インジェクション - .ru／js．js 2

まだまだ継続している感じですが、最近の例で。

たとえばこのURL。

 ｈttp：//sslid.webserviceaan.ru／js.js

js.jsの中身はこれで、

解読するとこう。

さらにssl.html。

解読するとこう。？？？！！！

はい、これ→「wordpress.html - Wikipedia e-mail address confirmation」につながりました。

最近大量に観測しているhtml添付型、indexX.html型というスパムメールルートで行われている攻撃にjs.jsインジェクションも利用され始めた？ということですかね。もともと同じ攻撃かもしれませんが。

 domain:     WEBSERVICEAAN.RU
 nserver:    ns1.webserviceaan.ru. 91.213.217.4
 nserver:    ns2.webserviceaan.ru. 109.196.134.59
 state:      REGISTERED, DELEGATED, VERIFIED
 person:     Private Person
 phone:      +4 495 7618761
 e-mail:     anrnews@mail.ru
 registrar:  REGGI-REG-RIPN
 created:    2010.06.24
 paid-till:  2011.06.24
 source:     TCI

 WEBSERVICEAAN.RU has address 109.196.134.58
 
 inetnum:        109.196.128.0 - 109.196.143.255
 netname:        VLINERU2-NET
 descr:          VLine Ltd
 descr:          Net of VLine Ltd, Hosting & Colocation service provider,
 descr:          which provides shared hosting, mail hosting, Colocation
 descr:          and domain name registration.
 country:        RU

[カテゴリ:インジェクション観察日記]

by jyake