”defs_colors” ”redefs_colors” injection
Published: 2011/05/02
3月24日あたりから4月11日ごろまでの間に観測された攻撃です。
特徴としては「defs_colors」や「redefs_colors」か「colors_picked=0」などの文字列かなと。
相変わらずのFakeAV系へとつながる攻撃のバリエーションの一つのようです。
このパターンは沈静化済み?
同様の解析を行っているところの結果によるとGumblar系と同様に盗まれたFTPアカウントの利用かosCommerceの脆弱性が利用されてhtmlの改竄をうけるようです。
攻撃を受けたサイトのhtmlにはこのようなコードが埋めこまれています。
これはredefs_colorsのパターン。
このコードが実行されるとこのようなURLが現れ飛ばされます。
いつものごとく被害サイトが有効な対策を行わない限り、繰り返し繰り返し改竄をうけ、定期的に飛ばし先のドメインが変わります。
飛ばされる先のドメインと現在のIP情報。
現在は該当のURLに関しては無害のようですが、同じドメインを使った異なるURLを利用した攻撃が他にも存在するようです。
injected domain | IP | 逆引き | AS | AS Name | 国 |
---|---|---|---|---|---|
86.55.140.203 | 86.55.140.203 | 49469 | SA-NOVA-TELECOM-GRUP-SRL | RO | |
IPlets-tickets.co.cc | 10.10.10.10 | ||||
khcol.com | 202.153.198.104 | dragon.whotw.com. | 17408 | ABOVE-AS-AP | TW |
chantier.ci | 213.136.96.12 | webhosting.aviso.ci. | 29571 | CITelecom-AS | CI |
by jyake