cNotes 検索 一覧 カテゴリ

”defs_colors” ”redefs_colors” injection

Published: 2011/05/02

3月24日あたりから4月11日ごろまでの間に観測された攻撃です。

特徴としては「defs_colors」や「redefs_colors」か「colors_picked=0」などの文字列かなと。

相変わらずのFakeAV系へとつながる攻撃のバリエーションの一つのようです。

このパターンは沈静化済み?

同様の解析を行っているところの結果によるとGumblar系と同様に盗まれたFTPアカウントの利用かosCommerceの脆弱性が利用されてhtmlの改竄をうけるようです。


攻撃を受けたサイトのhtmlにはこのようなコードが埋めこまれています。

これはredefs_colorsのパターン。

このコードが実行されるとこのようなURLが現れ飛ばされます。

いつものごとく被害サイトが有効な対策を行わない限り、繰り返し繰り返し改竄をうけ、定期的に飛ばし先のドメインが変わります。


飛ばされる先のドメインと現在のIP情報。

現在は該当のURLに関しては無害のようですが、同じドメインを使った異なるURLを利用した攻撃が他にも存在するようです。

injected domainIP逆引きASAS Name
86.55.140.20386.55.140.20349469SA-NOVA-TELECOM-GRUP-SRLRO
IPlets-tickets.co.cc10.10.10.10
khcol.com202.153.198.104dragon.whotw.com.17408ABOVE-AS-APTW
chantier.ci213.136.96.12webhosting.aviso.ci.29571CITelecom-ASCI

[カテゴリ:インジェクション観察日記]

by jyake