追記
8080系の記事に関して時系列順にまとめました。
今日も今日とて一応改ざんされているサイトをちょこちょこ見回ってみましたが昨日と変わりない感じ。
なんか、せっせと通報している人のおかげか、改ざんされたまま放置されてるサイトがかなり少なくなってるような気がしますね。
2chに書き込まれているようなアドレスや、検索して出てくるようなサイトはほとんどが404か403か修正済み(そのうちほとんどが告知なし)
ところで、かつて感染したときに一度改ざんされた生贄PCのFFFTPに登録してある生贄サイトですが
改ざんを修正してから、その後も敢えてパスワードを変更せずにおいたんですよね。
ただ、結局それ以降は一度も改ざんされていないので
「サイトが改ざんされるタイミングは、ウイルスに感染してFTPクライアントの情報を外部に送信した時だけ」
なのかなーとか思いつつ、たった今GumblarCheckerで生贄サイトを確認したら
あ・・・・あれ?
確か昨日の夜確認した時には問題なかったはず・・・
うんたらかんたらsuperhighest.ru:DEBUG/
おおう、噂の/*コメント*/なしのDEBUG。
FFFTPのこの表示が正しいのならば、改ざんは1月28日(今日)の4:53に行われたらしい。
ということでやっぱり
『一度改ざんされたらその時の情報を使って再び外部から改ざんされる恐れがあるのでパスワードの変更は絶対しておきましょうね!』
という事・・・でいいんですかね。
あとはこの機会にFFFTPから卒業するとか・・・
UnderForge of Lack » Blog Archive » [Hammmer and Anvil] 夜間便
FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
ちなみに、この生贄サイトにアクセスすると
ページの内容が表示された後
リダイレクト先を読み込みはじめたと思ったら・・・
真っ白な背景にリダイレクト先のURLの一部が表示された状態で読み込みはストップ(フリーズしているわけではない)
パケットログ。
うーんうーんzzzz
そういえば、FFFTPで「設定をINIファイルに保存」を使った場合はどうなるんでしょう?レジストリ嫌いでINI保存設定で使ってるんですが…
試してみます