubmit/retail.cgi
zipで固めてアップ。Captcha(図から字を読んで入力する)あり。
図が紛らわしくて読めない時(1とlとかhとnとか)はリロードがんばれ。
McAfee
メールで送ることもできるけどzipパスワードが「infected」限定
(自動処理されるため他のパスワードは自動返信で蹴っ飛ばされる)。
またメールは対応が遅い。
ということで英文フォーム。
https://www.webimmune.net/
zipで固めてアップ。アカウントを取得しておくこと。
アップ後1分ほど待ってからMy Accountで結果が出る。
ウイルスバスター(PC-cillin)
日本のトレンドマイクロは提出にウイルスバスターのシリアルが必要なので無視。
ということで英文フォーム。
http://subwiz.trendmicro.com/
の Suspicious file 。Session IDが付くのでブックマークは上記で。
このフォームはIEでしか動作しない(えー)。
ウイルスバスターという選択肢は無いので「PC-cillin 2006」とか選んで
zipで固めてアップ。未知のものはそのまま受け入れられるが
既知のものはアップ後ASPがエラーになるのですぐわかる(えー)。 <>
(○口○*)さん<>sage<>07/04/25 16:46 ID:dQEocZtn0<> 前スレの使えそうな内容ダイジェストは以上です。他に気付いたものがあったら適宜貼り付けて下さい。
間で連続投稿規制に引っ掛かりました。テンプレにするには長過ぎるってことですね。orz
通称本スレ(?)のテンプレから引用して締めっ。
■スレの性格上、誤って危険なURLがそのまま貼られてしまう可能性がある■
■URLを無闇に踏んで回らないこと。報告・相談はテンプレを利用すること■
※ ID/Pass/サーバ/キャラ名等の情報は公開しないでください
※ このスレは『勇気が無くて見れないサイト解説スレ』ではありません
【参考アドレス】
・ROアカウントハック報告スレのまとめ?サイト
http://sky.geocities.jp/vs_ro_hack/
・安全の為に (BSWikiより)
http://smith.xrea.jp/?Security
・リネージュ資料室 (応用可能な情報が多数)
http://lineage.nyx.bne.jp/
【このスレでよく出てくるアプリケーション】
・PeerGuardian2(設定などはリネージュ資料室内・セキュリティ対策参照)
ttp://lineage.nyx.bne.jp/misc/security/?id=basic-ipfilter <>
(○口○*)さん<>sage<>07/04/25 17:19 ID:ecNW/h2i0<> 今ROを起動したところカスペルスキーが反応して
プロセスを実行します
\RagnarokOnline\GameGuard\GameMon.des
リスクウェア「Invader」の亜種を検知しました
と出ました。
プロセスをすべて拒否し、念のため回線を抜いて携帯からパス変更しました。
Invaderをググってもよくわからないので、これは一体何なのかどなたか教えて
もらえないでしょうか(´・ω・`)
携帯から書き込もうとしたらエラーが出たので、当該PCより書き込んでいます。 <>
(○口○*)さん<>sage<>07/04/25 17:33 ID:2a4usTN10<> nPro自体がルートキットみたいな属性なんで、悪質なソフトと誤認された可能性が高いです。
本当にウィルスなのか、nProがウィルスと誤認されただけなのかの判断ができません。
リスクウェアの説明を読んでみて下さい。nProがこれに該当するのは当然だと思いますが…。
http://www.viruslistjp.com/riskware/
nProのリスクを把握したうえでプレイするわけですから、ROをプレイするなら許可出しちゃっていいと思います。
気分が悪ければ、キャラデリ→癌ID削除→HDDフォーマット(nProの残骸抹殺)してクリーンな環境に戻りましょう。 <>
(○口○*)さん<>sage<>07/04/25 17:33 ID:h9hfvCZh0<> そりゃあんた、カスペがnProを誤検知してるんだよ
\RagnarokOnline\GameGuard\以下のディレクトリはチェック対象外にしないと <>
(○口○*)さん<>sage<>07/04/25 17:42 ID:dQEocZtn0<> rootkit紛いの手法でプロテクトしてるから、検出されるのはある意味正常。
ただROをする上でnProが必要なので、使用者側が例外として登録する必要がある。 <>
(○口○*)さん<>sage<>07/04/25 17:49 ID:G/IuMIWo0<> >>12
その方法だとレジストリからインストールの場所を探し出して
そこに仕込まれたら検知不能になると思うが? <>
10<>sage<>07/04/25 18:06 ID:ecNW/h2i0<> 今までこんな表示が出たことがなかったので慌ててしまいました。
PG2も導入していますし、ウイルススキャンしても何も検出されなかったので
許可を出すことにします。
皆さんありがとうございました(´∀`) <>
(○口○*)さん<><>07/04/25 18:18 ID:FnHRUGXz0<> 前スレ埋まったのでageます。(間違えて前スレあげてしまった_| ̄|○ <>
(○口○*)さん<>sage<>07/04/25 21:19 ID:faFbw8GL0<> 専ブラだと>>7の<Where did I get this?>のurlに直接飛べるんだが
これって大丈夫なん? <>
(○口○*)さん<>sage<>07/04/25 21:25 ID:2a4usTN10<> >>17
サンプルと書いてあるように実体がないので大丈夫。
誰かがそのドメイン取って、そのアドレスにウィルス置いた場合までは保証の限りではないけど。 <>
(○口○*)さん<>sage<>07/04/25 21:26 ID:oSI/EDbc0<> 現実には存在しないURLだろ
exampleと書こうとして綴り間違ったっぽいけど <>
(○口○*)さん<>sage<>07/04/25 21:27 ID:GXByZGxL0<> >>17
普通のブラウザでも思いっきり飛べるけど・・・
多分それは架空のアドレスだから、大丈夫かと。
example.comってのは実在するみたいだけど、
exmaple.comはないっぽい
中華がこれから取ってきたら知らんけど。 <>
(○口○*)さん<>sage<>07/04/25 21:27 ID:EEH132dx0<> URL記述の一例で、現時点では存在していないから大丈夫
将来は不明だが <>
(○口○*)さん<>sage<>07/04/25 21:27 ID:2a4usTN10<> サンプルじゃねーや。exmaple だ。
ま、この単語見れば、意味は通じるだろ。 <>
(○口○*)さん<>sage<>07/04/25 21:28 ID:2a4usTN10<> みんな被りまくり。重婚は犯罪ですよ。(*ノノ) <>
(○口○*)さん<>sage<>07/04/25 21:57 ID:DWh5J2mI0<> ちなみにexample絡みは、存在はするけど、実在はしないドメイン。
RFC 2606によって、example.{com|net|org}と、*.exampleは予約されている。
typo狙いの悪質サイトには注意する必要があるが。googkleの時のように。 <>
(○口○*)さん<>sage<>07/04/25 22:03 ID:EEH132dx0<> 「QuickTime」に脆弱性--Macのハッキングコンテストで明らかに
ttp://itpro.nikkeibp.co.jp/article/MAG/20070425/269115/
最後の方に書いてあるけど、MacだけではなくWindowsも対象らしいので注意
ちなみに 0dayなので現時点では修正パッチ無し <>
(○口○*)さん<>sage<>07/04/26 00:30 ID:EHcYy7BX0<> 今回の場合、コンテストの一環で見つかってるが、
穴だらけでもシェアの関係で助かってるだけのMacを、
「WindowsよりMacの方が安全」なんて皮肉混じりのCMをやってると、
さらに皮肉好きのクラッカーに狙われることも出てくるわな。
まあ、MacOS上でネイティブにはRO走らんから、
狭い意味では安全っちゃ安全だけど。 <>
(○口○*)さん<>sage<>07/04/26 04:25 ID:ffcBswSN0<> ttp://hakkakudo.exblog.jp/5942001/
もう既出かな?
結構危ない気がしたので一応紹介 <>
(○口○*)さん<>sage<>07/04/26 05:01 ID:BDUKlc+w0<> >>27
CHAOS-BOT情報局★Sさんでも紹介されていたので見てきましたよ。
でもうちはOSがXP Homeなので設定できませんでした。
次回の記事でXP Homeでの設定方法を紹介してくださるそうなので期待。
URLだけだと恐くて見る人いないかもなのでタイトル付きで
白角堂の徒然記 : RLOでの拡張子偽装に注意(ウィルス対策)
ttp://hakkakudo.exblog.jp/5942001/ <>
(○口○*)さん<>sage<>07/04/26 07:23 ID:FkVMWNP70<> 当方XP Proユーザなので早速設定してみますた <>
(○口○*)さん<>sage<>07/04/26 09:58 ID:tavNutjZ0<> slashbotに載ってた記事の事だね。
元は日経IT ProのWinny関連の記事。
slashbot ttp://slashdot.jp/security/07/04/22/0520221.shtml
日経IT Pro ttp://itpro.nikkeibp.co.jp/article/Interview/20070413/268234/?ST=security&P=1
Winnyではこの偽装が最近多いらしい。
ちなみにポリシー触らなくても、Explorer以外のFilerを使ってると見抜ける
(制御文字を「?」と表示する)場合もある。 <>
(○口○*)さん<>sage<>07/04/26 09:59 ID:tavNutjZ0<> botじゃねぇ、dotだorz <>
(○口○*)さん<>sage<>07/04/26 10:33 ID:UeZwmOHr0<> hosts自動書換スクリプト(>>4)でリネージュ資料室のリスト
ttp://lineage.nyx.bne.jp/misc/security/?id=url-site
を使いたい人向けに設定を考えてみました。
ちょっとテクニックが要りますが、hostsRenew.cfgを下記の通りに設定します。
strURL1="-O id=url-site http://lineage.nyx.bne.jp/misc/security/?"
strURL2="id=url-site"
※他はROの場合と同じ
リネージュの方のみ使う場合は、これだけでOKです。 <>
(○口○*)さん<>sage<>07/04/26 10:34 ID:UeZwmOHr0<> さらにリネージュとROの両方を読み込んで合成したい場合は
リネージュ用とRO用でそれぞれ専用のフォルダを作成し、その中に
hostsRenew.vbsとhostsRenew.cfgをペアで作成します。一例として
DドライブのルートにLIおよびROというフォルダを作成することにします。
D:\LI\hostsRenew.vbs
D:\LI\hostsRenew.cfg
D:\RO\hostsRenew.vbs
D:\RO\hostsRenew.cfg
のように4つファイルを作成し、それぞれのcfgファイルを
●D:\LI\hostsRenew.cfg
MyHosts ="C:\Windows\system32\Drivers\etc\MyHosts.txt"
hostsPath="C:\Windows\system32\Drivers\etc\MyHosts2.txt"
●D:\RO\hostsRenew.cfg
MyHosts ="C:\Windows\system32\Drivers\etc\MyHosts2.txt"
hostsPath="C:\Windows\system32\Drivers\etc\hosts"
のように設定し、さらに以下のバッチファイルを作成します。
●D:\hostsRenew.bat
D:
cd \LI
hostsRenew.vbs
cd \RO
hostsRenew.vbs
※上記5行がファイルの中身です。
これで準備完了。あとはバッチファイルを実行すれば、合成したhostsファイルが出来上がります。
現時点でリネージュ側が639行、RO側が326行あり、合計で1000行程度の巨大なファイルになりますが・・・ <>
(○口○*)さん<>sage<>07/04/26 11:34 ID:tavNutjZ0<> >32-33
乙です。
自分も両方のリストを連結しようとvbsを改造して使ってたけど、その方法なら
vbsの改造無しでいけますね。
最初の方で作成したMyHosts2.txtを次のMyHostsとして使用するって発想は
思いつかなかった……
まとめサイトとリネ資料室のを連結すると重複行が出てくるだろうし、それを
省けば多少は減るとは思うけど、本体改造無しでやる方法あるかなぁ? <>
32<>sage<>07/04/26 12:19 ID:UeZwmOHr0<> >>34
重複行を削除する方法は自分も考えているんですが、
本体スクリプトを改造するか、
あるいは全然別のスクリプトを作成して、
そちらで出来上がったhostsファイルを読み込んで
重複行を削除するか、と言ったところでしょうね。
アルゴリズム的にはリストをすべて配列に記憶して、
バブルソートした後、重複行を削除というのが
無難なところだと思いますが・・・。 <>
(○口○*)さん<>sage<>07/04/26 12:36 ID:tavNutjZ0<> >35
Sortとuniqやそれに準じるツールを併用すればバッチファイル内で処理可能
なんですけどね。
でもコメント行の#だけの行も当然消えるので可読性が落ちるのと、# Trojan〜の
括りが消えるとかの問題があるのが難点。
実用には問題ないけど。 <>
(○口○*)さん<>sage<>07/04/26 13:35 ID:Y4jOWfqn0<> 相互リンク
アカウントハック総合対策スレ7
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/ <>
32<>sage<>07/04/26 14:55 ID:UeZwmOHr0<> >>36
Cygwin使って、重複行を削除するスクリプトを書いてみました。
(もっとスマートに書けるのかもですが、UNIXのコマンドをあまり知らないもので・・・)
#!/bin/sh
grep -in "trojan trap sites" hosts | cut -f1 -d: > temp
nHead=`expr $(head -n1 temp) + 1`
nTail=`expr $(tail -n1 temp) + 1`
nListEnd=`expr $nTail - 3`
nListNum=`expr $nListEnd - $nHead`
head -n$nHead hosts > temp
head -n$nListEnd hosts | tail -n$nListNum | grep "^127.0.0.1" | sort | uniq >> temp
head -n$nTail hosts | tail -n3 >> temp
mv temp hosts
スクリプトと同じフォルダにhostsファイルがあるという前提です。
# Trojan trap sites 〜 # End of trojan trap sites
の間にある行のうち「127.0.0.1」で始まる行のみを取り出してソート&重複行削除を行ってます。
可読性を維持しつつ、重複行を取り除けますが、実際の運用でCygwinを使いたくはないので、
これをどうやってCygwin抜きで実現するかですが・・・
ちなみに重複を取り除くと、リネージュ(639行)+RO(326行)=965行 → 684行まで減ります。 <>
(○口○*)さん<>sage<>07/04/26 15:23 ID:ckjSPqiB0<> とうとうカスペ買ってしまった…。
前スレの話題引っ張るようで、最初にごめんなさい。しておきますが、
KISって、ダウンロードしたインストールファイルが、kis6jp.exeだからなのね。 <>
(○口○*)さん<>sage<>07/04/26 15:29 ID:BDUKlc+w0<> スレ立て乙です。
aguse.netとソースチェッカーオンラインも軽く説明付きでテンプレに入れても
いいかもと思いました。 <>
(○口○*)さん<>sage<>07/04/26 19:56 ID:zezf1sun0<> というか、テンプレに詰め込みたくても、連投規制かかる件。
まとめサイトとかWikiとかにリンク張ったらいいのかもねー <>
(○口○*)さん<>sage<>07/04/26 20:09 ID:RSUdx0C/0<> スクリプト、作者の人にDangerHostsを残すようにしてもらったら
全て解決しそうな予感 <>
セキュスレ1-936<>sage<>07/04/27 01:38 ID:Kj/6rVwu0<> hostsRenew Version0.05
・ErrMsgFlgの追加
必要ファイルが無い場合などにメッセージを出すオプションを追加しました。
初期値でメッセージを出すようにしているので、自動更新で利用されてる方は注意してください。
・DangerHostsPathの追加
一時ファイルとして作成していたDangerHostsを保存出来る用にしました。
コメント行は入らない様にしています。
初期値は未設定ですので作成されませんので、必要な方はフルパスで記述してください。 <>
セキュスレ1-936<>sage<>07/04/27 01:51 ID:Kj/6rVwu0<> >32
リネージュ資料室さんのリストも使えるかも、と作ってはいましたが
その使い方は正直予想外でした。
重複分のカットについては、NT版UNIX-like toolsに含まれるSort.exeを
使えばバッチファイルでも簡単にできると思います。
ttp://www.piedey.co.jp/softs/ntuxtl014.html <>
(○口○*)さん<>sage<>07/04/27 02:53 ID:xW81jg220<> >43
更新乙です
Unix-like tools の Sort -u で重複部分はカットできるけど
wwwで始まる部分はどうしても中に入りますね
流石にこればっかりはどうしようもないかな <>
32<>sage<>07/04/27 05:41 ID:UBSbj8we0<> hostsファイルの重複部削除スクリプトを作ってみましたが、需要あるかな。
ttp://www.mmobbs.com/uploader/files/2519.zip
MD5: 652BEBC99AE740C7150FE3E68363D2CB (HostsUnique001.zip)
MD5: F83BAC5788ECDFD7BF019E8F0C33F4AE (hostsUnique.js)
必ずしも、重複を削除しなければならないわけでもないですし、
>>44-45の方法でも実現できるので、あまり需要ないような気もしますが・・・
あと>>38の最後の行は間違ってました。重複削除後は現時点で660行です。 <>
32<>sage<>07/04/27 05:52 ID:UBSbj8we0<> >>44
更新お疲れ様です。
実のところ、32の方法は後から思いつきました。
最初のうちは34さんと同じくスクリプト本体を改造して実現していました。
改良案として、WGETコマンドを常に-Oオプション付きの固定ファイル名出力で実行し、
strURL2との比較はやめる。strURL1とstrURL2は分離する必要がなくなるので、
strURL2を廃止し、strURL1のみでページを指定するようにする。
という方法がありますが、如何でしょうか? <>
(○口○*)さん<>age<>07/04/27 15:22 ID:fGJFhoDa0<> スパムでありながらウイルス──ネット犯罪の兆候をMessageLabsが警告
http://internet.watch.impress.co.jp/cda/news/2007/04/27/15580.html
今後は、貼られるだけではなく、spamにも仕込まれるかもしれませんね。注意しないと。 <>
(○口○*)さん<>sage<>07/04/27 17:24 ID:97/eBzoB0<> >47
その方が判りやすいし楽だろうけど、今のままでも同じ動作するから
変えなくてもいいような。
初期値でまとめサイトが指定されてるから特に意識する必要も無いし。
>48
例えたら、lovetwのアドレスが書かれたメールが飛んでくる、みたいな
ものかね?
