疾風開発日誌

以下は、ブログが見れなかったときにおいておいた文章です。現在は復旧しております。

元データ：http://ayokura.net/blog.txt
（アドレスは変更される可能性がありますので最新のアドレスはこのページを参照ください）

ゆごです。

ご迷惑をおかけしております。テキストファイルで失礼します。
「疾風開発日誌」は、共同HP管理者のウイルス感染（の除去の時にうっかり必要ファイルを消した）ことにより、一時閉鎖中です。
他のayokura.net内のサービスにつきましては、通常運用しております。

疾風最新版のダウンロードは以下のアドレスよりどうぞ。

http://ayokura.net/hayate1235.zip

ウイルス感染についてご説明いたします。

現在ayokura.net内にウイルス感染箇所はありません。

1/31 1時頃から14時頃まで、ayokura.net内の「index.html」「index.htm」「index.php」並びに、すべてのjs（javascript）ファイルがウイルス感染しました。
具体的には、公開サービス1件（「疾風開発日誌」）、非公開サービス1件（自分用のFresh Reader）が影響を受けました。

ウイルス感染時間内にホームページへの普通のブラウザからのアクセスはありませんでしたので、回覧者の感染はなかったはずです。
（ウイルスがログを改変していなければ、、、ですが）
もし、ウイルス感染時間帯にアクセスした人がいらっしゃいましたら、yugo@ayokura.netまでメールをいただければ助かります。

1/31 01:00ごろ 共同管理者ウイルス感染。
ウイルスによりHPが改変を受けました。
14:00ごろ 私が気づいて、HPを一時完全封鎖しました。（サイトへのアクセス権調整並びに、DNS解除による封鎖）
また、共同管理者の管理権限を剥奪しました。
17:25     修復完了。サイト復旧。。。しかし、除去時のミスでブログ内のjsファイルを削除していたため、ブログのみ復旧できず。
2/21           この文章の表示設定をミスっていたので、表示されるように。。。すみません。

これから先の予定です。
2/25           前期日程試験終了。
2/26           帰宅。
ブログ復旧作業を行います。

感染したウイルスに関する情報です。

感染したウイルスは「Security tool」と呼ばれるものです。
偽セキュリティツールですが、ガンブラー系のウイルスと同様に、サイト改変後サイト回覧者PCの脆弱性をつき侵入します。
感染するとPCが正常に使えなくなります。
また、悪意ある人間からPC内のあらゆる情報を取得されたり、遠隔操作される可能性があります。
前述の通り、このサイトからの感染はありませんので、除去方法などの詳細は割愛させていただきます。
詳細は検索してください。

この度はご迷惑をおかけし、申し訳ございませんでした。

ゆごゆご ◆1CEuDsi.c

＜追加情報＞
なお、ブログ閉鎖原因は、ウイルス除去用に書いたプログラムのバグです。
該当のバグは修正してある除去プログラムを以下に記します。
このプログラムを利用したことによる、あらゆる責任はとりませんので、自己責任でお使いください。
2/1時点でのウイルスに対する対応ですので、かならず、感染したウイルスに合わせて、最低三箇所は修正して使ってください。
2/1時点では、「ファイルの末尾に」、「”try{window.onload=function”からはじまる」文字列を追加していましたので、このような挙動にしています。
（若干手抜きです。）
もし、ファイル内に、ウイルスによるものではない、try{window.onload=functionが存在するときは、その部分以後が削除されます。ご注意ください。

なお、見た感じで使い方が分からない人は使わないでください。（というか、使い方分かる人にはいらないと思われますがｗ）
また、使用前にウイルスの除去、FTPパスの変更を行って、安全になった上で感染PC以外からの実行を勧めます。

% find . -mtime -7 -print | xargs grep -l “try{window.onload=function” |xargs ruby delvirus.rb
（感染後7日以内に限る
（安全なPCからFTPパス変更後行うこと

—-delvirus.rb

#!/usr/local/bin/ruby -Ku

require “pp”

#HTMLとphpの修正を行う部分
regexp=/\A(.+)<script>try{window.onload=function/m
ARGV.each{|name|
a=File.read(name)
a=~regexp
a=$1
puts name unless a.nil?
p a[-20..-1] unless a.nil?
open(name,”w”){|fd| fd.print a} unless a.nil?
}

#jsの修正を行う部分
regexp=/\A(.+)try{window.onload=function/m
ARGV.each{|name|
a=File.read(name)
a=~regexp
a=$1
puts name unless a.nil?
p a[-20..-1] unless a.nil?
open(name,”w”){|fd| fd.print a} unless a.nil?
}

つぶやく

ゆごです。開発停止中ですが、いろいろ状況も変わったようなので、疾風1.2.3.5をリリースいたします。
これからも、よろしくお願いします。

疾風 Ver.1.2.3.5 開発版
http://ayokura.net/hayate1235.zip
リリース日：2009/12/13
使用期限：2010/08/31 23:59:59 JST

<CAUTION>
本バージョンは、開発版です。
何か問題がありましたら旧バージョンをお使いください。
または、コメントくだされば、修正するかもしれません。

<変更点・改善点>

• 記号入力に関する制限を外しました。
• コロッケ対応を行いました。疾風設定より有効にできます。
• 試験的にdjpeg.exeに依存しなくしました。（Thanks to 登録所の中の人）
• 内部ライブラリの更新、Rubyエンジンの更新を行いました。

つぶやく

ゆごです。元気です。
WordPress 2.8.6に更新しましたー。

それだけです。

つぶやく