cNotes 検索 一覧 カテゴリ

インジェクション - ur.php - lizamoon

Published: 2011/04/04

攻撃として目立つようになってから2年以上経過したこのループ、、、

 SQLインジェクション利用もしくはアカウント情報が盗まれてた正規サイトの改竄
 
 ↓
 
 リダイレクタに強制的にジャンプさせるスクリプトが埋め込まれる
 
 ↓
 
 そのページを閲覧した一般ユーザーが気づかないうちに悪性プログラム配布サイトに飛ばされて感染(FakeAV等)
 
 ↓
 
 個人情報を盗まれる

Gumblarあたりで世の中的にも盛り上がって、その後ニュースとしては盛り下がった感がありますが

攻撃としてはあいかわらず流行っています。

そして、3下ごろからスクリプト内に書き込まれるリダイレクタとして「lizamoon.com」が利用されたものが目立つようになって

一部ではlizamoon(ライザムーン)攻撃と呼ばれているんでしょうか?こういう目立つ記号があると盛り上がりやすい?

攻撃に利用されていた当時のIPはこれ。

 95.64.9.18
 
 inetnum:         95.64.9.0 - 95.64.9.255
 netname:         ADRAL
 descr:           ADRAL SRL
 descr:           Str. BRANDUSELOR Nr. 25C
 descr:           Alba Iulia, Jud. Alba
 country:         RO
 admin-c:         MM26289-RIPE
 tech-c:          MM26289-RIPE
 status:          ASSIGNED PA
 mnt-by:          NETSERV-MNT
 mnt-routes:      SANOVA-MNT
 mnt-domains:     SANOVA-MNT
 source:          RIPE # Filtered
  
 route:           95.64.9.0/24
 descr:           ADRAL
 origin:          AS49469
 mnt-by:          SANOVA-MNT

実際のところ2010年10月ごろから観測されている

 ur.php

という特徴をもつ攻撃の一つだろうと思います。

下記のURLも同じ系統かと。

発見年月日domainpath
2010/10/14stats-master88.info/ur.php
2010/10/19stats-master99.info/ur.php
2010/10/22stats-master11.info/ur.php
2010/10/23stats-master111.info/ur.php
2010/10/24online-stats201.info/ur.php
2010/11/02world-stats598.info/ur.php
2010/11/06security-stats.info/ur.php
2010/11/13system-stats.info/ur.php
2010/11/20social-stats.info/ur.php
2010/11/30multi-stats.info/ur.php
2010/12/04tzv-stats.info/ur.php
2010/12/11mol-stats.info/ur.php
2010/12/15ave-stats.info/ur.php
2010/12/26sol-stats.info/ur.php
2011/01/09star-stats.info/ur.php
2011/01/13pop-stats.info/ur.php
2011/01/14general-st.info/ur.php
2011/01/20people-on.info/ur.php
2011/01/21online-guest.info/ur.php
2011/01/27extra-service.info/ur.php
2011/02/14eva-marine.info/ur.php
2011/03/20alisa-carter.com/ur.php
2011/03/23alexblane.com/ur.php
2011/03/26lizamoon.com/ur.php
2011/03/31tadygus.com/ur.php
2011/04/01t6ryt56.info/ur.php
2011/04/01milapop.com/ur.php
2011/04/02books-loader.info/ur.php

今現在、books-loader.infoのみが11.11.11.11というIPの応答があるのみで他のドメインはすべてIPアドレスの応答はないです。なので今現在はこのリストのドメインは攻撃としてはすべて無効状態。

11.0.0.0/8はDoDですよね。DoDはたまに大規模な攻撃(攻撃に関連しているのかどうか不明な経路)を吸い込んでますが、何の目的があるんでしょう。。。別の話ですが。。。

 NetRange:       11.0.0.0 - 11.255.255.255
 CIDR:           11.0.0.0/8
 OriginAS:       
 NetName:        DODIIS
 NetHandle:      NET-11-0-0-0-1
 Parent:         
 NetType:        Direct Allocation
 RegDate:        1984-01-19
 Updated:        2007-08-22
 Ref:            http://whois.arin.net/rest/net/NET-11-0-0-0-1
 
 OrgName:        DoD Network Information Center
 OrgId:          DNIC
 Country:        US
 RegDate:        
 Updated:        2010-08-25
 Ref:            http://whois.arin.net/rest/org/DNIC

関連

[カテゴリ:インジェクション観察日記]

by jyake