インジェクション - .ru/js.js
Published: 2010/06/27
6/22ごろから
xxxxxxxxxx.ru/js.js
のようなURLを利用したインジェクションが観測されています。
js.jsの中身はこのような感じで、
ここから
pantik.in/3/index.php
のようなURLが出現します。
その中身がこのような感じで、
いろいろあるようなのでパーツごとに。。。
CVE2010-0806
j2_ggg.jar
j1_sss.jar
pdf.php
Domain ID:D4287297-AFIN Domain Name:PANTIK.IN Created On:21-Jun-2010 15:58:27 UTC Last Updated On:21-Jun-2010 15:58:28 UTC Expiration Date:21-Jun-2011 15:58:27 UTC Sponsoring Registrar:Transecute Solutions Pvt. Ltd. (R120-AFIN) Status:CLIENT TRANSFER PROHIBITED Status:TRANSFER PROHIBITED Registrant ID:DI_11555153 Registrant Name:Anatoliy Y Barkovskiy Registrant Organization:N/A Registrant Street1:Pobedi, 3-5 Registrant Street2: Registrant Street3: Registrant City:Moskau
pantik.in has address 188.95.159.35 inetnum: 188.95.159.0 - 188.95.159.127 netname: TAVRAHOST descr: Tavria Host Network country: UA admin-c: GM6992-RIPE tech-c: GM6992-RIPE status: ASSIGNED PA mnt-by: UAIP-MNT source: RIPE # Filtered
インジェクションに利用されるドメインの例。
access.postfolkovs.ru admin.postfolkovs.ru api.postfolkovs.ru api.webservicedevlop.ru app.postfolkovs.ru apps.postfolkovs.ru apps.webservicesbba.ru aspssl.postfolkovs.ru bios.webservicekuz.ru cfm.postfolkovs.ru chk.postfolkovs.ru com.postfolkovs.ru conf.postfolkovs.ru debug.postfolkovs.ru edit.postfolkovs.ru event.postfolkovs.ru ext.postfolkovs.ru filter.postfolkovs.ru icmp.postfolkovs.ru ide.postfolkovs.ru ide.webserviceftp.ru input.postfolkovs.ru ipsec.postfolkovs.ru keep.postfolkovs.ru lang.postfolkovs.ru link.postfolkovs.ru log-in.postfolkovs.ru manage.webservicekuz.ru mat1.gtimg.com media.webserviceforward.ru media.webservicefull.ru msg.postfolkovs.ru netcfg.postfolkovs.ru netid.postfolkovs.ru netmsg.postfolkovs.ru obj.postfolkovs.ru odbc.postfolkovs.ru ole.postfolkovs.ru pack.postfolkovs.ru peer.postfolkovs.ru pic.webserivcessh.ru pic.webservicesmulti.ru refer.webserviceaan.ru rid.webservicedevlop.ru rundll.postfolkovs.ru service.postfolkovs.ru snmp.webserviceftp.ru srvid.postfolkovs.ru srv.postfolkovs.ru sslnet.webserivcezub.ru stream.postfolkovs.ru stream.webservicesttt.ru st.webserviceaan.ru tagid.postfolkovs.ru tagid.webservicefull.ru task.postfolkovs.ru tcp.postfolkovs.ru temp.postfolkovs.ru uid.postfolkovs.ru url.postfolkovs.ru web.postfolkovs.ru
refer.webserviceaan.ru has address 109.196.134.58 domain: WEBSERVICEAAN.RU nserver: ns1.webserviceaan.ru. 91.213.217.4 nserver: ns2.webserviceaan.ru. 109.196.134.59 state: REGISTERED, DELEGATED, VERIFIED person: Private Person phone: +4 495 7618761 e-mail: anrnews@mail.ru registrar: REGGI-REG-RIPN created: 2010.06.24 paid-till: 2011.06.24 source: TCI
inetnum: 109.196.128.0 - 109.196.143.255 netname: VLINERU2-NET descr: VLine Ltd descr: Net of VLine Ltd, Hosting & Colocation service provider, descr: which provides shared hosting, mail hosting, Colocation descr: and domain name registration. country: RU
アドレスが引けなくなったら、新しいドメインを利用したインジェクションが発生と、いたちごっこが繰り返されている模様。。。
.ruって難しくなったんじゃ???
by jyake