インジェクション (3/4)
Published: 2009/03/05
いろいろ悪いURLはあるわけですが、とりあえず、インジェクション関連のものから週一ぐらいでまとめていこうかと。とりあえずドメインと検出日とそのドメインが作成された日です。
893500.cn 2009/3/3 2008/12/21 deabak.com 2009/3/3 2008/09/05 www.miss2225.cn 2009/3/4 2009/02/28 www.sll9860.cn 2009/3/3 2009/02/20 www.sll9621.cn 2009/3/4 2009/02/20 www.cbcdef.cn 2009/3/4 2009/02/11 tsnse.cn 2009/3/4 2009/02/20 www.gomne.cn 2009/3/4 2009/02/20 www.2009dddd.cn 2009/3/4 2009/01/22
こまかくリンク構造を解析すると以下のようになります。とりあえずモロにのせてますがアクセスしないようにお願いします。情報抜かれます。マスクするかはおいおい考えます。
昨日まで www.sll9860.cnだったのが今日はすでに www.sll9621.cn に変化していたり、ちょっとややこしいですがこの瞬間の状況。
よく知っている一連の中国系アカハク系ですね。それぞれの攻撃内容はまたそのうち解説します。
[wide]http://www.cbcdef.cn/one/A46.htm [frame]http://www.sll9621.cn/a153/fxx.htm [frame]http://www.sll9621.cn/a153/fx.htm [frame]http://www.sll9621.cn/a153/Ilink.html [script]http://www.sll9621.cn/a153/swfobject.js [script]http://www.sll9621.cn/a153/flash.js [frame]http://www.sll9621.cn/a153/flink.html [script]http://www.sll9621.cn/a153/swfobject.js [script]http://www.sll9621.cn/a153/flash.js [frame]http://www.sll9621.cn/a153/../a1/ss.htm [script]http://www.sll9621.cn/a153/../a1/xmybrx.js [frame]http://www.sll9621.cn/a153/../a1/MS06014.htm [script]http://www.sll9621.cn/a153/../a1/06014.js [frame]http://www.sll9621.cn/a153/../a1/sina.htm [script]http://www.sll9621.cn/a153/../a1/sina.js [frame]http://www.sll9621.cn/a153/../a1/no.htm [script]http://www.sll9621.cn/a153/../a1/wokaono.js [frame]http://www.sll9621.cn/a153/../a1/bfyy.htm [frame]http://www.sll9621.cn/a153/../a1/GLWORLD.html [script]http://www.sll9621.cn/a153/../a1/HOHOGL.js [frame]http://www.sll9621.cn/a153/../a1/real.htm [script]http://www.sll9621.cn/a153/../a1/mybrreal.js [frame]http://www.sll9621.cn/a153/../a1/real.html [script]http://www.sll9621.cn/a153/../a1/realdadong.js [script]http://js.tongji.cn.yahoo.com/857114/ystet.js
実は同じ。
[wide]http://www.miss2225.cn/b3.htm [frame]http://www.sll9621.cn/a8/fxx.htm [frame]http://www.sll9621.cn/a8/fx.htm [frame]http://www.sll9621.cn/a8/../a1/ss.htm [script]http://www.sll9621.cn/a8/../a1/xmybrx.js [frame]http://www.sll9621.cn/a8/../a1/MS06014.htm [script]http://www.sll9621.cn/a8/../a1/06014.js [frame]http://www.sll9621.cn/a8/../a1/sina.htm [script]http://www.sll9621.cn/a8/../a1/sina.js [frame]http://www.sll9621.cn/a8/../a1/no.htm [script]http://www.sll9621.cn/a8/../a1/wokaono.js [frame]http://www.sll9621.cn/a8/../a1/bfyy.htm [script]http://www.sll9621.cn/a8/../a1/wokaono.js [frame]http://www.sll9621.cn/a8/../a1/GLWORLD.html [script]http://www.sll9621.cn/a8/../a1/HOHOGL.js [frame]http://www.sll9621.cn/a8/../a1/real.htm [script]http://www.sll9621.cn/a8/../a1/mybrreal.js [frame]http://www.sll9621.cn/a8/../a1/real.html [script]http://www.sll9621.cn/a8/../a1/realdadong.js [script]http://js.tongji.cn.yahoo.com/857114/ystat.js [script]http://js.tongji.cn.yahoo.com/857114/\""+_st_dest+"\"
これも同じなので省略。
[wide]http://www.2009dddd.cn/one/a46.htm [frame]http://www.sll9621.cn/a153/fxx.htm [frame]http://www.sll9621.cn/a153/fx.htm [frame]http://www.sll9621.cn/a153/../a1/ss.htm [frame]http://www.sll9621.cn/a153/../a1/MS06014.htm [frame]http://www.sll9621.cn/a153/../a1/sina.htm [frame]http://www.sll9621.cn/a153/../a1/no.htm [frame]http://www.sll9621.cn/a153/../a1/bfyy.htm [frame]http://www.sll9621.cn/a153/../a1/GLWORLD.html [frame]http://www.sll9621.cn/a153/../a1/real.htm [frame]http://www.sll9621.cn/a153/../a1/real.html [script]http://js.tongji.cn.yahoo.com/857114/ystet.js
これは若干違う。
[wide]http://tsnse.cn/i.js [frame]http://www.gomne.cn/yh.htm [frame]http://www.gomne.cn/14.htm [frame]http://www.gomne.cn/flash.htm [frame]http://www.gomne.cn/02.htm [frame]http://www.gomne.cn/office.htm [frame]http://www.gomne.cn/real.htm [script]http://www.gomne.cn/real.js [frame]http://www.gomne.cn/real.html [frame]http://www.gomne.cn/14.htm [frame]http://www.gomne.cn/flash.htm [frame]http://www.gomne.cn/igg.html [script]http://www.gomne.cn/swfobject.js [frame]http://www.gomne.cn/fgg.html [script]http://www.gomne.cn/swfobject.js [frame]http://www.gomne.cn/02.htm [script]http://www.gomne.cn/set.js [frame]http://www.gomne.cn/office.htm [frame]http://www.gomne.cn/real.htm [script]http://www.gomne.cn/real.js [frame]http://www.gomne.cn/real.html [frame]http://count35.51yes.com/sa.aspx?id=352648910'+yesdata+'
途中からリンク構造が同じでまざっている上に実はIPアドレスも共通だったりする同一の攻撃です。インジェクション系ではこういったことが短時間にごちょごちょ変化しながら行われているわけです。ただ攻撃手法や利用する脆弱性が異常に新しかったりするので追跡する価値があります。
sll9621.cn 59.34.197.115 cbcdef.cn 59.34.197.115 sll9621.cn 59.34.197.115 2009dddd.cn 59.34.197.15 sll9860.cn 59.34.198.43 miss2225.cn 120.50.35.138 893500.cn 120.50.35.138 gomne.cn 120.50.35.138 tsnse.cn 120.50.35.138 deabak.com 222.231.60.19
by jyake