:8080+index.php
Published: 2009/08/29
最近目立つインジェクションですが、以前書いた
「cnドメインを利用したインジェクション 8080 + index.php型」
「cnドメインを利用した cocacola , income ,pepsi インジェクション」
「cnドメインを利用した mozila , banner , tycoon インジェクション」
の発展形ですね。
最近の流行は
三文字.ru:8080/index.php
ですが、
*.in *.at *.cn
のものもたくさんあります。
目的はPDFやSWF系の脆弱性をつくということで変わっていないよいうですが、何が変わったかというと、アクセス条件がきつくなったというか、過去記事にも書いたいるとおり、もともとクッキー操作してリダイレクトしたり、ブラウザプラグインのチェックを行ったりしていたわけですが、今現在は、そのままこのURLを踏んでも0バイトの応答しかかえって来ません。
で、アクセス条件はなんのかよくわからないのですが、IPアドレスかネットワークでフィルタされているのか、ドメインなのかよくわかりませんが、海外のプロキシ経由させてもだめですし、よくわからないですね。
ただし、この攻撃(exploit pack)の決まり文句をつかって8080より後ろの部分を
/cache/readme.pdf /filez/readme.pdf
等にしてやると悪性のファイルがダウンロードされます。
実はreadme.pdfという文字列に意味はなくどんな文字列でも同じものがダウンロードされます。
exeをダウンロードさせるおまじないもあるようですが、現状はうまくいかないようなので割愛。
ふと思うのが、たとえばサイトの判定の仕組みで、リンクをたどっていって悪性ファイルに届いたらこのドメインは「BAD」と判定する仕組みだと、この場合「SAFE」と判定されちゃいますね。とどかないから。アクセス条件を突破するか、別の判断条件加えてアドレスの共通性での判断だとか、URLに細工とかしてみない限りは。
ただ、うまくダウンロードできないということは、ポジティブに考えれば、ある条件以外は影響をうけないってことかもしれません。その条件は何なんでしょう。。。。。
8月だけでこのくらいのバリエーションを観測。cn系はふるいですね。
39q.ru 39v.ru 39w.ru 3b6.ru 3b8.ru 3b9.ru 3bh.ru 3ca.ru 3ci.ru 3cl.ru 3e0.ru 3f2.ru 3f4.ru 3f6.ru 3f9.ru a5g.ru b7g.at bestfindaloan.cn bigappletopworld.cn bigtopleads.cn blendbet.cn bqtl.in c5y.at c6h.at c6p.at c9u.at f5l.at findbigsoftpack.cn findbigthinkers.cn giantpremium.cn ixcx.in lotbetsite.cn mymixwager.cn namebuyfilmlife.cn oufc.in q0w.ru q1b.ru q1e.ru q1m.ru q3n.ru q46.ru q59.ru q5c.ru q5n.in u7z.ru vwui.in x0c.ru x1g.in x3b.ru x8c.ru x8n.ru x8o.ru x9p.ru x9u.in xb6.ru xb8.ru xc7.ru xc8.ru xd4.ru xg9.ru xj4.in xq0.ru xq9.ru xrbw.in xt7DOTru xt7.ru xv9.ru yournameshop.cn
RUはこんな感じ。
domain: 39Q.RU type: CORPORATE nserver: ns1.only-dns-hosting.com. nserver: ns2.only-dns-hosting.com. nserver: ns3.only-dns-hosting.com. nserver: ns4.only-dns-hosting.com. state: REGISTERED, DELEGATED person: Private person phone: +7 4732 793060 registrar: REGRU-REG-RIPN created: 2009.08.10 paid-till: 2010.08.10 source: TC-RIPN
INはこんな感じ。
Domain ID:D3358510-AFIN Domain Name:XRBW.IN Created On:23-Mar-2009 14:02:17 UTC Last Updated On:23-May-2009 03:26:45 UTC Expiration Date:23-Mar-2010 14:02:17 UTC Sponsoring Registrar:Netlynx Technologies Pvt. Ltd. (R62-AFIN) Status:OK Registrant ID:DI_9562834 Registrant Name:Mihail Vorobyev Registrant Organization:Mihail Vorobyev Registrant City:Apatity Registrant State/Province:Murmanskaya Registrant Postal Code:184215 Registrant Country:RU Admin Country:RU
ATはこんな感じ。
domain: c6h.at registrant: MV5139069-NICAT admin-c: MV5139069-NICAT tech-c: MV5139069-NICAT nserver: ns1.freednswebhost.com nserver: ns2.freednswebhost.com nserver: ns3.freednswebhost.com nserver: ns4.freednswebhost.com changed: 20090604 13:21:16 source: AT-DOM personname: Mikhail Vorobiev organization: street address: ulitsa Bredova d.22 kv.18 postal code: 184215 city: Apatity country: Russian Federation
CNはこんな感じ。
Domain Name: blendbet.cn ROID: 20081108s10001s82360989-cn Domain Status: clientTransferProhibited Registrant Organization: Raymond Keaton Registrant Name: Raymond Keaton Administrative Email: Keaton@cybernauttech.com Name Server:ns1.freednshostway.com Name Server:ns2.freednshostway.com Registration Date: 2008-11-08 16:15 Expiration Date: 2009-11-08 16:15
アドレスはどのドメインも共通(追記:一部違うのがあるようです)
94.75.216.155 213.251.176.169 85.17.237.5 89.108.71.177 94.23.198.97
LEASEWEB(オランダ)と
inetnum: 85.17.237.0 - 85.17.237.255 inetnum: 94.75.216.0 - 94.75.216.255 netname: LEASEWEB descr: LeaseWeb descr: P.O. Box 93054 descr: 1090BB AMSTERDAM descr: Netherlands descr: www.leaseweb.com remarks: Please send email to "abuse@leaseweb.com" for complaints remarks: regarding portscans, DoS attacks and spam. remarks: assignment LEASEWEB 20080723 country: NL
OVH(フランス)と
inetnum: 94.23.192.0 - 94.23.255.255 inetnum: 213.251.176.0 - 213.251.183.255 netname: OVH descr: OVH SAS descr: Dedicated Servers (2006) descr: http://www.ovh.com country: FR
AGAVA(ロシア)
inetnum: 89.108.64.0 - 89.108.71.255 netname: AGAVA-DATACENTER-NET descr: AGAVA JSC country: RU
by jyake