インジェクション t.js型
Published: 2009/06/18
インジェクションに関してはいろいろたまっているので徐々に書いていこうかと。。
これはgumblarとかその他最近話題になっている攻撃の仲間ではなく、数年前から継続しているブラウザやアプリケーションまでいろんな脆弱性を突くスクリプト詰め合わせの罠サイトの仲間です。目的はやはりアカウントハックですが。
その中の特徴として「t.js」を使う仲間です。
xyypw.cn/t.js gdtynpf.cn/t.js er12.com/t.js ywdnc.com/t.js
このようにシンプルなインジェクションです。
インジェクションの仕方のシンプルさからも昔から継続している攻撃グループ?のものでしょう。html中の変なところにインジェクションされている例が多々、、これは他のインジェクションでも同じですね、、、
個々のドメインを見ていくと、めずらしくレジストラ、レジストラントに共通点がないですね、、、共通点はすべて中国というだけ、、、
まぁ確かに「t.js」とは違う名前のもので同じ攻撃手法はたくさんありますから、「t.js」を共通項と考えるのは間違いなのかもしれませんが、見た目で、、
一つ目「xyypw.cn」
;; ANSWER SECTION: xyypw.cn. 300 IN A 61.164.126.75 ;; AUTHORITY SECTION: xyypw.cn. 300 IN NS ns4.ename.cn. xyypw.cn. 300 IN NS ns6.ename.cn. xyypw.cn. 300 IN NS ns5.ename.cn. xyypw.cn. 300 IN NS ns1.ename.cn. xyypw.cn. 300 IN NS ns3.ename.cn. xyypw.cn. 300 IN NS ns2.ename.cn.
Domain Name: xyypw.cn ROID: 20081011s10001s74810332-cn Domain Status: clientDeleteProhibited Domain Status: clientTransferProhibited Registrant Organization: Registrant Name: Administrative Email: zongji009@163.com Sponsoring Registrar: Name Server:ns1.ename.cn Name Server:ns2.ename.cn Name Server:ns3.ename.cn Name Server:ns4.ename.cn Name Server:ns5.ename.cn Name Server:ns6.ename.cn Registration Date: 2008-10-11 11:40 Expiration Date: 2010-10-11 11:40
inetnum: 61.164.126.0 - 61.164.126.255 netname: ZHEJIANG-CANGNANZZS-CO country: CN descr: TaiZhou SOIDC Network Technology Corp descr: admin-c: DL1060-AP tech-c: CW27-AP status: ASSIGNED NON-PORTABLE changed: auto-dbm@dcb.hz.zj.cn 20081107 mnt-by: MAINT-CN-CHINANET-ZJ-WZ source: APNIC
二つ目「ywdnc.com」
;; ANSWER SECTION: ywdnc.com. 300 IN A 59.36.98.242 ;; AUTHORITY SECTION: ywdnc.com. 300 IN NS ns1.dns.com.cn. ywdnc.com. 300 IN NS ns2.dns.com.cn. ;; ADDITIONAL SECTION: ns1.dns.com.cn. 300 IN A 122.70.138.5 ns1.dns.com.cn. 300 IN A 122.70.138.6 ns1.dns.com.cn. 300 IN A 124.42.122.8 ns1.dns.com.cn. 300 IN A 124.42.122.9 ns2.dns.com.cn. 300 IN A 124.42.122.6 ns2.dns.com.cn. 300 IN A 122.70.138.8 ns2.dns.com.cn. 300 IN A 122.70.138.9 ns2.dns.com.cn. 300 IN A 124.42.122.5
Domain Name: YWDNC.COM Registrar: BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN Whois Server: whois.dns.com.cn Referral URL: http://www.dns.com.cn Name Server: NS1.DNS.COM.CN Name Server: NS2.DNS.COM.CN Status: clientTransferProhibited Updated Date: 10-apr-2009 Creation Date: 21-sep-2007 Expiration Date: 21-sep-2010 Domain Name.......... ywdnc.com Creation Date........ 2007-09-21 13:22:53 Registration Date.... 2007-09-21 13:22:53 Expiry Date.......... 2010-09-21 13:22:53 Organisation Name.... yao ting Organisation Address. yiwu Computer city Organisation Address. Organisation Address. yiwu Organisation Address. 322000 Organisation Address. BJ Organisation Address. CN
inetnum: 59.32.0.0 - 59.42.255.255 netname: CHINANET-GD descr: CHINANET Guangdong province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 country: CN
三つめ「gdtynpf.cn」