そういう罠メールは昔からあると思うんだが、この時期に警告するって事は
それとは違う? <>
47<>sage<>07/04/27 22:34 ID:UBSbj8we0<> >>49
うん。まとめサイトの方だけを使うなら、現状でいいんだけど、
リネージュ資料室のページを読み込むときに、
現状は>>32のような変則的な設定を行うしかないので、
普通に設定できるように>>47の案を出させて頂きました。
元々スクリプトがまとめサイト用に作られてるので、
リネージュ資料室の方は対象外と言われれば、もちろんそれまでなんですが、
ROリネージュ共用トロイとかありますし、両方プレイしてる人もいるでしょうし・・・ <>
(○口○*)さん<>sage<>07/04/28 04:10 ID:b0G1obEZ0<> 質問があります。
もしアカハックURLを踏むんでしまった場合、100%感染するのでしょうか?
さきほど高Lv一次職集会で踏んでしまったのですが、
ウイルススキャンなどで調べても特に感染されたとか出ませんでした <>
(○口○*)さん<>sage<>07/04/28 04:58 ID:2wOAVes90<> 集会で踏んだとはどういうことだろう <>
(○口○*)さん<>sage<>07/04/28 05:12 ID:mkTS7fX90<> 100%感染する必殺なURLもあると思います。しない奴もあります。
そういう意味で、あなたが踏んだのがどちらかわからないので、
結論としては、いかなる場合も100%感染する、ということはありません。
WindowsUpdateの適用状況だったり、
OSだったり、使用してたブラウザだったり、
ブラウザの設定だったり、通信速度の品質だったり、
host設定していたり、PG2設定していたり、proxymotion設定していたり、
そもそも垢ハック側にも、すごいやつとへぼいやつがあったり。
そして。
ウイルススキャンで調べて問題なくても感染してる可能性はあります。
不安を避けたいなら、OS再インストールが正解。
>>37の本スレの最初にテンプレあるので読んでみるべし。
あそこの報告テンプレに従わないと、なにもできません。 <>
51<>sage<>07/04/28 05:53 ID:PXIbxlqQ0<> 高Lv一次職集会というテンプレみたいなサイトで踏んでしまいました。
ttp://www■23styles■com/bbs/
↑これが問題のURLです。クリックしても真っ白な画面のままだったので、
もしやと思って危険なURL一覧を検索したら載っていました。
先ほどカスペルでマイコンピュータをスキャンしたところ、ウイルスに感染していると出ました。
しかし、ノートンの最新版で見てもウイルスは引っかかりませんでした。
同じウイルス検索でも見つからないことがあるのでしょうか? <>
51<>sage<>07/04/28 06:56 ID:PXIbxlqQ0<> C:\Dcouments and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\NZUYGUXQ\bbs[1]htm
↑これがウイルスみたいです <>
(○口○*)さん<>sage<>07/04/28 07:05 ID:aOvrZxJC0<> >>26
強固さなんて、ディフォでは穴だらけのWindowsも
未知の脆弱製が多いかもしれないLinuxやMacも似たり寄ったりじゃない?
一応どれも脆弱製が見つかり次第すぐに塞いでるし、
結局はシェアが高い程狙われやすく危険って結論になる。
シェアの関係でと言うよりも、危険度ではそれが全てな気がする。 <>
(○口○*)さん<>sage<>07/04/28 09:16 ID:byUQD6l20<> >>54-55
>同じウイルス検索でも見つからないことがあるのでしょうか?
ある。パターンが古く見付けられなかったり、新種だとすり抜けることもある。
>>55
それはIEのキャッシュだ。本体じゃない。
ページを見た時点で切断し、発動までさせていないのか、それとも、発動させて本体が隠れているだけかは不明。 <>
(○口○*)さん<>sage<>07/04/28 09:30 ID:byUQD6l20<> 文字列を数値で実行するページの奴か。
引っ掛かってるのがhtmlで、踏んだアドレスの奴が文字列を数値に偽装していてスクリプトで指示を作り上げる
タイプでパターンマッチを回避させる奴。カスペはこれを検知。
ノートンは、それを実行してしまって、本体を入手した時点で反応する考えなんだろう。
本体を検知できるかどうかは、パターンの更新内容とかによるので不明。
>>55
一応、カスペのログをそのまま貼り付けてくれ。
本体がわからない(スクリプト実行させるのはパス)ので、本体が、カスペで検知できるものかの確認はできていない。
(勿論、本体がノートンで遮断できるパターンのものかの確認も)
カスペで反応したのが.htmだけなら、本体入手前に切断できた可能性もあるが、OS入れなおしをするか、
そのまま使うか、これは自己責任で判断して欲しい。 <>
51<>sage<>07/04/28 11:16 ID:zas8durmO<> ログといっても見つかったのは上に書いたものだけです。
これ以外引っ掛かったものはありませんでした。 <>
(○口○*)さん<>sage<>07/04/28 11:28 ID:zas8durmO<> すみません。IEのキャッシュてなんでしょうか? <>
(○口○*)さん<>sage<>07/04/28 11:41 ID:mkTS7fX90<> こういった知識のない人の場合、
対処方針としては、どう提示するのが一番いいんだろうかね。
・安全サイドで考えるなら、再インストールオススメ
(しかし、SPとか当てることも知らない場合、
WinUpdateがきっちり当たるまで、セキュリティLvが落ちる可能性も?)
(そもそも一人で再インストールできるかも怪しい)
・自己責任という名の下に放置
・きっちり教え込む。
・リスクをたんまりアピールして、自分で努力するように誘導する <>
(○口○*)さん<>sage<>07/04/28 11:51 ID:2wOAVes90<> 自分で調べてもらうこともしないと成長はないと思うな
「ここで聞けばなんでも教えてもらえる」なんて認識になっても困る <>
(○口○*)さん<>sage<>07/04/28 12:46 ID:zas8durmO<> 今さっきカスペルの試作版で完全スキャンしたところ、
やはりトロイでした。削除したのでもう大丈夫だと思いますが、
そのトロイのオブジェクトが見つからないとでたのですが、
どういうことなのでしょうか? <>
(○口○*)さん<>sage<>07/04/28 12:49 ID:byUQD6l20<> >>60
IEが使う一時ファイルのこと
http://www.higaitaisaku.com/icsakujyo.html
>>61
悩ましい問題だよな。
今回のケースの場合、
・踏んだのが垢ハックへ繋がるアドレスなのは確実
・実体がPCに入っているかは不明(実体を取込もうとするhtmlのキャッシュは残っている)
垢ハックサイトを開いてしまったが、実体入手前に切断した可能性がある。
実体を踏んでいるかどうかを確認する為には、
・カスペorノートンを導入している人が、そのアドレスを踏んで実体を入手し、検知できるか確認しなければならない。
これは、確認してくれる人がいないと成立しないし、確認者のリスクが非常に高いので、やってくれる人が
出てくる可能性は低い。また、実体を確認しても、踏んだ時点との時間差がある為に、差し替えられている
可能性も考えられる。そのため、誰かが確認しても絶対の保証ができる訳ではない。安全な可能性があることを
示唆できるだけだ。 <>
(○口○*)さん<>sage<>07/04/28 12:49 ID:byUQD6l20<>
■取るべき対処■
0.解決するまで、ログインやパスワード変更を行なわない。踏んだ後にパスワード入力などを行なってしまった場合
安全な環境(テンプレぽいものや、Ragnarok板側のテンプレ、Wikiを参照)からパスワード変更。
1.除去し、クリーンな環境に戻す
1−1.発見された場合。
それを削除して完了
1−2.発見されなかった(今回はこれ)場合
1−2−1.リスクを覚悟でそのまま使う(非推奨)
リスクを減らす為に、NOD32、カスペなど複数のソフト(試用版が入手できる筈)でスキャンを繰り返し
安全である可能性が高いことを確認すること。
1−2−2.再インストール
メーカー製の場合、データのバックアップをとって、リカバリーをかける。
自作やショップブランドの場合、データのバックアップをとって、OSを入れなおす。
1−3.環境を戻す
バックアップした「データ」を戻す。各種ソフトを再インストール。
1−4.安全な環境にする
1−4−1.WindowsUpdateをかける
1−4−2.ウィルス対策ソフト・FW・PG2を導入し、設定する。
(可能なら、スパイウェア対策のソフトも導入し、定期的にスキャンする)
1−4−3.セキュリティソフトの定義ファイルを最新にする。(当然定期的に自動更新する設定に)
1−5.ガンホーIDを削除す…ではなくて、ようやくROをプレイできる環境になりました、おめでとう。 <>
(○口○*)さん<>sage<>07/04/28 12:52 ID:byUQD6l20<> >>63
・本体未入手の可能性
・本体がステルス化して、セキュリティチェックソフトの検査をかいくぐった可能性
・他のソフトが先に削除してしまった(IEのキャッシュが検知されたのにキャッシュクリアしたとか)可能性
いろいろ「可能性」は考えられるが、こうですと断定的に説明するのは不可能。 <>
(○口○*)さん<>sage<>07/04/28 13:14 ID:wzVFRTvU0<> >>63
やっぱり再インストールしたほうがいいよ。
せっかく垢ハック踏んだことに気付けたのに、再インストールの手間を惜しんで装備
取られたらアホらしいだろ?
もちろん、既に駆除されていて再インストールは必要ない状態なのかも知れないが、
誰もそれを確認する手段がないわけだ。
複数のソフトで検知されないから大丈夫と判断するなら止めないが、再インストール
の手間>装備を再び集める手間、だと思うのでお勧めはしない。
薄情なようだが、やはり最後は自己責任だ。
>>64
いつの間にか刺し換わるのが厄介だよな。
そこは〜だからWinUpdateしていれば防げるはず、と安易に言えなくなる。 <>
(○口○*)さん<>sage<>07/04/28 13:55 ID:8Ad/iuL+0<> IEのキャッシュや再インストールのやり方も分からない初心者はケチらずにPC関連の書籍を買えと言いたい。
順序立てて書いてあるから検索の手間が大きく省けるし、再インストール中や直後は質問も検索もできないので心強いはず。
はずれを引くこともあるだろうからできれば複数冊。
>>67
不等号の向きが逆では? <>
(○口○*)さん<>sage<>07/04/28 14:10 ID:wzVFRTvU0<> >>68
再インストールの手間<装備を再び集める手間
thx、思いっきり逆だったorz <>
(○口○*)さん<>sage<>07/04/28 14:24 ID:GhqhdMyU0<> 51以降のレス見てて思ったけど、
報告者がテンプレを無視した場合は、スルーした方がいいかもしれない。
まあ、報告者も初めての訪問でその辺もルールも分からないかもしれないから、
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/3-4
に報告用のテンプレがあるから、これ使って報告してください。
テンプレを使わない報告には一切お答えしません。
とだけ返事するようにするとか。51氏の場合、
・テンプレを使わずに報告。
・53氏がテンプレを使うよう指示したにも関わらず、完全にスルーして報告を継続
・55で感染報告するも、肝心のウイルス名を書かない。(ファイル名だけ書いてどうするんだと)
・58氏がそれを指摘し、ログを貼り付けるよう指示するも、59でそれを完全に無視。
こんなやりとりではスレをムダに消費するだけだし、
・ルールを守らない報告者にはルールを教える。
・それでも守らない場合は無視する
という方針で行った方が良いと思いますが、いかがでしょうか? <>
(○口○*)さん<>sage<>07/04/28 14:30 ID:Mx+gxDZK0<> どうでもいい。
答えたい奴が答えて、スレ違いなら誘導すればいい。
こんなやりとりこそスレの無駄。 <>
(○口○*)さん<>sage<>07/04/28 14:37 ID:jMrTJNIl0<> いや、51関連は見ているだけで不愉快だから、>>70のようにするのが良いと思う
不愉快なら見るなと言われるかもしれないが、自衛の意味でもこのスレにはチェックする価値が大いにあると思っている
それがこんな目茶苦茶な報告で埋まるのは出来るなら避けたいところ <>
(○口○*)さん<>sage<>07/04/28 14:42 ID:32WFjoBF0<> 一定のルールに規準させる、という意味でもテンプレ無視にはスルーに一票。
スレのルールも守れないんじゃ、パソコン守るなんてムリっすよ。 <>
(○口○*)さん<>sage<>07/04/28 14:45 ID:Mx+gxDZK0<> 不愉快に思うのは自由だし、スルーするのもいいしテンプレ嫁で済ましても良い。
だが、答えてる人をも排除するようなルールは違うんじゃないかと思うんだ。
そこから新たなテンプレが生まれるかもしれない。
こんなやりとりこそ無意味だと感じてこないか? <>
(○口○*)さん<>sage<>07/04/28 14:50 ID:zk6BrZ2b0<> >>74
冷静だなぁ。
ま、答えたい人がそうすればいい。
テンプレ守らなかったら無視されても仕方ないがな。
しかし無視しないで質問者を攻撃するのは、ちょっと落ち着けと言いたい。 <>
(○口○*)さん<>sage<>07/04/28 15:29 ID:5GP9FjeJO<> アカハック野郎を取っ捕まえて
ぶん殴ってやりたいんですが、どうすればいいですか? <>
(○口○*)さん<>sage<>07/04/28 15:39 ID:/08IWPmn0<> ICPOの偉い人になるくらいしか・・・ <>
(○口○*)さん<>sage<>07/04/28 15:39 ID:nrKETNpG0<> nounaiで存分にやってください <>
セキュスレ1-936<>sage<>07/04/28 16:10 ID:37R4axd+0<> hostsRenew Version0.06
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript
・複数サイト対応
処理するサイトを10ヶ所まで登録出来るようにしました。
出力結果はマージした上、行頭に「www.」が付くリストは分けて書き込むように
しています。
これに伴い、cfgの設定項目が変更されています。
・strURL(0)〜strURL(9)の追加
危険ホスト一覧のURLを設定します。
初期値でまとめサイトさんのリストとリネージュ資料室さんのリストを
登録しています。
不要の場合は""(ブランク)にしてください。
・strURL1・strURL2の廃止
上の処理に伴い、strURL1・strURL2は廃止しました
・Dangerhostsの廃止
vbs内で使うテンポラリファイルと位置づけ、設定から省きました。
Ver0.05のcfgを流用する場合、以上の点を注意してください。 <>
(○口○*)さん<>sage<>07/04/28 16:16 ID:iFiNYuhO0<> >>74
いちいち答えることによって「あ、テンプレ無視でいいんだな」と
テンプレ無視の質問が延々と続く弊害も考えような。
教えるクンは教えてクンを招く。
ノイズまみれになって荒廃しようと、それでも俺は教えたいんだ!
