インジェクション - sl.php
Published: 2012/08/04
8月に入って新しいドメインを利用したインジェクションがはやっているようです。
以前から継続している攻撃のバリエーションです。
この例では「sl.php」のパターンを抽出していますが、その他のパターンも多くあります。
この攻撃の共通点は、AS48691に攻撃サイトが設置されていることのようです。
date | domain | path |
---|---|---|
2012020712 | enswdzq112aazz.com | /sl.php |
2012051420 | www.bldked98f5.com | /sl.php |
2012060818 | www1.mainglobilisi.com | /sl.php |
2012080100 | lasimp04risoned.rr.nu | /sl.php |
2012080118 | xinthesidersdown.com | /sl.php |
2012080300 | eighbo02rsbarr.rr.nu | /sl.php?v=1 |
2012080400 | andsto57cksstar.rr.nu | /sl.php?v=1 |
2012080406 | tartis78tscolla.rr.nu | /sl.php?v=1 |
2012080418 | tentsf05luxfig.rr.nu | /sl.php?v=1 |
ここでの検出はこれくらいですが実際にはもっと多くのドメインが利用されているようです。
domain | IP | 逆引き | AS | AS name | Country |
---|---|---|---|---|---|
enswdzq112aazz.com | NXDOMAIN | NONE | NONE | NONE | |
andsto57cksstar.rr.nu | 67.208.74.71 | NONE | 33597 | INFORELAY_-_InfoRelay_Online_Systems_Inc. | UnitedStates |
lasimp04risoned.rr.nu | 67.208.74.71 | NONE | 33597 | INFORELAY_-_InfoRelay_Online_Systems_Inc. | UnitedStates |
tentsf05luxfig.rr.nu | 67.208.74.71 | NONE | 33597 | INFORELAY_-_InfoRelay_Online_Systems_Inc. | UnitedStates |
eighbo02rsbarr.rr.nu | 194.28.115.150 | h150-115.net.lan-rybnitsa.com. | 48691 | SPECIALIST-AS_Specialist_Ltd | MoldovaRepublic |
tartis78tscolla.rr.nu | 194.28.115.150 | h150-115.net.lan-rybnitsa.com. | 48691 | SPECIALIST-AS_Specialist_Ltd | MoldovaRepublic |
www1.mainglobilisi.com | 194.28.115.150 | h150-115.net.lan-rybnitsa.com. | 48691 | SPECIALIST-AS_Specialist_Ltd | MoldovaRepublic |
www.bldked98f5.com | 194.28.115.150 | h150-115.net.lan-rybnitsa.com. | 48691 | SPECIALIST-AS_Specialist_Ltd | MoldovaRepublic |
xinthesidersdown.com | 194.28.115.150 | h150-115.net.lan-rybnitsa.com. | 48691 | SPECIALIST-AS_Specialist_Ltd | MoldovaRepublic |
モルドバのIP 194.28.115.150が攻撃サイト。このホスティングサービスは攻撃サイトとしてよく利用されているようです。
by jyake