インジェクション - ur.php - lizamoon
Published: 2011/04/04
攻撃として目立つようになってから2年以上経過したこのループ、、、
SQLインジェクション利用もしくはアカウント情報が盗まれてた正規サイトの改竄 ↓ リダイレクタに強制的にジャンプさせるスクリプトが埋め込まれる ↓ そのページを閲覧した一般ユーザーが気づかないうちに悪性プログラム配布サイトに飛ばされて感染(FakeAV等) ↓ 個人情報を盗まれる
Gumblarあたりで世の中的にも盛り上がって、その後ニュースとしては盛り下がった感がありますが
攻撃としてはあいかわらず流行っています。
そして、3下ごろからスクリプト内に書き込まれるリダイレクタとして「lizamoon.com」が利用されたものが目立つようになって
一部ではlizamoon(ライザムーン)攻撃と呼ばれているんでしょうか?こういう目立つ記号があると盛り上がりやすい?
攻撃に利用されていた当時のIPはこれ。
95.64.9.18 inetnum: 95.64.9.0 - 95.64.9.255 netname: ADRAL descr: ADRAL SRL descr: Str. BRANDUSELOR Nr. 25C descr: Alba Iulia, Jud. Alba country: RO admin-c: MM26289-RIPE tech-c: MM26289-RIPE status: ASSIGNED PA mnt-by: NETSERV-MNT mnt-routes: SANOVA-MNT mnt-domains: SANOVA-MNT source: RIPE # Filtered route: 95.64.9.0/24 descr: ADRAL origin: AS49469 mnt-by: SANOVA-MNT
実際のところ2010年10月ごろから観測されている
ur.php
という特徴をもつ攻撃の一つだろうと思います。
下記のURLも同じ系統かと。
発見年月日 | domain | path |
---|---|---|
2010/10/14 | stats-master88.info | /ur.php |
2010/10/19 | stats-master99.info | /ur.php |
2010/10/22 | stats-master11.info | /ur.php |
2010/10/23 | stats-master111.info | /ur.php |
2010/10/24 | online-stats201.info | /ur.php |
2010/11/02 | world-stats598.info | /ur.php |
2010/11/06 | security-stats.info | /ur.php |
2010/11/13 | system-stats.info | /ur.php |
2010/11/20 | social-stats.info | /ur.php |
2010/11/30 | multi-stats.info | /ur.php |
2010/12/04 | tzv-stats.info | /ur.php |
2010/12/11 | mol-stats.info | /ur.php |
2010/12/15 | ave-stats.info | /ur.php |
2010/12/26 | sol-stats.info | /ur.php |
2011/01/09 | star-stats.info | /ur.php |
2011/01/13 | pop-stats.info | /ur.php |
2011/01/14 | general-st.info | /ur.php |
2011/01/20 | people-on.info | /ur.php |
2011/01/21 | online-guest.info | /ur.php |
2011/01/27 | extra-service.info | /ur.php |
2011/02/14 | eva-marine.info | /ur.php |
2011/03/20 | alisa-carter.com | /ur.php |
2011/03/23 | alexblane.com | /ur.php |
2011/03/26 | lizamoon.com | /ur.php |
2011/03/31 | tadygus.com | /ur.php |
2011/04/01 | t6ryt56.info | /ur.php |
2011/04/01 | milapop.com | /ur.php |
2011/04/02 | books-loader.info | /ur.php |
今現在、books-loader.infoのみが11.11.11.11というIPの応答があるのみで他のドメインはすべてIPアドレスの応答はないです。なので今現在はこのリストのドメインは攻撃としてはすべて無効状態。
11.0.0.0/8はDoDですよね。DoDはたまに大規模な攻撃(攻撃に関連しているのかどうか不明な経路)を吸い込んでますが、何の目的があるんでしょう。。。別の話ですが。。。
NetRange: 11.0.0.0 - 11.255.255.255 CIDR: 11.0.0.0/8 OriginAS: NetName: DODIIS NetHandle: NET-11-0-0-0-1 Parent: NetType: Direct Allocation RegDate: 1984-01-19 Updated: 2007-08-22 Ref: http://whois.arin.net/rest/net/NET-11-0-0-0-1 OrgName: DoD Network Information Center OrgId: DNIC Country: US RegDate: Updated: 2010-08-25 Ref: http://whois.arin.net/rest/org/DNIC
関連
by jyake