というなら止めはしないが。 <>
(○口○*)さん<>sage<>07/04/28 16:25 ID:JGSpAwnG0<> 詭弁のテンプレをそのまま持ってきたような文章だなw <>
(○口○*)さん<>sage<>07/04/28 16:39 ID:byUQD6l20<> そういや、このスレに質問・相談用のテンプレなかったな。 <>
(○口○*)さん<>sage<>07/04/28 17:29 ID:FZATX9EP0<> >>76
中華を無差別に殴ればそれなりの確率で当たるんじゃないの <>
(○口○*)さん<>sage<>07/04/28 17:41 ID:iFiNYuhO0<> オーストリーのa2、いつの間にか日本語になっていたので検体提出先。
ttp://www.emsisoft.jp/jp/support/submit/
スキャンチェックはJottiで可能。 <>
(○口○*)さん<>sage<>07/04/28 18:16 ID:3NOhWtOi0<> これからはGecko製のブラウザでもJAVA切ActiveX切をデフォにしとかんと危ないんかな。 <>
(○口○*)さん<>sage<>07/04/28 18:24 ID:iFiNYuhO0<> Javaで何かあったっけ? QuickTimeの奴? <>
(○口○*)さん<>sage<>07/04/28 18:27 ID:iZMb+5X80<> >>85
いや、Gecko「製」ブラウザに「ActiveX」だからなぁ
何の事やら! <>
(○口○*)さん<>sage<>07/04/28 18:31 ID:byUQD6l20<> >>83
ずいぶん半島的な考え方だな。 <>
(○口○*)さん<>sage<>07/04/28 18:31 ID:FZATX9EP0<> きっとActiveXを使えるようにするplug-inを使ってるんだろう <>
(○口○*)さん<>sage<>07/04/28 18:31 ID:iFiNYuhO0<> ああ >>25 か。QuickTime、この前脆弱性が見つかった時に
AppleSoftwareUpdateでしかパッチ配らなくてがっかりした。
ttp://docs.info.apple.com/article.html?artnum=304989-ja
余計な物は入れたくない(iTunesも入れてない)のに。 <>
(○口○*)さん<>sage<>07/04/28 18:33 ID:byUQD6l20<> >>90
仲間がいる。
俺もiTuneのインストーラ落としたら、解凍して、出てきたQuickTime単品で入れてる。 <>
(○口○*)さん<>sage<>07/04/28 18:57 ID:icpU5ECE0<> Appleのソフト開発者関係は、Windowsが独占的な市場には批判的なのに、未だにMacOS ToolBox時代の
プログラミング作法の癖が抜けきれていないからな。 <>
(○口○*)さん<>sage<>07/04/28 19:09 ID:iFiNYuhO0<> >>91
単体で拾えるんだけどね(前からあったけど、嫌がらせのようにリンクが小さかった)。
ttp://www.apple.com/jp/quicktime/download/win.html
セキュリティパッチは普通に拾えるようにしてくれ、というか
せめて[ヘルプ]→[更新]で拾えなきゃ意味ないだろ、と思った。 <>
(○口○*)さん<>sage<>07/04/28 19:46 ID:iYsLQwGq0<> >79
更新乙
改造なしでまとめサイトとリネ資料室の両方から取れるようになったのは
楽でいいな <>
(○口○*)さん<>sage<>07/04/28 20:00 ID:wzVFRTvU0<> >>79
乙、とりあえず動作は問題なさそうだ。 <>
(○口○*)さん<>sage<>07/04/28 21:57 ID:mkTS7fX90<> >>83 今更ながら貼ってみよう。
----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用
【 気付いた日時 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 ツールの使用の有無 】 (Yes/No、Yesの場合はそのToolの説明)
【 ネットカフェの利用の有無 】 (Yes/No)
【 OS 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(被害状況を詳しく書く)
----------報告用テンプレ----------
● 怪しいアドレス?を踏んだ時用
【 アドレス 】 (ドット(.)を■等で置き換える事。h抜き等は駄目)
【気付いた日時】 (感染?に気付いた日時)
【 OS 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【説明】
(『怪しいアドレス』との判断した理由、症状を詳しく書く) <>
(○口○*)さん<>sage<>07/04/28 22:27 ID:mkTS7fX90<> >>90,93
そういや適用させてなかったのでリンクみてみた。
AppleUpdateとかが導入されてなかったので、QTの再インストールするハメに。
そして予想通り、IEでmp3がDLできなくなる(QTが勝手に起動しやがる)ようになったので
下記blogの内容を反映するハメになりました。Apple微妙すぎる‥。
■ブラウザでmp3ファイルを開くとquicktimeが起動されてしまう問題の治し方
参考まで。リンク先はソースチェッカー等で確認しつつ、必要な人はどうぞ。
ttp://pikkolo333.jugem.jp/?eid=4 <>
(○口○*)さん<>sage<>07/04/28 23:50 ID:+tPl4xWn0<> Ads by Googleクリック->ウイルス感染
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070427/269844/ <>
(○口○*)さん<>sage<>07/04/29 04:32 ID:l+g6F1PO0<> 突然すみません、質問をさせてください。
//a0sudou.hp■infoseek■co.jp/cgi-bin/src/up0812.jpg
生体萌えスレ用アップローダーに上げられたこちらの画像なのですが、
画像をメモ帳で開くとhttp〜とあるのですが、無害なものなのかお教えいただけませんでしょうか?
ソースチェッカでは普通に画像が表示されるのですが、
Win2kにデフォルトでついているファイルのプビューでは表示できませんと出ます。
URLが画像自体に入ってるというものははじめて見たもので、不安で仕方ありません。
何卒宜しくお願いします。 <>
(○口○*)さん<>sage<>07/04/29 05:05 ID:1G/si/CA0<> ヒュッケバインのえちぃ画像のやつ?
うちのWin2kだとEXPLORERのプレビューでちゃんと表示されたよ。
編集はPhotoshop Elements 2.0 で埋め込まれてるアドレスはadobeのだね。
無害かどうかは判断できないけど・・・青少年には害があるかもしれない。 <>
(○口○*)さん<>sage<>07/04/29 06:14 ID:pKOnngmZ0<> 見てもちゃんとした絵しかなかった。
裏で変なことしてるかまでは分からないけど。
で、このスレとかテンプレに入れない?
勇気がなくて踏めない人のための鑑定スレPart14
ttp://pc11.2ch.net/test/read.cgi/hack/1177503872/l50 <>
(○口○*)さん<>sage<>07/04/29 06:27 ID:l+g6F1PO0<> ありがとうございますー、お手数おかけしました。すみませんでした。 <>
(○口○*)さん<>sage<>07/04/29 09:42 ID:+IytjCs/0<> >>101
いいね。こっちにも、本スレ(?)にも入れたい所。次スレ立てる時期に最新のアドレス出して欲しい。 <>
(○口○*)さん<>sage<>07/04/29 09:48 ID:B/aUBvpw0<> >>100
先輩、ぜんぜんエロくなかったっすよ! <>
(○口○*)さん<>sage<>07/04/29 11:01 ID:FGk/kGsR0<> 突然すみません。
http://picopico■dip■jp/ragnarok/data/2/1177060495692■bmp
というアドレスを、ぴころだで踏んだんですが、
真っ白な画面が出てきて焦りました。知人によれば真っ白な画面出たら終わったとおもえっていわれて・・
これは垢ハックですか? <>
(○口○*)さん<>sage<>07/04/29 11:33 ID:ypV96iD10<> >>105
ただの真っ白な画像。
画像ファイルとしても不審点はないし、
垢ハックの気配はない。 <>
(○口○*)さん<>sage<>07/04/29 11:45 ID:c6Wh1BtE0<> >>101
そのスレって、当然ながら垢ハック特化なわけではなく
ブラクラ、1クリック詐欺、グロ画像、ウィルス系等の全般鑑定スレだよね。
考えすぎかもしれんけど、以下のリスクがあるかなぁ、と。
・そのスレは危険URLが満載
(このスレとちがって■置換してないので、素人がクリックすると二次災害)
・そのスレ的には通過するURLが、このスレ的にはやばい可能性がある
- 報告されているウィルスならさておき、未報告だと通過。
→OKの回答で安心されるのが怖い
- 観点が違うと、チェックから漏れたりしないか、が気になる。
あちらは全般的な有害かどうか。こっちはRO垢ハックに注力したい。
・勇気がなくて踏めない人は「そもそも踏まなければいい」んだが、
大抵、素人さんは踏んでから大あわて。
→そのスレは有効に使われないのではないか。
結局、そのスレは中級者向けで、自らURLを踏む際の安全確認に使うと思うんですよ。
何度か報告されてる「知り合いのblogで‥/upろだにあったやつを‥」
といった過失的なリンク押下を防げないわけで。
逆に、その辺を意識してソースチェックする人は
そのスレのお世話にならなくても自ら判断できるんじゃないかなぁ、という気もする。
テンプレに入れること自体は反対じゃないけど、
いれとけば万事OKというほど、問題が解決するわけじゃないと思ったわけです。 <>
51<>sage<>07/04/29 13:49 ID:ul6JXr230<> みなさんのアドバイスを下にPCを再インスコしました。
また1から設定などをやり直します。
もしアドバイスを受けないでいたらどうなっていたことか・・・・。
有難う御座いました! <>
(○口○*)さん<>sage<>07/04/29 14:02 ID:yUTvrqj90<> あるいはLiveRO版に鑑定専用スレを作るか・・・回答者がいるのかどうか疑問だけど。
しかし本当の初心者は、例えばown.jpみたいなファイルサイズ0の空のページ開いただけで大騒ぎするからな。
ページが空かどうかは、例えばHTTPレスポンスヘッダ見て、Content-Lengthを確認すれば分かるが、
その確認ですら、中上級者でないとできないのが現状だからなあ。[表示]-[ソース]だと偽装空の可能性があるし。
(ちなみにソースチェッカーならレスポンスに限りだけどHTTPヘッダも見れる)
危険かどうかを自分で判断できない人は、ネットに繋ぐなともなかなか言えないしな。
(多分世の中の9割以上の人が、危機感すら持たずにネットサーフィンしてるだろうから) <>
(○口○*)さん<>sage<>07/04/29 14:47 ID:p4Gakx0d0<> メディアがネットの話題を取り上げないからな。
やってもny漏洩や2ch批判ばかり。
ウィルスによるIDPASS抜きなんてこれっぽっちも報道しない。
元締めが中華様だからだろうが。 <>
(○口○*)さん<>sage<>07/04/29 15:33 ID:RsQ0/v5v0<> >>110
報道や番組ってのは全部スポンサーの意向ってのがあってね
適当な肩書き持った自称評論家(実際は馬鹿でも可)に
意向に沿った意見や解説をしてもらえればそれでいいらしい
むしろ極めて正しい専門知識を持っていて、かつ常識的な知識人だとしても
意向に反する奴は番組には必要ないという・・・ <>
(○口○*)さん<>sage<>07/04/29 21:48 ID:v7q2tQql0<> メディアにとって視聴者は無能でないと困る、ということだな。 <>
(○口○*)さん<>sage<>07/04/30 01:56 ID:rKb04GJ40<> 特にT豚Sあたりは2chのせいで捏造が通じなくなってるから
叩きたくて仕方ないんじゃないか? <>
(○口○*)さん<>sage<>07/04/30 03:53 ID:AbY460dI0<> ν速+かとおもった( <>
105<>sage<>07/04/30 06:32 ID:HUM0/grK0<> >>106
ありがとうございました〜
お礼遅れてしまって申し訳ありません <>
(○口○*)さん<>sage<>07/05/01 04:07 ID:8Hc8T75q0<> >hostsRenewの作者
ギルメンに導入を勧めた時に感じた事なんだけど
・OSの差を吸収して欲しい
・wgetをカレントフォルダから読み込むようにして欲しい
この2点が実現できればcfgの書き換え無しで動くので、誰でも導入出来るように
なると思うんだけど、難しいですか?
MyHostsの設定がなかった場合、localhostの行は自動作成してくれてるから
実質今のスクリプトはwgetのパスを設定するだけ。
でも、たったそれだけでもPC初心者には敷居が高い。
(そもそもパスの意味すら理解出来てない人もいるし、書き間違いも発生する)
hostsの意味を理解せずに書き換える危険性は十分承知してるけど、手動の
書き換えも似たような危険性を伴ってる。
目で確認できるだけ気付きやすいけど、無条件にコピペするなら自動更新で
作られるのと大差ないし。
以前も要望があったと思うけど、初心者が即使える形にした方がいいと思うんですが
どうでしょうか? <>
(○口○*)さん<>sage<>07/05/01 04:21 ID:ZQYjhklC0<> 「初心者だから」っていうのは免罪符にはならない
初心者なら尚更知識を付けるべきだと思う、このネットゲー状況ならね
なんでもやってもらう・教えてもらうじゃいつまでも変わらないでしょ
個々の意識を高めることもしていかないと駄目だと思うんだ <>
(○口○*)さん<>sage<>07/05/01 07:34 ID:9K0VXZuK0<> F-Secure使ってる人っているのかな
カスペエンジン搭載してるっぽいから興味あるんだけど
nProとの相性が少し心配(´・ω・`) <>
(○口○*)さん<>sage<>07/05/01 12:16 ID:jlCT85P80<> >>116
パスって何?って言うぐらいの初心者ってことは、MD5の計算なんて絶対無理でしょう。
スクリプトが改ざんされてないことを確認できないなら、
hosts自動更新スクリプトは導入すべきではありません。
ま、スクリプト本体とMD5が同じサイトに置かれてるから、
改ざんされるときはセットで改ざんされるだろうけどね。
この場合、改ざんというよりは正しくダウンロードできたかどうかの確認になるかな。
>hostsの意味を理解せずに書き換える危険性は十分承知してるけど、
>手動の書き換えも似たような危険性を伴ってる。
意味が分からないなら、分かろうとすべきです。
パスって何?な人は手動の書き換えも無理でしょう。
いっそのことhostsには触らないが吉です。 <>
(○口○*)さん<>sage<>07/05/01 13:48 ID:gwEcKK8u0<> 初心者がhostsの意味と仕組みを理解するのに数日かかるのか数ヶ月かかるのか。
それまでにハク被害に遭うか遭わないか。
モノがモノだけに、難しいところやね…… <>
(○口○*)さん<>sage<>07/05/01 13:53 ID:ul82y/uJ0<> 電波ソングWikiのメニューバーが全部biglobe−ne.comになってて踏んじゃいました。
avastは特に警告も出さなかったんですが、念のためtaskmgrでプロセスチェックして
msconfigでスタートアップの確認したんだけど特に不審点が見当たらないんです。
ROはチケット切れて3ヶ月経つんですが、他になんかリアクション起こした方がいいですか? <>
(○口○*)さん<>sage<>07/05/01 14:43 ID:vL3CG7IS0<> >他になんかリアクション起こした方がいいですか?
うん。テンプレ(>>96)で報告した方が、回答する側も答えやすいと思うよ。 <>
(○口○*)さん<>sage<>07/05/01 15:10 ID:LBA35ZNZ0<> >>116
俺も導入を薦める立場なので同じことを思った。
わからない人には手順以前にhostsの概念、またはそれ以前から説明しなければ
ならないので非常に時間がかかる。
その後にPath変更までさせるのは結構な労力だ。
正直に告白すれば、最初はその人の環境に合わせてPath変更や必要ファイルを
同梱して、単に解凍すれば使える状態で渡してたんだ。(二次配布になるのは理解
しています、作者様申し訳ありません。)
だが、その渡した相手と後日話していたところ、なんとスクリプトを入れたことすら
忘れていたんだよ・・・
これで、やはり遠回りでも最低限の理解は必要だと痛感した。
記憶に残すためには苦労して自分で設定するのが理想。
なので、気持ちはよくわかるのだが、自分でやらせるのが本人のためと思って、
面倒でもその都度説明してあげてくれ。 <>
(○口○*)さん<>sage<>07/05/01 16:12 ID:jAztWG5n0<> えーと。
整理の意味も含めて、以下の質問よいでしょうか。
・このスレで対応推奨している「PG2」と「自動hosts更新ツール」は
同一のIPリスト(まとめサイトさん+リネージュ資料室)を対象にしているため、
手段(動作方法)はさておき、最終的な結果は同じ。
(ローカルPCから、リスト掲載IPへのNW疎通を遮断する)
(どちらかといえば、PG2のほうがログが残るため付加価値が高い)
これ、あってる?
なにもわかっていない初心者さんに進めるなら、
PG2のインストールと自動更新設定でいいんじゃないのかね?
