cNotes 検索 一覧 カテゴリ

インジェクション - 3129

Published: 2010/02/19

これもいろいろ改竄されているサイトで見つけた例です。

特徴をつかみきれないのでとりあえず3129と。。。

このようなインジェクションが行われています。

解読するとこのようなスクリプトが現れます。

アクセスに成功すると「js」ファイルの中身はこのようなスクリプト。ポート番号が「3126」に変わってます。。。

アクセスに成功するとindex.phpにはこのようなスクリプト。失敗する場合も多く、その時は404.phpが返ってきて終了。

「edit.php」のダウンロード。

.phpですが正体はPDFファイルです。

http://www.virustotal.com/analisis/60cbca2e3df2dab5b6729f92113383bb44cb6f653f1e16f799b23698ba501b82-1266469586

 Domain ID:D4029034-AFIN
 Domain Name:YAERAUNAETAINOOS.IN
 Created On:07-Feb-2010 10:34:40 UTC
 Last Updated On:07-Feb-2010 15:16:11 UTC
 Expiration Date:07-Feb-2011 10:34:40 UTC
 Sponsoring Registrar:Directi Web Services Pvt. Ltd. (R118-AFIN)
 Status:CLIENT TRANSFER PROHIBITED
 Status:TRANSFER PROHIBITED
 Registrant ID:DI_11148949
 Registrant Country:RU

結局このドメインのIPアドレスは最初に解読されたIPアドレス直指定のURLと同じです。

 ;yaeraunaetainoos.in.           IN      A
 
 ;; ANSWER SECTION:
 yaeraunaetainoos.in.    300     IN      A       89.248.168.168
 
 ;; AUTHORITY SECTION:
 yaeraunaetainoos.in.    300     IN      NS      dns2.naunet.ru.
 yaeraunaetainoos.in.    300     IN      NS      dns1.naunet.ru.
 
 ;; ADDITIONAL SECTION:
 dns1.naunet.ru.         300     IN      A       193.227.240.37
 dns2.naunet.ru.         300     IN      A       193.227.241.60
 dns2.naunet.ru.         300     IN      A       193.227.240.38

[カテゴリ:インジェクション観察日記]

by jyake