cNotes 検索 一覧 カテゴリ

インジェクション (3/4)

Published: 2009/03/05

いろいろ悪いURLはあるわけですが、とりあえず、インジェクション関連のものから週一ぐらいでまとめていこうかと。とりあえずドメインと検出日とそのドメインが作成された日です。

 893500.cn       2009/3/3   2008/12/21
 deabak.com      2009/3/3   2008/09/05
 www.miss2225.cn 2009/3/4   2009/02/28
 www.sll9860.cn  2009/3/3   2009/02/20
 www.sll9621.cn  2009/3/4   2009/02/20
 www.cbcdef.cn   2009/3/4   2009/02/11
 tsnse.cn        2009/3/4   2009/02/20
 www.gomne.cn    2009/3/4   2009/02/20
 www.2009dddd.cn 2009/3/4   2009/01/22

こまかくリンク構造を解析すると以下のようになります。とりあえずモロにのせてますがアクセスしないようにお願いします。情報抜かれます。マスクするかはおいおい考えます。

昨日まで www.sll9860.cnだったのが今日はすでに www.sll9621.cn に変化していたり、ちょっとややこしいですがこの瞬間の状況。

よく知っている一連の中国系アカハク系ですね。それぞれの攻撃内容はまたそのうち解説します。

 [wide]http://www.cbcdef.cn/one/A46.htm
    [frame]http://www.sll9621.cn/a153/fxx.htm
        [frame]http://www.sll9621.cn/a153/fx.htm
            [frame]http://www.sll9621.cn/a153/Ilink.html
                [script]http://www.sll9621.cn/a153/swfobject.js
                [script]http://www.sll9621.cn/a153/flash.js
            [frame]http://www.sll9621.cn/a153/flink.html
                [script]http://www.sll9621.cn/a153/swfobject.js
                [script]http://www.sll9621.cn/a153/flash.js
        [frame]http://www.sll9621.cn/a153/../a1/ss.htm
            [script]http://www.sll9621.cn/a153/../a1/xmybrx.js
        [frame]http://www.sll9621.cn/a153/../a1/MS06014.htm
            [script]http://www.sll9621.cn/a153/../a1/06014.js
        [frame]http://www.sll9621.cn/a153/../a1/sina.htm
            [script]http://www.sll9621.cn/a153/../a1/sina.js
        [frame]http://www.sll9621.cn/a153/../a1/no.htm
            [script]http://www.sll9621.cn/a153/../a1/wokaono.js
        [frame]http://www.sll9621.cn/a153/../a1/bfyy.htm
        [frame]http://www.sll9621.cn/a153/../a1/GLWORLD.html
            [script]http://www.sll9621.cn/a153/../a1/HOHOGL.js
        [frame]http://www.sll9621.cn/a153/../a1/real.htm
            [script]http://www.sll9621.cn/a153/../a1/mybrreal.js
        [frame]http://www.sll9621.cn/a153/../a1/real.html
            [script]http://www.sll9621.cn/a153/../a1/realdadong.js
    [script]http://js.tongji.cn.yahoo.com/857114/ystet.js

実は同じ。

 [wide]http://www.miss2225.cn/b3.htm
    [frame]http://www.sll9621.cn/a8/fxx.htm
        [frame]http://www.sll9621.cn/a8/fx.htm
        [frame]http://www.sll9621.cn/a8/../a1/ss.htm
            [script]http://www.sll9621.cn/a8/../a1/xmybrx.js
        [frame]http://www.sll9621.cn/a8/../a1/MS06014.htm
            [script]http://www.sll9621.cn/a8/../a1/06014.js
        [frame]http://www.sll9621.cn/a8/../a1/sina.htm
            [script]http://www.sll9621.cn/a8/../a1/sina.js
        [frame]http://www.sll9621.cn/a8/../a1/no.htm
            [script]http://www.sll9621.cn/a8/../a1/wokaono.js
        [frame]http://www.sll9621.cn/a8/../a1/bfyy.htm
            [script]http://www.sll9621.cn/a8/../a1/wokaono.js
        [frame]http://www.sll9621.cn/a8/../a1/GLWORLD.html
            [script]http://www.sll9621.cn/a8/../a1/HOHOGL.js
        [frame]http://www.sll9621.cn/a8/../a1/real.htm
            [script]http://www.sll9621.cn/a8/../a1/mybrreal.js
        [frame]http://www.sll9621.cn/a8/../a1/real.html
            [script]http://www.sll9621.cn/a8/../a1/realdadong.js
    [script]http://js.tongji.cn.yahoo.com/857114/ystat.js
        [script]http://js.tongji.cn.yahoo.com/857114/\""+_st_dest+"\"

これも同じなので省略。

 [wide]http://www.2009dddd.cn/one/a46.htm
    [frame]http://www.sll9621.cn/a153/fxx.htm
        [frame]http://www.sll9621.cn/a153/fx.htm
        [frame]http://www.sll9621.cn/a153/../a1/ss.htm
        [frame]http://www.sll9621.cn/a153/../a1/MS06014.htm
        [frame]http://www.sll9621.cn/a153/../a1/sina.htm
        [frame]http://www.sll9621.cn/a153/../a1/no.htm
        [frame]http://www.sll9621.cn/a153/../a1/bfyy.htm
        [frame]http://www.sll9621.cn/a153/../a1/GLWORLD.html
        [frame]http://www.sll9621.cn/a153/../a1/real.htm
        [frame]http://www.sll9621.cn/a153/../a1/real.html
    [script]http://js.tongji.cn.yahoo.com/857114/ystet.js

これは若干違う。

 [wide]http://tsnse.cn/i.js
    [frame]http://www.gomne.cn/yh.htm
        [frame]http://www.gomne.cn/14.htm
        [frame]http://www.gomne.cn/flash.htm
        [frame]http://www.gomne.cn/02.htm
        [frame]http://www.gomne.cn/office.htm
        [frame]http://www.gomne.cn/real.htm
            [script]http://www.gomne.cn/real.js
        [frame]http://www.gomne.cn/real.html
        [frame]http://www.gomne.cn/14.htm
        [frame]http://www.gomne.cn/flash.htm
            [frame]http://www.gomne.cn/igg.html
                [script]http://www.gomne.cn/swfobject.js
            [frame]http://www.gomne.cn/fgg.html
                [script]http://www.gomne.cn/swfobject.js
        [frame]http://www.gomne.cn/02.htm
            [script]http://www.gomne.cn/set.js
        [frame]http://www.gomne.cn/office.htm
        [frame]http://www.gomne.cn/real.htm
            [script]http://www.gomne.cn/real.js
        [frame]http://www.gomne.cn/real.html
    [frame]http://count35.51yes.com/sa.aspx?id=352648910'+yesdata+'

途中からリンク構造が同じでまざっている上に実はIPアドレスも共通だったりする同一の攻撃です。インジェクション系ではこういったことが短時間にごちょごちょ変化しながら行われているわけです。ただ攻撃手法や利用する脆弱性が異常に新しかったりするので追跡する価値があります。

 sll9621.cn  59.34.197.115
 cbcdef.cn   59.34.197.115
 sll9621.cn  59.34.197.115
 2009dddd.cn 59.34.197.15
 sll9860.cn  59.34.198.43
 miss2225.cn 120.50.35.138
 893500.cn   120.50.35.138
 gomne.cn    120.50.35.138
 tsnse.cn    120.50.35.138
 deabak.com  222.231.60.19

[カテゴリ:インジェクション観察日記]

by jyake