下手に、リスクがつきまとうhosts更新を仕込ませる必要性があまりわからない。 <>
(○口○*)さん<>sage<>07/05/01 16:21 ID:5bmRnmDS0<> URLが同じでIPが変えられた場合でもhostsなら必ず防げるってちょっと前に出てなかったか? <>
(○口○*)さん<>sage<>07/05/01 16:36 ID:jAztWG5n0<> 補足。
本スレ7-99に、hosts動作がまとめてあり、
その内容は理解しているつもり。
- hostsはあくまでも、ホスト名→IP変換のマッピングなので、
IP直の場合はhostsだけでは抜けてしまう。
あと、さっきの書き込みのときは、セキュスレ1-125〜135あたりの認識は薄かったです。
これはすまん。きっちり対応するにはhots更新も必要なのね。
- PG2はあくまでもIP指定遮断であり、hosts→IP変換の際に、
危険ホスト名が未知のIPに変更された場合とかは対応できない
- このため、PG2とhostsの併用は必要(無駄ではない)
- 転送URLを使われた場合、hostsでは防げないが、PG2で防げる。
- DDNSの場合、PG2では防げないが、hostsで防げる。
- セキュスレ1-751,752あたりにもhostsとPG2の整理あり
ただ、それであったとしても
わかってる人 :PG2とhosts更新を両方導入がオススメ
わかってない人:PG2だけにして、hosts更新はやめとく
ほうがいいと思ったりする。 <>
(○口○*)さん<>sage<>07/05/01 16:37 ID:vL3CG7IS0<> >これ、あってる?
合ってません。hostsとPG2では守備範囲が違います。
ホスト名とIPアドレスの対応が常に変化しないのであれば、
PG2だけで防げるという解釈で合ってます。
でも実際にはそうとは限らないわけで。
参考)アカウントハック総合対策スレ7の95
http://gemma.mmobbs.com/test/read.cgi/ragnarok/1177507128/95 <>
(○口○*)さん<>sage<>07/05/01 16:42 ID:LBA35ZNZ0<> PG2だけだと片手落ちだから、そこまでいったら何とか説明してhosts更新も
させたほうがいいと思う。
理解させさえすれば更新そのものは自動なんだし。 <>
(○口○*)さん<>sage<>07/05/01 17:24 ID:vL3CG7IS0<> トロイの侵入に気付けるように、hostsでブロックしたものを
ログに残せればいいんだけど、何か良い方法はないかな。
hostsファイルの危険ホスト名に対応するIPアドレスを127.0.0.2に変更して、
PG2の禁止リストに127.0.0.2を追加したら、一応PG2のログに残ることは確認したけど、
これだと、どのホスト名に接続しようとしたのか分からないんだよね。
かといってホスト名毎に別々のIPアドレスを割り振るとなると、
hosts更新する度にhostsファイルのバックアップを取って、
少なくとも最近の更新分だけでも全部保存しておかないと、
対応関係が分からなくなりそう。
いやまあ、保存しとけばいいんだけどね・・・もっとスマートにやる方法ないかな。 <>
(○口○*)さん<>sage<>07/05/01 18:39 ID:78O38jWu0<> >>129
そこまでするなら、ローカルのDNSサーバーを動かすしか無いと思う
ダイヤルアップが主流の頃は、そういう簡易DNSサーバーを実現する
フリーソフトがあったけど、いまはどうかなー <>
129<>sage<>07/05/01 19:26 ID:vL3CG7IS0<> >>130
ご意見ありがとうございました。やっぱり簡単にはいかないですねえ。
結局、192.168.xxx.yyy (100<=xxx<=255,100<=yyy<=254 ← この範囲に特に意味は無いです)で
すべてのホスト名に対して、別々のIPを割り振ることにしました。
もちろん、その範囲はPG2でブロックします(ログを残すため)。
ただし、hostsのバックアップは取らず、リアルタイムで発見した場合のみ
接続先が分かるという妥協案です。
これでしばらく運用してみます。 <>
(○口○*)さん<>sage<>07/05/01 21:34 ID:fblv1Qck0<> 初歩的なことかもしれませんが質問させてください。
環境に関してはテンプレを使わせていただきます。
【 OS 】 WindowsXP SP2 HomeEdition
【使用ブラウザ 】 Firefox2.0.0.3
【WindowsUpdateの有無】 4月中の自動更新は全部
【 アンチウイルスソフト 】 McAfee VirusScanとPersonal Firewall
【その他のSecurty対策 】 Spybot S&D カスペルスキーオンラインも随時
【hosts変更】 有(最終更新4/28) スクリプトはまだよく理解できないので手付かずです
当方のPCはMcAfee Personal Firewall利用中のためPG2を使えない状況にあります。
McAfee使用者のための方法として、確か以前は"危険ドメインのURLをping送信して
返ってきたIPを禁止IPとして登録する"という手順がリネ資料室さんで紹介されていたと思うのですが、見当たらなくなっています。
これは手動で更新するには手間がかかりすぎるので、素直にMcAfeeのFWからPG2に乗り換えろ、ということでしょうか。
(できれば乗り換えは最後の最後の手段にしたいです。)
McAfeeをお使いの方のご意見も伺ってみたいと思って書き込ませていただきました。 <>
(○口○*)さん<>sage<>07/05/02 00:03 ID:Fx5++2qu0<> >>132
というか、守備範囲が違うから、それは「乗り換える」とは言わない。 <>
(○口○*)さん<>sage<>07/05/02 00:20 ID:oL8reGTx0<> McAfeeは使ってないが、リネ資料室さんの導入手順では干渉するとあるね。
今のバージョンでもそのままかどうかは判らないけど。
>ただし、次のソフトウェアを利用している場合には、競合が発生して正常に
>動作しなくなるため、 PeerGuardian2を使うことができません。
>
>McAfee Personal Firewall
>Blackice Firewall
McAfeeのはPFWにどうやって登録するのかは知らないけど、一旦各種IPに対して
通信かけて、それに対して処理する形?
危険IPに対して順次Ping打ちたいなPG2のリストをコピーして、バッチファイルを
作れば入力の手間は省けるとは思うけど、まとめて登録する方法はMcAfee使いで
ないと判らないかな…… <>
(○口○*)さん<>sage<>07/05/02 02:58 ID:gCKN+km70<> >>132
自分もMcAfeeは使ってないけど、McAfee PFWでの禁止IPの登録方法がどうなのかによるよね。
1件ずつ登録しなければならないのか?
それとも禁止リストが書かれたファイルを使って一括登録ができるのか?
PG2はファイルを使って一括登録ができる。
さらにWEB上からそのファイルを取ってくるよう設定もできる(自動更新機能)。
同じことがMcAfee PFWで出来るのかどうか?多分できない予感。
現状600件以上の危険ホストが登録されてるから、これを1件ずつ設定するのは現実的でない。
さらに更新の問題。危険リストが追加されたら、どうやって追加分を知るか?
その辺を考えると、PFWでIPフィルタ特化ソフトの代わりをするのは難しいかもしれない。
まあ、乗り換えとなると、今度はPFWで出来ること(特定のアプリのみ通信を許可するとか)が
IPフィルタでは出来ないから、その点は別のFWソフトを使うしかないだろうね。
ちなみにping打ってうんぬんというのは、送受信履歴を使って禁止リストに追加できる機能と思われる。
IPアドレスを専用のダイアログ使って、キーボードから打ち込むよりは、ping打って
送受信履歴を右クリックして禁止ってやる方が多少楽だということだろうね。(PG2でも似たようなことはできます) <>
(○口○*)さん<>sage<>07/05/02 04:04 ID:dzF7BZRy0<> 以前セキュリティーホールが見つかって、その修正版である QuickTime 7.1.5 に
別のセキュリティーホールが2つ発見されてる。
現時点ではパッチは無し、攻撃ファイルも無し。
IE7.0.5730.11 と Firefox2.0.0.3 に認証関係で不具合があるらしい
けど、こっちは関係ないかな? <>
(○口○*)さん<>sage<>07/05/02 13:50 ID:vKBq5Neq0<> >>136はQT 7.1.6のことでいいのかな。
>>25の脆弱性(CVE-2007-2175)に対するfix。
ttp://docs.info.apple.com/article.html?artnum=305446
一方こちらは、アウトソーシングが普遍的になったが故の問題。
マイクロソフトのWebページが改ざん、「パイまみれの写真」を掲載:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070501/269922/ <>
(○口○*)さん<>sage<>07/05/02 14:08 ID:oL8reGTx0<> iTunesで最新版(7.1.1)と表示されてたので気にしてなかったが
QT単体で起動して確認してみたら7.1.5だった罠。
今のiTunesの配布パッケージはQT7.1.6になってるので、iTunesの
再インストール又はQTの再インストールが必要っぽい。
iTunes使ってる人はご注意を。 <>
(○口○*)さん<>sage<>07/05/02 14:12 ID:dzF7BZRy0<> >>137
7.1.6でも直ってないセキュリティーホールの間違いだった <>
132<>sage<>07/05/02 15:23 ID:76Osj/100<> お返事ありがとうございます。
昨夜は返信内容を書いているうちに眠くなって訳が判らなくなりました。
書き逃げになってしまったことをお詫びいたします。
登録に関して
McAfeeのFWの詳細な設定のところを見ると、「信用IPと禁止IP」という項目があります。
単一のIPアドレス、またはIPアドレスの範囲を一件ずつ入力するようになっています。
何件もまとめて一度に追加登録というのはできないようです。
ヘルプを読んでみても、リストから自動更新などは論外のようです。
pingを打って、ということに関して
掲載されていた方法は、既にわかっている危険ドメインのIPを調べる方法だったと思います。
コマンドプロンプトという黒い画面で一件ずつ入力して、そこに表示されたものを一件ずつ登録、という流れだったかと。
(もしかすると間違って解釈していたかも…)
"乗り換える"に関して
間違って理解していたようです。
・マカフィーFW+PG2→競合して使えないのでどちらかを諦める
・他FWソフト+PG2→併用して更に防御強化
という解釈で合っているでしょうか。
知れば知るほど羨ましい機能のPG2ですが、当面は現行どおりhostsファイル変更の更新と、
知らないリンクは踏む前にチェッカーで見ることを続けることになりそうです。
FWソフトを変えられる状況になったら真っ先にPG2を導入しようと思います。
解りにくい文にご回答いただきありがとうございました。
そして長文になりまして失礼いたしました。 <>
(○口○*)さん<>sage<>07/05/02 16:37 ID:4SAbBajm0<> PG2をインストールしようとしたら、
Access violation at address 00409422. Write of address 00401000.
とエラーを吐いてできないのですが、これは何が原因なのでしょうか。
ググってもこれといった解決法は見当たらなかったので。。。 <>
(○口○*)さん<>sage<>07/05/02 16:42 ID:dzF7BZRy0<> 1. メモリが壊れている
2. ウイルス対策ソフト等との相性問題
3. 全く無関係なソフトに問題がある
たぶん2だと思うので、いま使ってるウイルス対策ソフトの名前を書くんだ <>
141<>sage<>07/05/02 16:47 ID:4SAbBajm0<> >>142
ご解答ありがとうございます。
ウィルスソフトはAVIRA AntiVirを入れています。
相性がよくないのでしょうか? <>
(○口○*)さん<>sage<>07/05/02 16:55 ID:Wfdle5bX0<> nProが悪さしてることもあるから
RO蔵落としてからやってみると良い <>
(○口○*)さん<>sage<>07/05/02 17:08 ID:dzF7BZRy0<> Windowsが XPなら、システムのプロパティ→詳細設定タブ→パフォーマンスの設定ボタン
→データ実行防止タブ
にある設定が、『次に選択する……』の方になっているなら、『重要な Windows の……』の
方に変えてみる <>
(○口○*)さん<>sage<>07/05/02 19:19 ID:9hRSOoKQ0<> >>140
よく調べずPG2をマカフィー(パーソナルファイアーウォール8.2)
インストール済みPCにインストールし
そのまま数ヶ月過ぎましたが、特に支障無いです。 <>
(○口○*)さん<><>07/05/02 19:46 ID:Srvxpi1X0<> 今PG2のログを見たところ、KoreaIPをHTTPブロックしたと履歴が残っていました。
HTTPブロックとは、PG2のリストに登録されたIPのWebサイトを閲覧しようとした際に
ブロックするものなのでしょうか?
ググって見たけどよくわからないのです。どなたか教えていただけないでしょうか。
それから、このままROを起動しても大丈夫でしょうか?(´・ω・`) <>
(○口○*)さん<>sage<>07/05/02 19:47 ID:Srvxpi1X0<> すみません、上げてしまいました。 <>
(○口○*)さん<>sage<>07/05/02 19:53 ID:ML0cWbXw0<> >>147
Yes <>
(○口○*)さん<>sage<>07/05/02 19:53 ID:C4NyWPR30<> PG2の正体をまるで知らないのに、垢ハックに有効だよって他人の噂だけで
挙動不明なソフトウェアを入れてしまうその姿勢
君がそういう質問をする大きな理由だと思うんだな
PG2のマニュアルはちゃんと日本語訳されていて誰でも読む事ができる
とりあえずいい機会だから見て来ては? <>
(○口○*)さん<>sage<>07/05/02 19:57 ID:gCKN+km70<> >>147
とりあえず、そのブロックされたIPアドレスもログに書かれてるはずだから、
それを晒してみよう。差し支えなければ、時間、名前、送信元、送信先、
プロトコル、操作の6項目全部晒してくれた方が分かりやすいです。 <>
147<>sage<>07/05/02 20:09 ID:Srvxpi1X0<> >>150
すみません。マニュアルを熟読します。
>>151
3回ブロックしていて時間以外は全て同じです。
17:00:40 Korea 192.168.1.2:1809 211.115.107.162:80 TCP ブロック
17:00:43
17:00:49
となっています。
PG2のマニュアルサイトにはブロックしたんだから何を不安がるのか、と
書いてありますが不安です^^; <>
(○口○*)さん<>sage<>07/05/02 20:13 ID:cfARQnUY0<> >>27-28の件、
XP Homeだったのでいまさらですが対応してみました。
対応方法はレジストリ操作。
上記サイトに【本日、先ほどの時点】でUpされていたRLO.zipをDL。
regファイルの内容を確認したり、ぐぐったりして、最終的に、エントリの登録を行う。
再起動後、RLOこみのファイル名禁止が動作したことを確認済。
下記URLにも同等の記載があるので、
必要に応じてDLしたregファイルの内容確認等オススメ。
ttp://d.hatena.ne.jp/marujx/20070422
なお、個人的には
・登録前後でWindowsの動作が想定通りに変化したこと
・レジストリ操作が局所的で、上記変化以外には影響しなさそうなこと
から、対処は終わったと考えてはいるけれど、
{acf18f96-d855-425c-8a14-701bca41bd3d}
に対する根拠(技術資料ほか)は見つかっていないので、
このエントリが、適切なポリシー設定かの確証は持てていません。
あくまでの自己責任の上で、覚悟を決めたって感じ。 <>
(○口○*)さん<>sage<>07/05/02 20:15 ID:ML0cWbXw0<> >>152
バナーとか、広告がそのサイトから引っ張られている場合でも、メッセンジャーの広告部分が
該当サイトのものを表示使用としてもブロックする。
表示する際に問題のないサイト(マザーボードメーカーのサイトが台湾にあるとか)も一括指定の範囲にあって
遮断することがあるので、自分の判断で解除しないと見れなくなる。
サイト閲覧に問題が無かったのであれば、そのままブロックしとけ。
それが「ブロックしたんだから何を不安がるのか」ということです。 <>
(○口○*)さん<>sage<>07/05/02 20:16 ID:cfARQnUY0<> 追記。
RLO.zipの中にexeがはいっていたけれど、
自分のPCで、自動圧縮書庫(exe)を作れば
それで確認用exeの代わりになります。
(つくったexeのファイル名を変更し、動作確認すればいい)
RLO.zipの中にはいっているexeを実行するのが怖い人は、手作りオススメ。 <>
(○口○*)さん<>sage<>07/05/02 20:16 ID:gCKN+km70<> >>152
そのIPはWikipediaですね。
Wikipediaのページに繋いで、PG2のウィンドウを見てみましょう。
そのIPでブロックと出るはずです。その行を右クリックして許可にすれば、
許可リストに追加され、次回からブロックされなくなります。
まあ、後はマニュアルを熟読して、使い方を覚えてください。 <>
147<>sage<>07/05/02 20:24 ID:Srvxpi1X0<> >>154
なるほど、そういうこともあるんですね。
>>156
やってみました。ありがとうございます。
導入さえすれば何とかなるかな、という甘い考え方を改めます。
ご指導くださった皆さん、本当にありがとうございました。 <>
(○口○*)さん<>sage<>07/05/02 20:33 ID:Fx5++2qu0<> ^^; <>
(○口○*)さん<>sage<>07/05/02 21:31 ID:tHmifzaO0<> 言われたままやるだけでいいこともあるけど、ある程度理解してないとまったく意味がない <>
(○口○*)さん<>sage<>07/05/03 01:05 ID:NbwLPWn50<> まぁ彼はこれから理解しようという意思があるからいいと思う。がんばれー <>
(○口○*)さん<>sage<>07/05/03 06:56 ID:jm6yVSD70<> IPAのWin98/Meはネットに繋ぐなの件。
2chとかじゃIPA何言うのって叩かれる傾向にあるのな。別にIPAに
盲従するわけじゃないが、アソコまで『きちんとしてるから98/Meネットに
繋いでも良いんじゃね?』の根拠が良くわからん。
うん、分かる奴がきちんとした知識の下にしっかりとした対処をしてるなら
未だ良いんだが(それでも、望ましくない)絶対そうでないような人が多い。
そしてそういう人が更に周りの無知な人に悪影響を与える。
なんなんだか。 <>
(○口○*)さん<>sage<>07/05/03 10:22 ID:Viz7HBTh0<> NOD32の体験版が入らなくなってる?
