cNotes 検索 一覧 カテゴリ

:8080+index.php

Published: 2009/08/29

最近目立つインジェクションですが、以前書いた

cnドメインを利用したインジェクション 8080 + index.php型

cnドメインを利用した cocacola , income ,pepsi インジェクション

cnドメインを利用した mozila , banner , tycoon インジェクション

の発展形ですね。

最近の流行は

 三文字.ru:8080/index.php

ですが、

 *.in
 *.at
 *.cn

のものもたくさんあります。

目的はPDFやSWF系の脆弱性をつくということで変わっていないよいうですが、何が変わったかというと、アクセス条件がきつくなったというか、過去記事にも書いたいるとおり、もともとクッキー操作してリダイレクトしたり、ブラウザプラグインのチェックを行ったりしていたわけですが、今現在は、そのままこのURLを踏んでも0バイトの応答しかかえって来ません。

で、アクセス条件はなんのかよくわからないのですが、IPアドレスかネットワークでフィルタされているのか、ドメインなのかよくわかりませんが、海外のプロキシ経由させてもだめですし、よくわからないですね。

ただし、この攻撃(exploit pack)の決まり文句をつかって8080より後ろの部分を

 /cache/readme.pdf
 /filez/readme.pdf

等にしてやると悪性のファイルがダウンロードされます。

実はreadme.pdfという文字列に意味はなくどんな文字列でも同じものがダウンロードされます。

exeをダウンロードさせるおまじないもあるようですが、現状はうまくいかないようなので割愛。

ふと思うのが、たとえばサイトの判定の仕組みで、リンクをたどっていって悪性ファイルに届いたらこのドメインは「BAD」と判定する仕組みだと、この場合「SAFE」と判定されちゃいますね。とどかないから。アクセス条件を突破するか、別の判断条件加えてアドレスの共通性での判断だとか、URLに細工とかしてみない限りは。

ただ、うまくダウンロードできないということは、ポジティブに考えれば、ある条件以外は影響をうけないってことかもしれません。その条件は何なんでしょう。。。。。

8月だけでこのくらいのバリエーションを観測。cn系はふるいですね。

 39q.ru
 39v.ru
 39w.ru
 3b6.ru
 3b8.ru
 3b9.ru
 3bh.ru
 3ca.ru
 3ci.ru
 3cl.ru
 3e0.ru
 3f2.ru
 3f4.ru
 3f6.ru
 3f9.ru
 a5g.ru
 b7g.at
 bestfindaloan.cn
 bigappletopworld.cn
 bigtopleads.cn
 blendbet.cn
 bqtl.in
 c5y.at
 c6h.at
 c6p.at
 c9u.at
 f5l.at
 findbigsoftpack.cn
 findbigthinkers.cn
 giantpremium.cn
 ixcx.in
 lotbetsite.cn
 mymixwager.cn
 namebuyfilmlife.cn
 oufc.in
 q0w.ru
 q1b.ru
 q1e.ru
 q1m.ru
 q3n.ru
 q46.ru
 q59.ru
 q5c.ru
 q5n.in
 u7z.ru
 vwui.in
 x0c.ru
 x1g.in
 x3b.ru
 x8c.ru
 x8n.ru
 x8o.ru
 x9p.ru
 x9u.in
 xb6.ru
 xb8.ru
 xc7.ru
 xc8.ru
 xd4.ru
 xg9.ru
 xj4.in
 xq0.ru
 xq9.ru
 xrbw.in
 xt7DOTru
 xt7.ru
 xv9.ru
 yournameshop.cn

RUはこんな感じ。

 domain:     39Q.RU
 type:       CORPORATE
 nserver:    ns1.only-dns-hosting.com.
 nserver:    ns2.only-dns-hosting.com.
 nserver:    ns3.only-dns-hosting.com.
 nserver:    ns4.only-dns-hosting.com.
 state:      REGISTERED, DELEGATED
 person:     Private person
 phone:      +7 4732 793060
 registrar:  REGRU-REG-RIPN
 created:    2009.08.10
 paid-till:  2010.08.10
 source:     TC-RIPN

INはこんな感じ。

 Domain ID:D3358510-AFIN
 Domain Name:XRBW.IN
 Created On:23-Mar-2009 14:02:17 UTC
 Last Updated On:23-May-2009 03:26:45 UTC
 Expiration Date:23-Mar-2010 14:02:17 UTC
 Sponsoring Registrar:Netlynx Technologies Pvt. Ltd. (R62-AFIN)
 Status:OK
 Registrant ID:DI_9562834
 Registrant Name:Mihail Vorobyev
 Registrant Organization:Mihail Vorobyev
 Registrant City:Apatity
 Registrant State/Province:Murmanskaya
 Registrant Postal Code:184215
 Registrant Country:RU
 Admin Country:RU 

ATはこんな感じ。

 domain:         c6h.at
 registrant:     MV5139069-NICAT
 admin-c:        MV5139069-NICAT
 tech-c:         MV5139069-NICAT
 nserver:        ns1.freednswebhost.com
 nserver:        ns2.freednswebhost.com
 nserver:        ns3.freednswebhost.com
 nserver:        ns4.freednswebhost.com
 changed:        20090604 13:21:16
 source:         AT-DOM
 personname:     Mikhail Vorobiev
 organization:   
 street address: ulitsa Bredova d.22 kv.18
 postal code:    184215
 city:           Apatity
 country:        Russian Federation 

CNはこんな感じ。

 Domain Name: blendbet.cn
 ROID: 20081108s10001s82360989-cn
 Domain Status: clientTransferProhibited
 Registrant Organization: Raymond Keaton 
 Registrant Name: Raymond Keaton
 Administrative Email: Keaton@cybernauttech.com
 Name Server:ns1.freednshostway.com
 Name Server:ns2.freednshostway.com
 Registration Date: 2008-11-08 16:15
 Expiration Date: 2009-11-08 16:15

アドレスはどのドメインも共通(追記:一部違うのがあるようです)

 94.75.216.155
 213.251.176.169
 85.17.237.5
 89.108.71.177
 94.23.198.97

LEASEWEB(オランダ)と

 inetnum:        85.17.237.0 - 85.17.237.255
 inetnum:        94.75.216.0 - 94.75.216.255
 netname:        LEASEWEB
 descr:          LeaseWeb
 descr:          P.O. Box 93054
 descr:          1090BB AMSTERDAM
 descr:          Netherlands
 descr:          www.leaseweb.com
 remarks:        Please send email to "abuse@leaseweb.com" for complaints
 remarks:        regarding portscans, DoS attacks and spam.
 remarks:        assignment LEASEWEB 20080723
 country:        NL

OVH(フランス)と

 inetnum:        94.23.192.0 - 94.23.255.255
 inetnum:        213.251.176.0 - 213.251.183.255
 netname:        OVH
 descr:          OVH SAS
 descr:          Dedicated Servers (2006)
 descr:          http://www.ovh.com
 country:        FR

AGAVA(ロシア)

 inetnum:        89.108.64.0 - 89.108.71.255
 netname:        AGAVA-DATACENTER-NET
 descr:          AGAVA JSC
 country:        RU

[カテゴリ:インジェクション観察日記]

by jyake