インジェクション増えてます

いつまで続くのでしょうね？

まぁSEO屋さんの古い手法をインジェクションと組み合わせてマルウェア埋め込みに利用してるだけのものなのでしょうが…

9i5t.cn

computershello.cnからスクリプトをダウンロードしようとします。computershello.cnが直接注入されているものとは別のスクリプトですね。オリジナルとは違う遷移をしますが、最終的にはほぼ同じ脆弱性を狙っているようです。

 Domain Name: 9i5t.cn
 ROID: 20080510s10001s06183076-cn
 Domain Status: ok
 :
 :
 Name Server:ns1.dns.com.cn
 Name Server:ns2.dns.com.cn
 Registration Date: 2008-05-10 21:40
 Expiration Date: 2009-05-10 21:40

www.wowgm1.cn

www.kisswow.com.cn、www.ririwow.cn、www.wowyeye.cnと同じIPアドレスで同じ狙いです。

 Domain Name: wowgm1.cn
 ROID: 20080511s10001s14451989-cn
 Domain Status: ok
 :
 :
 Name Server:dns23.hichina.com
 Name Server:dns24.hichina.com
 Registration Date: 2008-05-11 14:40
 Expiration Date: 2009-05-11 14:40

日替わりですね。国内のサイトが大規模に被害にあっていないのは救いですが、、、リンクで飛び回るWebの世界にどこの国のサーバーだから大丈夫ということはないので深刻です。

[カテゴリ:botnet観察日記]

by jyake