IDPASSあってても更新できん <>
(○口○*)さん<>sage<>07/05/03 10:47 ID:ZTktVrYr0<> >>162
NOD32体験版は期間限定。期間過ぎてたら、ちゃんと買え。
別のメールアドレスで体験版のパス取り直すとかすんなよ。それは不正の一種だからな。 <>
(○口○*)さん<>sage<>07/05/03 11:32 ID:Viz7HBTh0<> >>163
1ヵ月まであと8日残ってるハズなんだが・・・ダメになっとるんだ <>
(○口○*)さん<>sage<>07/05/03 12:12 ID:QT58jwNk0<> 期限は利用開始日からじゃなくてパス発効日の1ヶ月後。
体験用IDパス通知メールに期限書いてあるんだから確認しる。 <>
(○口○*)さん<>sage<>07/05/03 12:14 ID:NbwLPWn50<> 大手のITメディアも改竄された模様で。
このスレでもよく見に行く場所ですので、もしアップデートしてなかった人はお気をつけて。
http://gigazine.net/index.php?/news/comments/20070503_itmedia/
「ITmedia」に何者かが不正侵入、ページを書き換えて不正コード設置
>「ITmedia Biz.ID」トップページ、「TechTargetジャパン」Webキャストページ、
>「ITmediaメールマガジン」ご案内ページの3つが2007年4月27日18時から5月1日13時までの期間中に
>不正コードの入ったページを表示した可能性があるとのこと。
>Windowsアップデートを最新状態にしていれば無害だったようですが、
>上記期間中にアクセスした記憶がある人は念のため、アンチウイルスソフトなどでスキャンしておきましょう。
>「EXPL_EXECOD.A」「JS/Exploit-BO.gen」「Exploit.HTML.IframeBof」というように検出されるらしい。
>で、肝心のこの不正コードとやらはどんなものなのかというと、
>「Microsoft Internet ExplorerにおけるVMLコード実行の脆弱性を悪用したウイルス」ということで
>2006年9月頃にゼロデイ攻撃が行われたもののようですが、
>マカフィーのデータを見ると「JS/Exploit-BO.gen」という名前になっており、
>2005年1月頃には既にこの手のスクリプトコードがあったようです。
>また、マカフィーが4月のデータをまとめて発表したものによると、
>今回の不正コードらしきものが
>「バッファーオーバーフロー攻撃を仕掛けるトロイの木馬」として1位にランクインされています。 <>
(○口○*)さん<>sage<>07/05/03 13:06 ID:VjHua8eZ0<> >161
旧OSは穴が空きっぱなしだからなぁ。
ウィルス対策ソフトで感染は防げても、穴が空いてるから侵入は防げない。
さらにその穴を経由して第三者に攻撃をかける事もある。
WindowsUpdateが提供されない旧OSだと、古い脆弱性を突いたタイプですら
防げなかったりするから、IPAの勧告はもっともなんだけどねぇ。
>166
大手サイトが改竄喰らうのは良くある事だから驚きはしないけど、ITMediaも
やられたのか。
ほんと、各種サイト閲覧する場合はWindowUpdateは当てて最新の状態に
して、防御固めた上で見るようにしないと危険だねぇ。 <>
(○口○*)さん<>sage<>07/05/03 18:51 ID:JL6OUDfj0<> WindowsUpdateが終了してても、サードパーティ製の同等パッチとかあるんだけどね。
そういったものをしっかり導入して、自覚的に98やMe使ってる人ならなんとかなるかも
しれないけど……
ま、現実にはそこまでしてない人達ばっかりだよね。 <>
(○口○*)さん<>sage<>07/05/03 23:06 ID:3C2hlKuw0<> 98SEはネットに繋ぎさえしなければゲームやるには優秀なOSだがね
ぽつぽつ対応OSから切られてるけど
ME?何ですかそれ美味しいんですかね? <>
(○口○*)さん<>sage<>07/05/04 04:19 ID:dhHmzDk60<> MEは可愛いよ!
今まだME使ってる人達はME萌えで使ってるんじゃないかと予想……
でもME嬢は箱入り娘なのでネットの外気に曝しちゃいけません。 <>
(○口○*)さん<>sage<>07/05/05 01:49 ID:foo+W7J40<> MEか…
色々耐えられなくて一週間で2kに入れ替えた思い出があるな。
もう少し色々余裕があればいじっていたかったんだけどね。 <>
(○口○*)さん<>sage<>07/05/05 14:33 ID:I0knEjcY0<> MEは最終的に狩場が秘境限定になっちゃうのがねぇ
効率はそれなりにいいんだけど <>
140<>sage<>07/05/05 20:49 ID:94GkXSG40<> >>146
> そのまま数ヶ月過ぎましたが、特に支障無いです。
(・д・)!!
自分もPersonal Firewall 8.2なので
今から試しに導入してみます。 <>
(○口○*)さん<>sage<>07/05/06 09:12 ID:AycjQSYQ0<> 9日にWindowsUpdateにて計7件のセキュリティアップデートをリリースする予定。
ttp://newsflash.nifty.com/news/td/td__itmedia-enterprise_20070505007.htm
9日にはWindowsUpdateをしようぜ! <>
(○口○*)さん<>sage<>07/05/06 12:15 ID:NuNpAffl0<> 毎月第二水曜は基本的にwinupdateの日なんだけどな <>
(○口○*)さん<>sage<>07/05/06 22:55 ID:y7mgVNO70<> WebMoneyプレミアのログイン画面で垢ハックの警告がでかでかと載ってた
ゲームIDだけじゃなくWebMoneyとかのIDとかも狙い始めたのかも知れん <>
(○口○*)さん<>sage<>07/05/06 23:11 ID:lTx9CuLB0<> キーロガーが仕掛けられてたら、××狙いとか関係なく何でも取られるだろ <>
(○口○*)さん<>sage<>07/05/06 23:44 ID:3DEa0feq0<> IDにメールアドレスも使用できる。
結果、何処かしらのBBSで使ったパスワードと同じものを使っていれば、クラックされる危険性もある訳で。
重要度に応じて、複数のパスワードを使い分けると言うのは、容易かつそれなりに信頼できるセキュリティポリシーな訳で。 <>
(○口○*)さん<>sage<>07/05/07 00:39 ID:7ii2eJoX0<> そこまで深い話じゃなく
盗られるのはゲームデータだけじゃないってことで <>
(○口○*)さん<>sage<>07/05/07 01:11 ID:ysOI731g0<> 今はたまたまネトゲのパスとかばっかり狙ってきてるが、やる側がその気になればもっと酷い事もできる。
例えばこれをキンタマウィルスや原田や山田に置き換えることも出来るかもしれないって事だ。 <>
(○口○*)さん<>sage<>07/05/07 01:24 ID:z3BnN4lY0<> トロイやバックドア、銀行やショッピングサイトを装ったフィッシングで
クレカや個人情報を抜くなどは欧米露などで頻繁に見られるが
ファイルの削除や公開の類は仕掛ける側にとってビジネス的なメリットが無い。
P2Pで違法行為ばかりしている犯罪者への稚拙な懲罰ウイルスなんか
踏んだ奴がざまー見ろだけどな。 <>
(○口○*)さん<>sage<>07/05/07 06:18 ID:d+unDQ/f0<> メリットがないどころか、逆に警戒心を抱かせる結果になってマズー <>
(○口○*)さん<>sage<>07/05/07 06:24 ID:ysOI731g0<> >>181
いや、もしウィルス作者側に愉快犯が居た場合にそういったものを仕掛けられる可能性もあるというだけだ。
最近国内で有名になったものだとその辺がわかり易いかなと例に出してみた。
特に有無言わずアップローダーにデスクトップ画像を貼り付けられるものとかは誰でも嫌だろうし、
もし今後そういったハック以外のウィルスがもし仕掛けられてても大丈夫なような状態にしておく必要があるという事。 <>
(○口○*)さん<>sage<>07/05/07 14:29 ID:M3O2ttOq0<> 昔はウィルスっつったら他人のPCを破壊するものばかりだから
ウィルス作ってばらまく奴はみんな愉快犯って感じだったけどな。
OS再インストールすら通用しないほど強烈なのをかましてきたりと
今の垢ハッカーとは違う意味で容赦がなかった。 <>
(○口○*)さん<>sage<>07/05/07 17:52 ID:8OoMMAIP0<> M/Bを物理的に壊す奴とかあったからなぁ <>
(○口○*)さん<>sage<>07/05/07 18:26 ID:WZMBGcia0<> 起きたらお母さんにPC隠されてたとかあったからなぁ <>
(○口○*)さん<>sage<>07/05/07 18:37 ID:o2Hbk8Wv0<> >>185 対マザーボードウイルスか。それも怖いね。
>>186 マザーウイルスか。それも怖いね。 <>
(○口○*)さん<>sage<>07/05/07 18:56 ID:Sd++K4kD0<> だれがうまいこといえt <>
(○口○*)さん<>sage<>07/05/07 19:05 ID:8OoMMAIP0<> かーちゃんに隠されるのはPCじゃなくてFCだろ常識的に考えて… <>
(○口○*)さん<>sage<>07/05/07 20:25 ID:I5k6efKQ0<> 初歩的な質問ですまぬ
このスレやアカウントハック総合対策スレで稀に話に出るソースチェッカーとは
「安全の為に(BSWikiより)」にもリンクがあるソースチェッカーオンラインの事で合ってるかな? <>
(○口○*)さん<>sage<>07/05/07 20:37 ID:YMABB2bG0<> >>190
合ってるよ
ただ、万能ではないので安全なスクリプトかどうかは結局自分の目で確認しなきゃいけない <>
(○口○*)さん<>sage<>07/05/07 20:55 ID:I5k6efKQ0<> ありがとう
この手の知識に疎いため自衛のためにも調べてたんだ
こんな質問に答えてくれて感謝 <>
(○口○*)さん<>sage<>07/05/07 21:03 ID:8OoMMAIP0<> 俺は絶対にウィルス踏まないと慢心するより
自衛の為に知識を高めるのは良い事だ <>
(○口○*)さん<>sage<>07/05/08 08:31 ID:F5CTsM440<> 一応移動。…酷い話だ。
216 (^ー^*)ノ〜さん sage New! 07/05/08 02:02 ID:4uSAocLq0
垢ハックじゃないけど
先週からWindows2000+カスペルスキーで
nProがカスペに反応してROを落すようになったMyPC orz
217 (^ー^*)ノ〜さん sage New! 07/05/08 02:22 ID:aN5k4URY0
カスペがnProを挙動の怪しいプログラムとして検出するという話は聞いたことがあるけど、
逆のパターンもあるのか・・・よっぽど相性が悪いんやね。その2人は
218 (^ー^*)ノ〜さん sage New! 07/05/08 02:25 ID:52ec3/q70
むしろnProがどうも・・・
現状全くBOTを止められないくせに重いは挙動おかしいわもうね
219 (^ー^*)ノ〜さん sage New! 07/05/08 03:42 ID:DMhvCIa30
中華のアカハックを止めてくれるカスペ!
そのカスペの邪魔をする癌胞のnPro!つまり癌胞は・・・
冗談はさておき、ちょっとその辺癌胞に送ってカスペに反応しないようにしてもらうしかないんじゃないか。 <>
(○口○*)さん<>sage<>07/05/08 08:37 ID:mxxN79920<> ::::::::/ ヽ、 :: ::: ::: :::::::::::::::::::::::::::::::::
:::::/ lハ ::: : :: :::::::::: :::::::::::::::: ピンポ〜ン♪
::::l l /ノリ ::: : :: ::::::::::: ::::::::::::::::::::::::::
:::| /) / ::: : :: ::::::::: ::::::::::::::::::::::: 宅配です
::l /イ/| . :. :. .:: : :: :: :::::::: : ::::::::::::::::::
/ / ||/ / ̄ ̄ ̄ ̄ ̄7l::::::::::::::::::::
i /_,/i!/ KIS / l::::::::::::::::
l 人 / Ver . ./ /::::::::::::::::
l / /⌒ヽ 6.02 . / /::::::::::::::::
l /il | ) / /::::::::::::::::
ll l i! `ー、\___ /.n/::::::::::::::::
lヽ l |\. \ /⌒〉::::::::::::::::
〃´⌒ヽ
., -―― メ/_´⌒ヽ
/ / ̄ ´ヽ ヽ
./ , /// ト. ! 、 丶ヽ
l / /(((リ从 リノ)) '
| i l ● ヽノ ●V l ねんがんの
l ,=! l ⊂⊃、_,、_, ⊂⊃l Kaspersky Internet Security
l ヾ! ', l (__,ノ l l が届いた!!
