インジェクション - 3129
Published: 2010/02/19
これもいろいろ改竄されているサイトで見つけた例です。
特徴をつかみきれないのでとりあえず3129と。。。
このようなインジェクションが行われています。
解読するとこのようなスクリプトが現れます。
アクセスに成功すると「js」ファイルの中身はこのようなスクリプト。ポート番号が「3126」に変わってます。。。
アクセスに成功するとindex.phpにはこのようなスクリプト。失敗する場合も多く、その時は404.phpが返ってきて終了。
「edit.php」のダウンロード。
.phpですが正体はPDFファイルです。
Domain ID:D4029034-AFIN Domain Name:YAERAUNAETAINOOS.IN Created On:07-Feb-2010 10:34:40 UTC Last Updated On:07-Feb-2010 15:16:11 UTC Expiration Date:07-Feb-2011 10:34:40 UTC Sponsoring Registrar:Directi Web Services Pvt. Ltd. (R118-AFIN) Status:CLIENT TRANSFER PROHIBITED Status:TRANSFER PROHIBITED Registrant ID:DI_11148949 Registrant Country:RU
結局このドメインのIPアドレスは最初に解読されたIPアドレス直指定のURLと同じです。
;yaeraunaetainoos.in. IN A ;; ANSWER SECTION: yaeraunaetainoos.in. 300 IN A 89.248.168.168 ;; AUTHORITY SECTION: yaeraunaetainoos.in. 300 IN NS dns2.naunet.ru. yaeraunaetainoos.in. 300 IN NS dns1.naunet.ru. ;; ADDITIONAL SECTION: dns1.naunet.ru. 300 IN A 193.227.240.37 dns2.naunet.ru. 300 IN A 193.227.241.60 dns2.naunet.ru. 300 IN A 193.227.240.38
by jyake