gdtynpf.cn. 300 IN A 61.152.157.67 ;; AUTHORITY SECTION: gdtynpf.cn. 300 IN NS ns4.dns-diy.com. gdtynpf.cn. 300 IN NS ns3.dns-diy.com. ;; ADDITIONAL SECTION: ns3.dns-diy.com. 300 IN A 222.76.217.174 ns3.dns-diy.com. 300 IN A 60.191.252.68 ns3.dns-diy.com. 300 IN A 218.85.139.33 ns3.dns-diy.com. 300 IN A 218.107.207.40 ns4.dns-diy.com. 300 IN A 211.152.33.4 ns4.dns-diy.com. 300 IN A 210.51.180.239
Domain Name: gdtynpf.cn ROID: 20080621s10001s43150569-cn Domain Status: clientTransferProhibited Registrant Organization: Registrant Name: Administrative Email: sz136138@21cn.com Sponsoring Registrar: Name Server:ns3.dns-diy.com Name Server:ns4.dns-diy.com Registration Date: 2008-06-21 10:18 Expiration Date: 2010-06-21 10:18
inetnum: 61.152.156.0 - 61.152.159.255 netname: SHANGHAI-GLOBAL-NET descr: Shanghai Global Network Co., Ltd. country: CN admin-c: JY81-AP tech-c: JY81-AP mnt-by: MAINT-CHINANET-SH status: ASSIGNED NON-PORTABLE changed: ip-admin@mail.online.sh.cn 20020819 changed: hm-changed@apnic.net 20040927 source: APNIC
四つめ「er12.com」
er12.com. 300 IN A 221.122.67.9 ;; AUTHORITY SECTION: er12.com. 300 IN NS dns27.hichina.com. er12.com. 300 IN NS dns28.hichina.com.
Domain Name: ER12.COM Registrar: HICHINA ZHICHENG TECHNOLOGY LTD. Whois Server: grs.hichina.com Referral URL: http://www.net.cn Name Server: DNS27.HICHINA.COM Name Server: DNS28.HICHINA.COM Status: ok Updated Date: 23-nov-2008 Creation Date: 23-nov-2008 Expiration Date: 23-nov-2009
Domain Name ..................... er12.com Name Server ..................... dns27.hichina.com dns28.hichina.com Registrant ID ................... hc452606839-cn Registrant Name ................. dongxu ren Registrant Organization ......... rendongxu Registrant Address .............. zhengzhou Registrant City ................. zhengzhou Registrant Province/State ....... henan Registrant Postal Code .......... 450008 Registrant Country Code ......... CN
inetnum: 221.122.0.0 - 221.123.255.255 netname: CHINACOMM descr: CECT-CHINACOMM COMMUNICATIONS Co.,Ltd. descr: INTERNET COMMUNICATIONS country: CN admin-c: ML850-AP tech-c: GJ355-AP mnt-by: MAINT-CNNIC-AP changed: ipas@cnnic.net.cn 20050901 status: ALLOCATED PORTABLE source: APNIC
実際にアクセスするとどうなるかというと、すべての階層は書きませんが、こんな感じでいろいろな脆弱性を突くスクリプトを食らっていきます。時期によって微妙に変わってきてはいますが、昔からよくみるやつですよね。
http://ywdnc.com/t.js http://fsgnfjh123.3322.org/a/a1a.htm?4 http://fsgnfjh123.3322.org/a/index.htm http://fsgnfjh123.3322.org/a/flash.htm http://fsgnfjh123.3322.org/a/iss .html http://fsgnfjh123.3322.org/a/fss .html http://fsgnfjh123.3322.org/a/a44.htm http://fsgnfjh123.3322.org/a/14.js http://fsgnfjh123.3322.org/a/office.htm http://fsgnfjh123.3322.org/a/of .js http://fsgnfjh123.3322.org/a/02.htm http://fsgnfjh123.3322.org/a/set .js http://fsgnfjh123.3322.org/a/pef .pdf
以前にくらべて目立った?変更点は、流行を取り入れてpdfの脆弱性をつくためのpdfファイルが加わった点ですね。
pef.pdf⇒
3322.orgもしつこいですね。当然、この飛び先のドメインはころころ変わります。
こいつにも仲間がたくさんいることでしょう、、
by jyake