| ヽヽヽ //
l ヾ≧ , __ , イ〃
li (´`)l {ニ0ニ}、 |_"___
li /l, l└ タl」/| KINGSOFT|
リヽ/ l l__ ./ |_________|
,/ L__[]っ / / <>
(○口○*)さん<>sage<>07/05/08 08:46 ID:Ya4nLSK30<> >>195
ワロスw
JUSTのカスペ公式でKaspersky Internet SecurityをKISと訳してるから
KINGSOFTのと混合しやすいんだよな。
しかし周りのPC状況を聞くと
バスターやノートンが優勢。やっぱ宣伝能力か、プリインストール率なんだろうかね。 <>
(○口○*)さん<>sage<>07/05/08 10:00 ID:2HKLeLRW0<> >>196
>バスターやノートンが優勢。やっぱ宣伝能力か、プリインストール率なんだろうかね。
それもあるだろうけど、多くの人にとって、カスペの優秀さは多分分からないレベルなんだと思う。
そうなると、選ぶ基準は知名度や価格。どちらもバスターやノートンに軍配があがる。
実際自分もバスター使ってるけど、理由はなんとなく。カスペなんて最近まで名前も知らなかった。
ま、カスペは今ぐらいのシェアでいいんじゃない。
あまりデカくなると、フットワークが重くなるかもしれないし。 <>
(○口○*)さん<>sage<>07/05/08 10:06 ID:F5CTsM440<> >>194
誤報だか、設定ミスだからしい…だが、nProならあり得ると思ってしまう辺りが… <>
(○口○*)さん<>sage<>07/05/08 10:15 ID:o7aRoRj50<> カスペやNOD32は後発というか、玄人好みって印象が強いしな。
普通は商用ソフトなら御三家、無料ソフトならAvastあたりだろうし。
カスペ6.0でJustSystemが大々的に売り出したから家電ソフトコーナーでも見かけるが
5.0の頃は知名度も低かったし。
>197
自分は以前から知ってたが、ずっとバスターを使ってて大きな不満が無かったので
切り替えようとは思わなかった。
ただバスター2007になってから不具合多くなったのとハクトロイの検出力が弱いのが
重なって、更新のタイミングでカスペに乗り換え。
アンチウィルスソフトは年間契約だから、更新の時期まで乗り換えを検討する事も
あんまりないと思う。 <>
(○口○*)さん<>sage<>07/05/08 10:18 ID:F5CTsM440<> ITmediaのWebページに不正コード混入
http://internet.watch.impress.co.jp/cda/news/2007/05/07/15604.html
危ない話だなぁ。どうやら、iframeで飛ばして何かを落とさせる仕組みだったらしい。
垢ハックトロイの配布(?)方法と酷似してやがる。 <>
(○口○*)さん<>sage<>07/05/08 10:25 ID:dNPOT+cS0<> こういうのを見るたびに、もう踏む前提で対策施してないといけないのだが、
セキュリティ意識が低い人は被害に遭うまで意にも介さないんだよな。 <>
(○口○*)さん<>sage<>07/05/08 10:42 ID:o7aRoRj50<> >200
>166の記事の事だね。
>201
まだそれならマシで、中には喉元過ぎれば……な人もいる。
と言うか知り合いで居た。
ウィルスにやられてその時は慌てるが、駆除した後は安心してしまって
対策をしない人も中には居るよ。 <>
(○口○*)さん<>sage<>07/05/08 11:09 ID:KdnfS9fg0<> ドルアーガオンラインwikiのトップにも不振なアドレスに改ざんとかなんとか
はげしくこっちがらみな気がしてならない今日この頃
ホント、RO関係ないところでも気が抜けやしない <>
(○口○*)さん<>sage<>07/05/08 13:46 ID:RxHeV4yD0<> どこに報告したらいいかわからなかったのでここに報告します。
さっき携帯から鯖板を見てたんですが、
Iris板からFreya板のリンクを踏んだら中国語みたいなのが
表示されたので、おそらく垢ハックアドレスに
書き換えられてると思います。 <>
(○口○*)さん<>sage<>07/05/08 14:07 ID:OJto8UFU0<> >>204
Wikiのように外部から書き換えられるような所ではないし、
「掲示板はユーザーによって閉鎖されました」と出てしたらばのトップへ飛ぶ。
中国語みたいなのってのは単なるエンコードの問題じゃね。 <>
(○口○*)さん<>sage<>07/05/08 14:14 ID:F5CTsM440<> >>204
掲示板はユーザーにより閉鎖されましたとでて、livedoorに自動で飛ばされた。
エンコード失敗か、204さんがhosts書き換えられてそっちに誘導されたかは判らんけど、現時点では問題なさげ。 <>
(○口○*)さん<>sage<>07/05/08 14:15 ID:F5CTsM440<> あ、携帯か…それなら、ただのエンコード失敗だと思う。
読み落としでコメントしてすまん。 <>
204<>sage<>07/05/08 14:50 ID:RxHeV4yD0<> 問題なさそうですか。
Bijou板とかは垢ハックアドレスを貼り付けられる事が多くなっています
みたいに書かれてたのでちょっと心配になったんです。
今また試してみましたが他鯖の板には普通に飛べますが、
Freyaだけは飛べなかったです。
いちおうその中国語みたいなのを書き写してみます。
キヌシィネト、マ・澤シ・カ。シ、皇
?トコソ、オ、?、"、キ、ソ。」
こんな感じでした。
問題なさそうなら一安心です。
スレ汚し失礼しました <>
(○口○*)さん<>sage<>07/05/08 15:09 ID:n9RN5Izw0<> >>208をシフトJISで保存して、EUCとして再読込してみる
掲示板はムV璽供爾皇
?頂燭気?あした。
恐らく「掲示板はユーザーにより閉鎖されました」なんだろうな。
携帯でEUCエンコードが読めなくて>>208みたいな表示になっただけで。 <>
(○口○*)さん<>sage<>07/05/08 15:14 ID:y01O8DOk0<> EUC-jpって文字コードの文書をShift_JISと誤認して解釈した感じだね
(半角かなばかりが出ている感じがそう)。UTF-8が誤認されたらこっちは
こっちで又凄くなるんだなー(妙な漢字のみのオンパレード)。
古めの機種の携帯だったらShift_JIS程度しか対応してないからありうるし、
エンコード判定ミスでも大概はそうなるのでその辺の推測で問題ないでしょう。
まーPC向けのウイルスが携帯環境で問題になる事は殆ど無いのでその意味での
注意はほぼ不要ですけどね、と念の為。 <>
(○口○*)さん<>sage<>07/05/08 16:13 ID:F5CTsM440<> >>196
>JUSTのカスペ公式でKaspersky Internet SecurityをKISと訳してるから
>KINGSOFTのと混合しやすいんだよな。
KISで間違いじゃないんだけどな。>>195のオチは最初気がつかないで、後から笑っちまったよ。
でだ、昨日届いたspamに、1行だけファイルのアドレスが書いてあった。
直後は、そのアドレスがDNSに載ってなかったが、数時間後に再試行したら検体を入手できた。
カスペやNOD32では既知の「Trojan-Downloader.Win32.Agent.bjo」「Win32/TrojanDownloader.Small.NSS」だった。
多分、既知のウィルスだとは思いますがってキングソフトに送ってみたら、新種でしたという報告がさっき来た。
対応してくれたんだからいいんだけど >>195 みたいだったらマジかわいそうだよな。
えーと、キングソフトさま、通算10個目のUSBメモリ有難く頂戴しますが…もうちょっと頑張れw <>
(○口○*)さん<>sage<>07/05/08 21:28 ID:JXUbC3bV0<> hostsRenew Version 0.06 便利に使わせていただいております。
要望といいますか、ちょっと気がついたことなのですが、
作成された hosts ファイルを読み取り専用の属性にするところまで
自動になると、より良いものになりそうと思いました。
技術的に可能なようでしたらご検討をお願いいたします。 <>
(○口○*)さん<>sage<>07/05/09 02:50 ID:y9Np/4q80<> 連休明け早々WindowsUpdateの日ですよ。
IE累積パッチは必ず当てておきましょう。
個人的にはIE7が大量の非公開パッチを含んでいて
やっとまともになるので助かる…。 <>
(○口○*)さん<><>07/05/09 03:15 ID:Ic0mmRdS0<> 連休明けが関係あるのかどうか分からないけれど、
アカハック露店が複数並んでいたうちの鯖。
何もしないよりマシだよね…
■■■■■■■■■■■■■■■■■■
WindowsUpdate 推奨 age
■■■■■■■■■■■■■■■■■■ <>
(○口○*)さん<><>07/05/09 04:43 ID:w5A3Oygk0<> 踏んだわけではないのでこちらで
所属しているギルドの会員制ページみたいな所()で
垢ハックURLを書いているのがありました
会員制とはいってもIDが簡単に登録できていました。(いまはID申請制らしいです)
-----
ROは休止していたのですが、最近復帰しました
ROブログをみてください
http://bqdr■blog98■fc2■com
---
一番下にfc2ブログ型垢ハックURLを書き込むという手口
普通に見られないページでもアドレスはよく確認しないといけない時代? <>
(○口○*)さん<>sage<>07/05/09 04:57 ID:FPEP3zSX0<> >215
その時代はとっくに到来 <>
(○口○*)さん<><>07/05/09 07:30 ID:Si60qQ4y0<> 今月分の詳細。
ttp://www.microsoft.com/japan/technet/security/bulletin/ms07-may.mspx
xp SP2で2件/win2kで3件。
QFE統合インストールメディア作製に、役に立つかもしれないツール。
ttp://www.forest.impress.co.jp/article/2006/12/15/windowsupdatesdown.html <>
(○口○*)さん<>sage<>07/05/09 20:12 ID:3mbr9S5X0<> 安全のためにとROモノは火狐で見ようとragtimeをまず登録したんだけど
ragtimeのコンテンツをクリックすると火狐がエラーで落ちる・・・
ほかのサイトは問題なく見れるしほかのPCでは火狐でragtimeをさわってても問題ないんだ・・・
火狐をアンインスコしていろいろ消してみても何度でもセッション復元しますか?とか聞いてきたりお気に入りのこってたりで完全に消去しきれないし・・・
誰か助けて <>
(○口○*)さん<>sage<>07/05/09 20:25 ID:SHuLCvHC0<> Firefox自体のことだからスレ違いなんだが
セッション復元を復元しないを選択すれば普通に起動する
ダメならスタートメニューから『Mozilla Firefox (セーフモード)』を選択して起動する
ついでに、Win XPならブックマークはここに保存されている
C:\Documents and Settings\(ログインユーザー名)\Application Data\Mozilla\Firefox\Profiles\(ランダム文字列)\bookmarks.html <>
(○口○*)さん<>sage<>07/05/09 20:44 ID:3mbr9S5X0<> 復元しないでもragtimeが見れないくて・・・あそこが見れないのは痛いんだorz
とりあえず火狐セーフモード?やってみます <>
(○口○*)さん<><>07/05/09 21:55 ID:7pRLhd+80<> 月一WindowsUpdateage <>
(○口○*)さん<>sage<>07/05/09 22:36 ID:WZe2SDrb0<> >>218
どこのページを見たら落とされるのか、どんなエラーメッセージが出るのか、
どんな拡張を入れているのか、何かにエラーログが出てないか等問題解決の
手段になる情報が欲しい。それらの情報だけで解決する可能性も有るから。
現時点ではキャッシュをクリアしてみるとか、スキャンディスクを掛けてみるとか、
一般的な助言しか出来ないかな。
自分のFirefoxでは落ちる事は無い様なのでなんともいえない。CSSに関して
多少警告を吐くようだけど、致命的エラーではないようだし。
雑談すれということでレスってみる。 <>
(○口○*)さん<>sage<>07/05/09 23:35 ID:3mbr9S5X0<> PCは届いたばかりの新PCで各種ドライバを入れた程度のまっさらなんだ
ファイアフォックスの設定は最初のまま
火狐初心者すぎてキャッシュの場所とかスキャンディスクとかぜんぜんわからないんだよね・・・
とりあえずragtimeについてはTOPと右上のRAGtime?は見れるけどそのほかのコンテンツをクリックすると確実にエラー落ちするんだ・・・
一度ファイアフォックスの何から何まで全部消して再インスコしたいよ・・・それでも直らなければOSかな・・・ <>
(○口○*)さん<>sage<>07/05/10 00:03 ID:n19GUCBG0<> >一度ファイアフォックスの何から何まで全部消して再インスコしたいよ・・・それでも直らなければOSかな・・・
普通に削除できないか?
削除→残骸捜索&削除→再インストール <>
(○口○*)さん<>sage<>07/05/10 00:14 ID:aEqwzSOR0<> >>218
はっきり言ってエラー対処出来ないなら、ちゃんとパッチをあてたIEを使っていた方が安全だぞ <>
(○口○*)さん<>sage<>07/05/10 00:22 ID:xKHBFWq50<> エラー内容も書かないならこっちでは判断しようがないだろ… <>
(○口○*)さん<>sage<>07/05/10 00:56 ID:n19GUCBG0<> つまり、218さんは「FireFox アンインストール」でぐぐれってこった。
プロファイルの削除についてもきちんと記載しているまとめサイトあるんだから。 <>
セキュスレ1-936<>sage<>07/05/10 01:09 ID:ATtd/1Dx0<> hostsRenew Version 0.07
ttp://acopri.s250.xrea.com/index.php?hostsRenewScript
・作成したhostsにReadOnly属性の付加
デフォルトでReadOnlyを設定するようにしています。
但しReadOnlyの解除は簡単に出来るので、おまじない程度の効果と思った方がよいです。
・設定項目の簡略化
各種Path設定を""(ブランク)にした場合、カレントフォルダを参照するようにしました。
hostsPathとhostsBackUpPathは、NT系と9x系に応じて作成Pathを変更しています。
また今回からこのブランクをデフォルト設定としています
・空白を含むPath設定に対応
これに伴い、cfgの設定項目が変更されています。
・hostsReadOnly の追加
作成hosts のReadOnly属性の設定をします。
「0:ReadOnly付加、1:ReadOnlyを付加しない」
Ver0.06からcfgを流用する場合、hostsReadOnlyの項目を追加するだけで使えると思います。 <>
212<>sage<>07/05/10 02:57 ID:cC9RtGv80<> >>228さま
更新おつかれさまです。さっそく導入させていただきました。
正常に動作して、読み取り専用までなっています!
ReadOnly属性に関してはそうですね。ほんの気持ち安全度が増すかな程度に思います^^;
設定項目の簡略化も、hostsRenewとwgetを同じフォルダに入れてしまえば
設定いらずで使えそうなくらいになって、PC初心者でも導入しやすくなったと思います。
ありがとうございました。 <>
(○口○*)さん<>sage<>07/05/10 05:02 ID:ina7YCnF0<> 仮想PC上で1CD Linuxを起動してみましたが、なかなか便利ですね。
仮想PCはisoイメージをそのままマウントできるので、CD焼かなくてもいいですし、
起動後の状態で保存しておけば、毎回起動に時間かかりませんし、
普通のLinuxみたいにインストール作業も要りませんし、
Windowみたいにライセンス料要りませんし。
で、早速ネットショッピングでもやろうかなと思ったんですが、
良く考えると、これ安全対策として意味あるんでしょうか?
例えば、ホストOS上にキーロガーを仕掛けられた場合、
仮想PC内のキー入力も補足されてしまうような気がするんですが・・・
>>6を見る限りは、
「ゲストOSとホストOSの垣根を越えて悪さをする事は、基本的には出来ない筈」
と書かれていますが・・・
実際に自分でキーロガーを仕掛けて実験するという手もありますが、
あまり怪しげなソフトをインストールするのも怖いですし・・・うーむ。 <>
(○口○*)さん<>sage<>07/05/10 08:27 ID:AInlAxrO0<> >>230
仮想PCの使い方を間違えてる。
仮想PC ウィルス踏んでも消せばいい
ホストOS ウィルス踏んだら後の処置が大変
なのだから、仮想PCは閲覧するサイトの安全性を確かめるのに使い
ホストOSに被害が及ばないようにするためのもの。
ホストOSに仕掛けられたキーロガーを無効化するためのものじゃないよ。 <>
(○口○*)さん<>sage<>07/05/10 08:37 ID:JXRIjMqZ0<> 突然失礼致します。
今朝のPG2のログを見たところ、61.97.69.152というIPへブロックしていました。
ウィンドウズアップデートがエラーを出したので、その関連の情報を見回していたときに
どこかで踏んだと思うのですが、記憶を辿って回ってみても同じIPに掛からず困惑している状態です。
こちらのIPがどういった所のIPなのか、危険なIPなのかを調べる事は出来るのでしょうか?
朝のお忙しい時に申し訳ないのですが、お判りになられる方いらっしゃられましたら何卒宜しくお願いします。 <>
231<>sage<>07/05/10 08:40 ID:AInlAxrO0<> ちょっと違ったか。
安全性を確かめると言うか、ウィルス踏んでも平気なようにネット閲覧は仮想PCの方でやった方がいいってこと。
しかし>>6の仮想PCの長所の部分だけを見ると、>>230のように考えるのも分からないでもない。
>例えば、ホストOS上にキーロガーを仕掛けられた場合、
>仮想PC内のキー入力も補足されてしまうような気がするんですが・・・
これに関しては俺も知らないからなぁ。 <>
(○口○*)さん<>sage<>07/05/10 09:11 ID:vJ1X7sP90<> >>232
http://www.google.co.jp/search?hl=ja&q=%22ruliweb.com%22 <>
(○口○*)さん<>sage<>07/05/10 09:20 ID:79CIhdAZ0<> >228
更新乙。
必要ファイルを同一フォルダに放り込んだだけの状態(CFGはデフォルトのまま)で
正常に作成される事を確認。
>232
韓国のIPでruliweb■empas■comというプロバイダ(?)が持ってるIPっぽい。
繋ぐとrefreshで上記サイトのTOPに飛ばされる。
上のサイトのIPが61.97.69.151で末尾が1違いだから、そんなに怪しくないと思うが
韓国語は読めないのでよく判らん。
踏んだ覚えが無いなら、何処かのページに広告でも含まれてたんじゃないかな? <>
(○口○*)さん<>sage<>07/05/10 09:32 ID:JXRIjMqZ0<> >>234
>>235
お二方ともありがとうございます!
昨日のWinUpdateしてから、なぜか古いアップデート(KB832894)が
何度インストールしても延々繰り返されるという現象が起きてきたものでネットで調べていたところ、
ログを見たら韓国IPが掛かっていたのでやばい何か踏んだか!?と焦ってしまいました。
大丈夫そうな感じなのですね。ありがとうございました!
