cNotes 検索 一覧 カテゴリ

インジェクション - sl.php

Published: 2012/08/04

8月に入って新しいドメインを利用したインジェクションがはやっているようです。

以前から継続している攻撃のバリエーションです。

この例では「sl.php」のパターンを抽出していますが、その他のパターンも多くあります。

この攻撃の共通点は、AS48691に攻撃サイトが設置されていることのようです。

datedomainpath
2012020712enswdzq112aazz.com/sl.php
2012051420www.bldked98f5.com/sl.php
2012060818www1.mainglobilisi.com/sl.php
2012080100lasimp04risoned.rr.nu/sl.php
2012080118xinthesidersdown.com/sl.php
2012080300eighbo02rsbarr.rr.nu/sl.php?v=1
2012080400andsto57cksstar.rr.nu/sl.php?v=1
2012080406tartis78tscolla.rr.nu/sl.php?v=1
2012080418tentsf05luxfig.rr.nu/sl.php?v=1

ここでの検出はこれくらいですが実際にはもっと多くのドメインが利用されているようです。

domainIP逆引きASAS nameCountry
enswdzq112aazz.comNXDOMAINNONENONENONE
andsto57cksstar.rr.nu67.208.74.71NONE33597INFORELAY_-_InfoRelay_Online_Systems_Inc.UnitedStates
lasimp04risoned.rr.nu67.208.74.71NONE33597INFORELAY_-_InfoRelay_Online_Systems_Inc.UnitedStates
tentsf05luxfig.rr.nu67.208.74.71NONE33597INFORELAY_-_InfoRelay_Online_Systems_Inc.UnitedStates
eighbo02rsbarr.rr.nu194.28.115.150h150-115.net.lan-rybnitsa.com.48691SPECIALIST-AS_Specialist_LtdMoldovaRepublic
tartis78tscolla.rr.nu194.28.115.150h150-115.net.lan-rybnitsa.com.48691SPECIALIST-AS_Specialist_LtdMoldovaRepublic
www1.mainglobilisi.com194.28.115.150h150-115.net.lan-rybnitsa.com.48691SPECIALIST-AS_Specialist_LtdMoldovaRepublic
www.bldked98f5.com194.28.115.150h150-115.net.lan-rybnitsa.com.48691SPECIALIST-AS_Specialist_LtdMoldovaRepublic
xinthesidersdown.com194.28.115.150h150-115.net.lan-rybnitsa.com.48691SPECIALIST-AS_Specialist_LtdMoldovaRepublic

モルドバのIP 194.28.115.150が攻撃サイト。このホスティングサービスは攻撃サイトとしてよく利用されているようです。

[カテゴリ:インジェクション観察日記]

by jyake