で，なんで「日本のWebサイト改ざんを複数確認：PCは常に最新状態に！」（トレンドマイクロさん） なのか？ これは，誘導される先のマルウェアが，古い脆弱性を使っていることを確認出来たからであろう．このblogでは，CVE2010-0188を使った攻撃を確認出来た…

すでに述べたところもあるが，改ざんのパターンを見ていると， Webアプリの脆弱性を突かれた（パターン2） Apache Tomcatの管理機能をヤられた（パターン1と3） というように見える．あくまでオレからはそう見える，というだけだが…．パターン2で，Webアプリ…

ちなみにパターン2とパターン3の場合，攻撃者がムキになっているのかわからないが，同じように難読化されたJavascriptのブロックが複数箇所あることがわかる． 視覚化ｗすると，ほぼ数字と","のみで構成された部分が真っ赤になるわけだがｗ，パターン3の改ざ…

図のように，scriptタグがなくて延々スクリプトが記述されているようなコンテンツを得られることがある． オレはJSP（というかServlet）には疎いので，なぜこうなるのかはよくわからないｗ．でも，（おそらく）元のJSPファイルにはscriptタグが入っていたと…

これは，HTMLの改ざんに成功してはいるものの，中身が一部エスケープされており，このままでは動作しない． これはおそらく，Webアプリ等の脆弱性を突いて内容を送り込んだつもりが，内容を送り込む機能のエスケープ機能が有効に働いた結果，このような中途…

この場合，改ざんされて埋め込まれたスクリプトが動作し，悪意あるネタをダウンロードする，というように仕向けられる．トレンドマイクロさんの場合は，JS_BLACOLE.MTとして検出されるが，オレのところはKaspersky Internet Security 2013を使っているので，…

といっても，難読化された内容を読むんじゃなくって，「改ざんされた結果取得されるネタがどういうパターンか？を読み解く」というだけだがｗ

日本各地で改ざん被害が相次いでるようで… piyokangoさんの2013年6月4日の日記に，良い感じでまとまってますが，それを紹介するだけだとそれで終わってしまうのでｗ，自分なりに読み解いてみたよ！