KB832894の方は未だに未解決です。何者だこいつ。゚(゚´Д`゚)゚。 <>
(○口○*)さん<>sage<>07/05/10 09:39 ID:79CIhdAZ0<> >230
垢ハクのトロイに限定すれば、発動(通信)するのは蔵起動時又は公式アクセス時と言われてる。
だから仮想PCからアトラクションセンターに繋いでパス変更しても、その時点ではトロイは情報を
送信しない(出来ない)から安全に変更できるって意味だと思ってたけど。
普通のキーロガーのように全ての入力を保持してるようなものだと、ゲストOSの入力も持っていかれる
可能性があると思うが、その場合でもゲストOS上でソフトウェアキーボードを使えば平気な気がする。
流石にゲストOS内部のメモリを見に行く事は出来ないだろうし。 <>
(○口○*)さん<>sage<>07/05/10 09:41 ID:XUDgxp4L0<> win2kの当方でもKB832894がインストール → インストール完了のループしてます(っД`) <>
(○口○*)さん<>sage<>07/05/10 09:48 ID:JXRIjMqZ0<> >>238
当方もwin2kです自分だけじゃなかったのね(つД`) <>
(○口○*)さん<>sage<>07/05/10 10:14 ID:xKHBFWq50<> Win2kSP4だがそんな面白いことにはなってないぞ
自動更新はオフ、サイトで高速・カスタム選んでもその更新はない
何したらそうなるんだよ <>
(○口○*)さん<>sage<>07/05/10 10:19 ID:79CIhdAZ0<> >KB832894関係
ttp://okwave.jp/qa779509.html が参考になるかも。 <>
(○口○*)さん<>sage<>07/05/10 10:25 ID:8hW+wjCv0<> 2chのWindows板でも悲鳴がw 今月のIE累積(MS07-027 931768)は
3年前のIE累積(MS04-004 832894)を呼び覚ますのか…。
931768を入れたら832894は出てきても無視で。
# 当方XP+IE7で問題なし。 <>
(○口○*)さん<>sage<>07/05/10 10:27 ID:blOQUZoU0<> というか、何で今更MS04-004(KB832894)なんてアップデート掛けているんだ。
もしも、その世代のインストール媒体から再インスコしているなら、色々と危険だから、SP4 Rup1
ttp://www.microsoft.com/downloads/details.aspx?DisplayLang=ja&FamilyID=b54730cf-8850-4531-b52b-bf28b324c662
こいつの適用済みディスクでも作り直した方がいいぞ。 <>
(○口○*)さん<>sage<>07/05/10 10:31 ID:blOQUZoU0<> って、M$が依存関係デグレしてくれたのかYO。
早とちりスマソ <>
(○口○*)さん<>sage<>07/05/10 10:33 ID:J/n2Ezl20<> Microsoft Update に繋ぐ
↓
この更新プログラムを非表示にする にチェックを入れる
以上 <>
(○口○*)さん<>sage<>07/05/10 10:35 ID:JXRIjMqZ0<> 色々有るのですね〜。
とりあえず結構同じ事で困っている人が多いようなので、何か修正来るかな?と、
暫くおとなしく待ってみることにします。ありがとうございました〜。 <>
230<>sage<>07/05/10 10:44 ID:ina7YCnF0<> >>231
やはり、そうなんですね・・・
仮想PCは普段のブラウズ専用にするかなあ。
>>237
クリップボードを使う手もありそうですね。
ホストOSからゲストOS内のクリップボードを覗くのは難しい気がします。
キーロガーとは関係ないのですが、
ホストOS上のPG2は仮想PC内の通信を一切ブロックしませんでした。
仮想PC全体をホストOS上で動く1個のアプリと考えれば、
仮想PC内の通信も、ホストPC上のPG2でブロックしそうなものなんですけどね・・・
FWソフトも試しましたが、ウイルスバスターのFWは仮想PC内の通信もブロックします。
ZoneAlarmはブロックしません。ソフトによってまちまちなようです。 <>
(○口○*)さん<>sage<>07/05/10 14:05 ID:79CIhdAZ0<> VMWareの場合、クリップボードはホストOSとゲストOSで共有出来る。
なので仮想PC次第では、その方法は危険かもしれない。
PG2がどうやって通信を監視してるのか判らないけど、ゲストOS側の通信を
遮断しないのであれば
・ホストOSでPG2で全IPブロック
・ゲストOSは非Windows環境
この状態ならホストOSにキーロガーが仕込まれていても、情報は漏れない気がする。
ただトロイが仮想ネットワークの機能を持ったら抜けられてしまうけど。 <>
(○口○*)さん<>sage<>07/05/10 15:29 ID:zMP+Dmpm0<> >6を書いた者です。
出来るだけ簡潔に解りやすく説明しようとして、表現が曖昧になってしまった事を反省しています。
仮想PCの基本は>231さんがレスされているように「ゲストが汚染されてもホストは大丈夫」なのですが、
>5,6のレスの全体の趣旨はホストが汚染された場合の緊急措置ですから、やはり説明不足だったかもしれません。
既に指摘されていますがホストでウィルスを踏んでしまった場合、ゲストから送信する時に
キーロガー・パケットキャプチャ・クリップボードなどから抜かれる可能性は否定できません。
特にパケットキャプチャでは、よりハードウェアに近いレイヤーでRO鯖や癌公式行きのIPを監視するタイプの
高機能なウィルスに常駐されていたら、やられてしまう可能性も高いかもしれません。
以下、ちょっぴり言い訳がましくなってしまいますが…
セキュリティ関係でこういったアドバイスをする場合には「常に敵は最強だと考える」のが基本ではありますが、
実際に「ホスト汚染・ゲストからパス変更」でも有効なケースもあるだろうし、何もしないよりはマシな筈、
とりあえずの説明としては有効性を唱えておこうと考えていたのでああいう表現になってしまいました。
(無意識の内にそこまで凝った垢ハクウィルス作っても割りに合わないだろうといった先入観もあったかもしれません)
>5,6に関してはまとめサイトさんも採用して下さった事ですし、
需要があるのならば加筆・修正したいと思いますので、更なる突込みをお待ちしております。m(_ _)m <>
247<>sage<>07/05/10 17:09 ID:ina7YCnF0<> >>248
Microsoft Virtual PC 200xでクリップボード(以下CBと略記)が共有されるかどうか実験してみました。
[Microsoft Virtual PC 2004:ホストOS=ゲストOS=Windows2000]
ゲストOSでコピー → ゲストOSのCBのみが更新される。
ホストOSでコピー → ホストOS,ゲストOSのCBが共に更新される。(ホストOSのCBのみ更新の場合もあり)
[Microsoft Virtual PC 2007:ホストOS=WindowsXP ゲストOS=Windows2000]
ゲストOSでコピー → ホストOS,ゲストOSのCBが共に更新される。(ゲストOSのCBのみ更新の場合もあり)
ホストOSでコピー → ホストOS,ゲストOSのCBが共に更新される。(ホストOSのCBのみ更新の場合もあり)
何回も試すと、両OSのCBが共に更新される場合と、操作している側のCBのみが更新される場合があったので、
「CBは両OS間で常に共有されるとは限らないが、共有されると思っておいた方が良さそう」でした。
(※VPC2004 ゲストOSでコピーの場合も、ホストOSのCBが更新されるパターンがあるかもしれません)
[Microsoft Virtual PC 2007:ホストOS=WindowsXP ゲストOS=Linux]
ゲストOSでコピー → ゲストOSのCBのみが更新される。
ホストOSでコピー → ホストOSのCBのみが更新される。
Linuxの場合、WindowsのCBと同じような機構はあっても、WindowsのCBと同じものではないので、
共有されなかったのは、まあ予想通りでした。 <>
(○口○*)さん<>sage<>07/05/10 18:01 ID:ina7YCnF0<> >>249
>特にパケットキャプチャでは、よりハードウェアに近いレイヤーでRO鯖や癌公式行きのIPを監視するタイプの
>高機能なウィルスに常駐されていたら、やられてしまう可能性も高いかもしれません。
アトラクションセンターへのログイン〜ログアウト間はすべてのパケットがSSLで暗号化されるので、
単純にパケットをキャプチャされる分には、恐らく大丈夫ではないかと思います。
パスを抜こうと思ったら、暗号化されるよりも前の段階、つまり
@ パスの入力時にキーロガーで抜く
A ブラウザのメモリを監視して暗号化前のパスを抜く
B ブラウザのメモリを監視して暗号化に使われる共通鍵を抜く
のいずれかになるかと思います。
@はソフトウェアキーボードの使用などで回避できるとした場合、
ABは仮想PC内のブラウザのメモリを覗くことができないとすれば、
一応安全ということになりそうですね。かなり怪しい仮説満載ではありますが・・・ <>
(○口○*)さん<>sage<>07/05/10 20:28 ID:blOQUZoU0<> >>247
PG2はIPレイヤでのフィルタの為、ホストOSのTCP/IPプロトコルレイヤを経由せず、ネットワークアダプタと
直接コネクションを張る仮想PCはブロックできないのだろう。
IPXやNetBEUIには一切関与しないのと同様に。
それに対し、一部のセキュリティソフトは、ネットワークアダプタ直前でも検出動作を行っているのでは。
その分、カーネルモードでの動作を伴う→OSを不安定にする危険性もある、と言う事で。 <>
(○口○*)さん<>sage<>07/05/10 21:39 ID:dXq1NwbF0<> ネットワークに詳しい人なら、仮想PCから外部に通信した際に、パケットが
傍受できるかどうか調べれるのでは?
少なくとも今の推測状態よりも確実な事が言えて、何が危険かがもう少し明確に
なると思うし、テンプレ改定もしやすくなると思う。
自分にはそっちの知識がないに等しいので無理ですがorz
それと遅ればせながら>228
更新乙でした。
設定すら面倒くさがるギルメンに勧めやすくなりました。 <>
(○口○*)さん<>sage<>07/05/10 22:40 ID:bqsuwNYc0<> 仮想PCからPacket傍受についてですが、
Windows VirtualPC 2007 ホストOX:XP Pro ゲストOS:2K
でゲストからWeb閲覧したところ普通に傍受できました。
「TCP Monitor Plus」というIP監視モニターを使用してです。
ゲストOSのアダプタはM/Bのアダプタ設定での場合と、
共有ネットワーク(NAT)指定の場合です。
ネットワークアダプタを直接監視出来るタイプなら簡単にできますね。
InnoTek VirtualBox(NAT)でも同じでしたので、
VMwareでももしかしたら同じかもしれません。
そんなに詳しくないものからですが報告までに。 <>
(○口○*)さん<>sage<>07/05/10 23:44 ID:ATtd/1Dx0<> 仮想PC(VMWare 5.5.1)でテストしてみました。
ホストOS:WinXP Pro SP2
ゲストOS:Ubuntu 7.04(ネットワークアダプタはブリッジ設定)
ホスト側PG2でALL Block(0.0.0.0〜255.255.255.255)という設定を作り
ゲスト側からブラウズが出来るかどうかのチェックをしたところ
普通に閲覧出来ました。
アトラクションセンターのログインも普通に可能。
PG2の表示を見る限り、ルータ−ゲストOSの通信が発生しており
ホストのIPと違うためか、許可という形で通信が発生。
>254氏が使われた TCP Monitor Plus を使って通信を見たところ
モニタではゲストOSと外部との通信が行われていました。
過去に本スレとかでPG2がトロイの通信をブロックしてたという報告と
この結果を併せて考えると、仮にホストが感染しててゲストOSでパスを
変更した時の通信を傍受されても、PG2を使えばトロイ自身の通信は
ブロックされると思われます。
ただ、トロイ自体が仮想PCと同様の仮想ネットワークアダプタを作って
独自の通信を行うとかの進化をすると、PG2では防げなくなる、とも
言いますが…… <>
(○口○*)さん<>sage<>07/05/11 00:01 ID:zEFO0VAD0<> アカハックによりキャラパス変えられた場合
サポセンへの電話、もしくはメールフォームから教えてもらえるか等
分かる人います?
自分も聞くことになるんですけど、すぐに聞けない状況なもので <>
(○口○*)さん<>sage<>07/05/11 00:14 ID:WjBLZIz/0<> >>256
問い合わせたことはないけど、公式のFAQの『キャラクターパスワードを忘れてしまいました。』を見ると、
不正利用を防止するため、お客様だけの操作で再発行することはできません。
「ガンホーゲームズコールセンター」で該当GungHo-ID登録者であることを確認をさせて
いただいたうえで再発行することが可能です。
WEBヘルプデスクからのお問い合わせでは再発行手続きは行えませんので、
お電話かご登録いただきましたメールアドレスからお問い合わせください。
なので、メールフォームは不可 <>
(○口○*)さん<>sage<>07/05/11 01:58 ID:U2gpvQtw0<> >254
検証乙です。
>255
更新と検証乙です。
つまり「現状のウィルス」であれば
PG2で全IPブロック→仮想PC立ち上げてパス変更→その状態でウィルス駆除
(念のためにPC再起動?)→PCが安全な環境になったらPG2のブロックを解除して
再度パス変更
この流れでなんとかなりそうな感じかな。
ただ、今後のウィルスの進化次第ではこの方法も使えなくなる可能性がある。
その場合は、同時にPG2でRO関係だけを許可してパス変更するって手法も
使えなくなる。
だから感染したPCを使用してのパス変更は危険が伴う。
となると、1PCしかない環境だと、デュアルブートか1CD Linuxを使うのが正解、と
いう感じかね?
コストや手間を考えれば、1CD Linuxを事前に準備しておくのが一番なのかも。 <>
(○口○*)さん<>sage<>07/05/11 03:08 ID:SV0d7zlh0<> ログイン合戦になってしまった場合を考えると、1CD Linuxの起動時間がそこそこかかるのが怖いのと、
相手のログインを弾かなければならないという問題があるので、1PCしかない場合の最善手は多分・・・
1.[ホストOS] PG2でALL BLOCK(0.0.0.0-255.255.255.255)。ただしRO関係のみ許可設定にする(※)
2.[ホストOS] 仮想PCを立ち上げる
3.[ゲストOS] アトラクションセンターにログインして、アトラクションパスワードを変更する。(ログアウトはしない)
4.[ホストOS] 変更したパスでROにログインし、アカウントハッカーのログインを弾く。(ログアウトはしない)
5.[ゲストOS] アトラクションパスワードを再度変更する
6.[ホストOS] ROの方をゲーム内までログインして、しばらく様子見。アカウントハッカーからのログインがないこと確認する。
※許可IPリストはまとめサイトを参照 http://sky.geocities.jp/vs_ro_hack/ro_allow.txt
※ALL BLOCKにしてしまうと、まとめサイトにすらつながらなくなるので、上記許可リストは必ず事前に落としておくこと。
ゲストOS上でROが起動するのかどうか分からないので、ROはホストOS上で起動するという前提で考えてみました。
個人的にはゲストOS=1CD Linuxがお手軽かなと思います。(ROは100%起動できませんけどね)
キーロガー対策ですが、ゲストOS上で、あらかじめガンホーHPにIDとパスを打ち込んだ状態のものを
保存しておきます。緊急時は、仮想PCを開いて、ログインボタンを押すだけです。
この方法ならキーロガーでは絶対に抜かれませんし、画面をキャプチャされても、
パスワード欄が***になってるので大丈夫です。
パケットをキャプチャされても、https(SSL)で暗号化されてるので、まず大丈夫です。
(緊急時になると焦って頭が真っ白になるので、事前に十分練習しておきましょう)
問題は手順4が必要だということです。手順4で打ち込んだパスがまた抜かれては意味がないので、
これをどうやって防ぐか。まず手順4でログアウトをしないこと。手順5でパスを再度変更したのち、
手順6で自分のログインが弾かれなければ、もう安全と見て良いでしょう。
(キャラセレ画面では敵がログインしてきたかどうか分からないので、必ずゲーム内までログインすること) <>
259<>sage<>07/05/11 03:17 ID:SV0d7zlh0<> あー、しまった・・・
アトラクションパスを変更する際に打ち込んだ文字が、
キーロガーで抜かれることを想定してなかった。
Linux上でクリップボードの内容までは抜かれないと想定して、
コピペで貼り付けるしかないかな・・・
それこそ画面上の適当な文字をコピペして・・・
(マウスロガー&画面キャプチャされたら終わるけど・・・) <>
(○口○*)さん<>sage<>07/05/11 07:50 ID:Ne0NFSWo0<> 1PCの場合、携帯のPCSVという選択肢はどうなのだろう。
ガンホーゲームズ全体では、IEのみ動作環境に挙げているものの、アトラクションセンター単体であればGeckoや
Operaなどでもアクセス可能なので。
それに、人によってはLinux上のKDE環境より迅速なオペレーションが可能だろうし。
本来なら、モバイルサイトでのアカウント操作や、携帯端末認証導入が望むべき姿なんだろうけど。 <>
(○口○*)さん<>sage<>07/05/11 08:02 ID:089vjNZk0<> >>253
>設定すら面倒くさがるギルメンに勧めやすくなりました。
気にしすぎかもしれないけれど。
面倒くさがるなら、勧めない方がいいと思う。
諸々のリスクやセキュリティ意識をわかっている人が自分で導入するツール。
そのあたりの意識が低い人は「やられたらしょうがない」と諦めて貰うか、
リスクを認識するまでの教育をセットにしないといけないかと。 <>
(○口○*)さん<>sage<>07/05/11 09:56 ID:Wx4SCYwS0<> 運悪くログイン合戦の場面になった場合
A)感染PC以外のアトラクションセンターにログイン出来てパス変更が出来る環境から
パス変更しつつ、感染PCではログイン合戦を行う。
(別PC・PDA(W-ZERO3等)・ゲーム端末・携帯等、表示更新が出来る環境から行う)
リアルタイムで対応が可能
B)感染PC上からログイン合戦を行いつつ、仮想PCからパス変更を行う。
・仮想PC内にパスワードを保存しておいてコピペで入力した場合、クリップボードの
情報は共有されてる場合があるので危険。
・キーロガーから抜かれる可能性もあるので、仮想PCではソフトウェアキーボードを
使って入力する
この場合、PG2でRO関係以外の通信を全てブロックしておけば、パス変更の情報を
リアルタイムで抜かれる可能性は低くなる(※絶対安全という訳ではない)
ただしPG2を抜けるようなトロイが出現した場合、無効。
リアルタイムで対応が可能
C)感染PC上からログイン合戦を行いつつ、パス変更も行う。
当然変更したパスはリアルタイムで抜かれてるので、PG2でRO関係以外の通信を
全てブロックする必要があるが、上と同じで絶対安全という訳ではない。
PG2を抜けるようなトロイが出現した場合、無効。
リアルタイムで対応が可能
D)ログイン合戦を行いつつ、信頼の出来る知り合いに電話でパス変更を依頼する
その知り合いの環境が汚染されてるとか、ユダである場合に危険。
さらにそのタイミングで知り合いが対応できるかどうかは運次第。
1PC環境しかない場合、ログイン合戦時は1CD Linuxは使えない。
起動に時間がかかり、パス変更したとしても、再度PC起動してROにログインしないと
進入中のハク犯を落す事が出来ない。
しかしログインするとそのパスが抜かれて……の繰り返しで、負けるだけ。 <>
(○口○*)さん<>sage<>07/05/11 10:03 ID:Wx4SCYwS0<> 少々訂正
A案だが、別PCがある場合はそちらでログイン合戦とパス変更を同時に行う、の方が安全だ。
非Win環境だとログイン合戦は感染PCから行う事になるので、アトラクションセンターで
パス変更をするタイミングはROにログインしてる間になる。
それで自分が同垢ログインエラーで落されなければ、成功したと判断できる。 <>
247<>sage<>07/05/12 06:02 ID:zdgRv6RM0<> すみません。間違ってました。ZoneAlarmは仮想PC内もしっかりブロックします。
PG2が仮想PC内をブロックしない理由が、おぼろげながら分かってきたような・・・
自分の解釈が合ってるかどうか分からないのですが、例えば
ホストOS = 192.168.1.10
ゲストOS = 192.168.1.11
だとした場合、ホストOS上のPG2は送信または受信アドレスのどちらかに
192.168.1.10が絡んでないと、ブロックの対象にならないってことなんですかね。
(ゲストOS)→(ホストOS以外のどこか) みたいなパケットは、他所様のパケットだから無視と??
>>255氏による検証を踏まえて、自分でも簡単に実験して、上記の解釈になったんですが、
いまいち確信が持てません。もうちょっといろいろ実験して調べてみます。 <>
(○口○*)さん<>sage<>07/05/12 06:30 ID:PH7ehYan0<> PG2は串を通した通信はブロックしないでその認識で合っているでしょう
ネットワークデバイスより拾った自IPと設定したIP間の通信のみ監視する仕様のようです <>
(○口○*)さん<>sage<>07/05/12 09:16 ID:DWrKItO30<> 後は、ICSを構成した場合と、マルチホーミングの場合の挙動だな。
実験してみるかな…… <>
(○口○*)さん<>sage<>07/05/12 13:44 ID:3IDo7ADD0<> >PG2は串を通した通信はブロックしない
ブラウザに串刺して危険ホストをブラウズした場合、PG2でブロック設定してても
踏んでしまう、という事? <>
(○口○*)さん<>sage<>07/05/12 19:26 ID:KsfD/NR20<> >>268
virtualPC2007のゲストOSから人柱してみた所、ブロックされずに危険アドレスも通常通り表示されてしまいました。
ホストOSとゲストOS両方にPG2はインストール
ゲストOSには匿名プロキシブラウズが簡単に出来るブラウザTorParkを使用 <>
(○口○*)さん<>sage<>07/05/12 20:24 ID:xxBJJXpw0<> >269
>268が聞いてるのは仮想PC関係なしだと思うが。
ホスト側でPG2使っても仮想PCで通信できるのは>255の結果で明らか。
というかPG2がゲストOSの通信をブロックしない事に関して「別PCなんだから当然」と
誤った感覚で居て、なんの疑問も持たなかったな……
だから仮想PCでLinux動かして、検体を拾い捲ってた俺ガイル。
>268
サイバーシンドロームあたりから使える串を拾ってきて、PG2で全IPブロック状態にして
普通のサイトが閲覧できるかどうか、で判るんじゃね?
自宅に戻れば確認できるが、今使ってる端末(W-ZERO3)にはPG2が入らんので、誰か
この方法で確認してくれると嬉しい。
もし本当に串刺しただけでPG2が素通りしてしまうようなら、ちょっと問題があると思う。 <>
(○口○*)さん<>sage<>07/05/12 20:42 ID:zdgRv6RM0<> >>270
269氏ではないんですが、269氏のは仮想PC上で実験してみたというだけだと思います。
自分も同じ実験をしてみました。
1.ゲストOS上にPG2をインストールし、まとめサイトのRO許可リストをブロックリストとして設定
2.IEでwww.gungho.jpに接続し、ゲストOS上のPG2で確かにブロックされることを確認。
3.ゲストOS上にTorParkをインストールし、同じくwww.gungho.jpに接続してみると、今度は接続できることを確認。
実験はすべてゲストOS上で行ってます。ホストOS上で同じことをやれば良いのですが、
今日初めて名前を聞いたTorParkというブラウザを本環境にインストールしたくなかったので、ゲストOS上で実験しました。 <>
(○口○*)さん<>sage<>07/05/12 20:52 ID:JTtqIinx0<> Torはちょっと特殊だと思うが。
あれは元々匿名性を重視した仮想ネットワークで多段VPNみたいなものだし。 <>
(○口○*)さん<>sage<>07/05/12 21:33 ID:UH6mwccn0<> すみません、質問させてください。
jpg偽装したhtmlを、ウィンドウズ標準のプレビューでも表示させてもまずいのでしょうか? <>
(○口○*)さん<>sage<>07/05/12 21:44 ID:4Rq+T08L0<> >>273
プレビューって縮小表示のアイコンってこと?
レンダリングする為に読み込む訳だから、まずいと思ってた方がいいぞ。
どういう機構でプレビュー表示するかの詳細は知らないけど、回避するに越したことはないね。 <>
266<>sage<>07/05/12 21:47 ID:kDkAtw4I0<> 今帰宅しました。言葉足らずだったので補足
PG2インストール済みPCより組織内のsquid鯖を通して
外部のブロック設定済みIPへ通信した結果素通りと言う事です
これは>>269氏の検証と同義ですね
ローカルへApache串を入れて通信した所ブロックする事を確認 <>
(○口○*)さん<>sage<>07/05/12 21:51 ID:kDkAtw4I0<> Windows標準のFAXビューアを使用するならIEで閲覧するのと同等です <>
268<>sage<>07/05/12 22:50 ID:3IDo7ADD0<> >270の言う方法で試した所、ごく普通に串さしてPG2でブロックしたところ
これは通信が止まってました。
串の種類によって動作が違う? <>
271<>sage<>07/05/12 22:53 ID:zdgRv6RM0<> プロキシを使った経験がなかったもので、どうも勘違いしてました。
271のはブロックされなくて当たり前ですね。
(自分のPC)⇔(プロキシ)⇔(罠サイト)
なので、罠サイトにアクセスするのはプロキシであって、自分のPCはプロキシとしか通信せず、
そのプロキシがブロックリストに載ってない以上、ブロックなどされるはずがないという当たり前の話でした。
問題はALL-BLOCK状態(ただし一部のサイトのみ許可)という状態にして、どうなるかでした。
ここでまた、一部許可サイト=まとめサイトのRO許可リストとして実験しました。
まず、普通にガンホーHPを見に行くと、当然見れました。
次にプロキシを使って、ガンホーHPを見に行くと、プロキシまでの通信がブロックされ、
結果ガンホーHPは見れませんでした。
TorParkを使っても、当然同じ結果になりました(プロキシまでの通信がブロックされました)
結局プロキシを使おうが、そのプロキシまでの通信に自分のIPを使用したのでは
PG2の監視対象になってしまうという点では変わりありませんね。
仮想PCはホストOSのIPとは異なるIPアドレスを使って通信をするので、
ホストOS上のPG2には監視されないということですね。(ゲストOS上のPG2には監視されます) <>
(○口○*)さん<>sage<>07/05/13 01:13 ID:kxRay5MI0<> >>274 >>276
用事があって返事が遅れてしまいましたすみません。
そうなのですか。偽装htmlかどうか保存でダウンロードしてから
メモ帳で確認すると良いのかなーと思ったのですが、
ファイル選択すると縮小表示のプレビューが出るので、これってまずいのかな?と思った次第です。
お答えありがとうございます。気をつけます。 <>
(○口○*)さん<>sage<>07/05/13 09:32 ID:As32pB200<> 仮想PC内をブロックしないのは、PG2だけが抱える固有の問題のような気がしなくもないので、
ログイン合戦時の緊急設定(全IPブロック。ただしRO関係は許可)はPG2で行うのではなく、
FWソフトで行えば、問題なく機能してくれる可能性があります。
試しに、ZoneAlarmProを使って緊急設定(インターネットゾーンをブロック。ただしRO関係は許可)を作ってみましたが、
ホストOS上でROは正常に起動し、ガンホーサイト以外へのブラウズは全部ブロックされ、
また仮想PC内のガンホーサイト以外へのブラウズもすべてブロックされることを確認しました。
(無料版のZoneAlarmでは詳細設定ができないので、上記のような緊急設定は多分作れません。)
緊急設定を作っておきたい方は、お使いのFWソフトで試してみては如何でしょうか。 <>
(○口○*)さん<>sage<>07/05/14 09:04 ID:XSTnuqjf0<> 雑談風味なのでこちらで。
一度hostsの変更とPG2の導入について、判りやすく整理した文面を作って、テンプレ化とか
まとめサイトの人の所に掲載とか、そういう事をした方がいいんじゃないだろうか。
hostsの更新(改竄含む)の危険性は言うまでもないが、PG2も設定次第では通常のサイトの
閲覧に支障が出る。
PG2も無闇に設定すると企業のHPやWikipediaが見れないといったトラブルが出る。
hostsは改竄されると無条件でハクサイトに繋がる恐れがある。
hostsの更新スクリプトは、実際の導入では変な設定が書き込まれる事はないが
配布ページではそれについてクドい程書かれてる。
PG2は気楽に導入できるみたいな感じで書かれてるし中韓台リストも導入を勧める
風潮が高いが、見れなくなるサイトが増える事についてはあまり触れられてない。
初めて導入する人にとっては、hostsのスクリプト導入よりPG2の方がトラブルが出る
可能性が高いと思う。
今こっちのスレではPG2の動作検証みたいなものが続いてるが、それのまとめも併せて
テンプレ化してはどうだろうか? <>
(○口○*)さん<>sage<>07/05/14 11:41 ID:4l9q7/hi0<> 既に十分書かれ・語られていると思うがなぁ。
0〜100まで手取り足取りってのはどうかと…
でも尚足りないと思うなら>>281自身でやったらいいよ。他人にお伺い立てる必要も無い。 <>
(○口○*)さん<>sage<>07/05/14 11:41 ID:5obZoH3K0<> PG2起動時に自NICへ割り当てられたIPを引っ張り、設定済みIP間の通信のみを遮断する
だからローカルに串置いてもスルーするし、別IPの串通せばスルーするのは自明 <>
(○口○*)さん<>sage<>07/05/15 15:32 ID:4I9F1wTK0<> カスペルスキーをver.6.0.2.614へアップデートしてからというもの、ファイルをダウンロードするときに
異様にPCの動作が重くなるようになってしまったのでちょっと質問。
軽いサイトの閲覧やRO程度なら問題ありませんが、ちょっと重めのサイトだとかなり気にかかり、
大きめのファイルをDL中は他の作業もままならない程です。
設定は基本的にバージョンUP前と同じなので、バージョンを上げたことが原因のように思えます。
他にも同じ症状の人とかはいるのでしょうか? <>
(○口○*)さん<>sage<>07/05/15 16:53 ID:YaNZXCgq0<> >>284
再度カスペをアンインストロール。
この時、履歴や設定など全部消す設定でアンインストロールする。全部ね。全部。全部だよ。ZE☆N☆BU☆
そうしてからインストロール。
ァ ∧_∧ ァ,、
,、'` ( ´∀`) ,、'` い・・インs
'` ( ⊃ ⊂) '` <>
(○口○*)さん<>sage<>07/05/15 23:43 ID:vJMPfGcI0<> 1. 「WinZip」や「QuickTime」のぜい弱性を突く攻撃サイト出現
ttp://itpro.nikkeibp.co.jp/article/NEWS/20070515/271057/
どちらも修正パッチは、かなり前から出ているのでバージョン確認を忘れないように
2. Firefox2.0.0.3に外部からDoS攻撃される脆弱性が見つかったらしい
ただ勝手にプログラムを実行されたりPCを乗っ取られることは無い……・? <>
284<>sage<>07/05/16 06:34 ID:E1rjjFs50<> >>285
ありがとうございます。
おかげで大分軽くなりました。 <>
(○口○*)さん<>sage<>07/05/16 22:21 ID:4POoWobo0<> 今習慣になってるカスペスキャンしたんですが
Trojan-Downloader.Java.Agent.c ZIP:感染-1なるものが検出されました。
半日前にスキャンしたときは異常なく、その後お気に入りのページを数箇所回った
程度で、怪しいアドレスを踏んだ記憶もありません。
ググってもこのトロイの実体がつかめなかったので、何かお解りの方がいたらご教授お願いします。 <>
288<>sage<>07/05/16 22:26 ID:4POoWobo0<> あ、MMOBBSさんのほうで質問したほうが良いみたいですね。
失礼いたしました。 <>
(○口○*)さん<>sage<>07/05/16 23:26 ID:hZ7xRbuP0<> >>289
そういう、いい加減な情報の場合はこっちだ。 <>
(○口○*)さん<><>07/05/17 13:23 ID:2x1Tejiz0<> 相談(報告)用のテンプレがこっちにはなかったか。
【投稿の際の注意】
・アカハックアドレスはMMOBBSでは禁止単語になっています。
加えて、誤クリックによる感染を防ぐ為にそのようなアドレスは
.(ドット)を別の文字に置き換えて報告して下さい (■がよく使われています)
・質問前後にテンプレ等を見て知識を深めると更にGoodです
・回答者はエスパーでは有りません。情報は出来るだけ多く。提供した情報の量と質
に応じて助言の量と質は向上します
・結局は本人にしかどうにも出来ない事を忘れてはいけません
----------報告用テンプレ----------
● 実際にアカウントハックを受けた時の報告用
【 気付いた日時 】 (被害に気付いた日時)
【不審なアドレスのクリックの有無 】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス)
【他人にID/Passを教えた事の有無】 (Yes/No)
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【 ツールの使用の有無 】 (Yes/No、Yesの場合はそのToolの説明)
【 ネットカフェの利用の有無 】 (Yes/No)
【 OS 】 (SP等まで書く)
【使用ブラウザ 】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【 アンチウイルスソフト 】 (NortonInternetSecurity2007 等)
【その他のSecurty対策 】 (Spybot S&D、ルータ、等)
【 ウイルススキャン結果】 (カスペルスキーオンラインスキャンでRODLL.DLL発見 等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無 [有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
【説明】
(被害状況を詳しく書く) <>
(○口○*)さん<><>07/05/17 13:23 ID:2x1Tejiz0<> ● 怪しいアドレス?を踏んだ時用
【 アドレス 】 (ドット(.)を