インジェクション nolohing.cn ， laed.ru

ちょっと遅い情報です。すでに対策済みですかね。。。

規模感もいまいちなので、まぁ事例の一つとして。

インジェクションの手法およびURLにいろいろとバリエーションがあるようです。

まず普通な例から。

こんなインジェクションで

これ。

これも普通。こんなインジェクションで

これ。

で、このタイプで特徴的なのがこんなインジェクション。

出来上がるURLが若干違いますね。

特殊かと思いきや、一般サイトでも似たような使い方をしているものがあるんですね、、

最後のタイプのインジェクションで観測されたのが、いまのところこの2ドメイン。

 laed.ru
 nolohing.cn

こちらすでに終了。

 domain:     LAED.RU
 type:       CORPORATE
 nserver:    ns1.laed.ru. 221.224.158.53
 nserver:    ns2.laed.ru. 60.191.185.234
 state:      REGISTERED, NOT DELEGATED
 person:     Private Person
 phone:      +7 495 2376317
 e-mail:     titova@seostudio.at
 registrar:  NAUNET-REG-RIPN
 created:    2009.05.07
 paid-till:  2010.05.07
 source:     TC-RIPN

こちらはまだ生きてますね。

 Domain Name: nolohing.cn
 ROID: 20081215s10001s26015384-cn
 Domain Status: ok
 Registrant Organization: Uplif
 Registrant Name: ALONSODAVID
 Administrative Email: manager@nolohing.cn
 Sponsoring Registrar: 
 Name Server:ns1.anska.cn
 Name Server:ns2.anska.cn
 Registration Date: 2008-12-15 11:11
 Expiration Date: 2009-12-15 11:11

 nolohing.cn.            300     IN      A       92.38.1.11
 
 ;; AUTHORITY SECTION:
 nolohing.cn.            300     IN      NS      ns1.anska.cn.
 nolohing.cn.            300     IN      NS      ns2.anska.cn.

 inetnum:        92.38.0.0 - 92.38.7.255
 netname:        MFOREX-NET
 remarks:        INFRA-AW
 descr:          Masterforex Ltd
 country:        CZ
 admin-c:        NM2771-RIPE
 tech-c:         VP2921-RIPE
 remarks:        abuse & security incidents please send to   security@mforexinvest.cz
 status:         SUB-ALLOCATED PA
 mnt-by:         MFOREX-MNT
 changed:        hostmaster@ripe.net 20090315
 descr:          ripedb@mforexinvest.cz 20090402
 notify:         info@mforexinvest.cz
 source:         RIPE

前述のとおりこれらのドメインを利用したURLにはいろいろバリエーションがあるようです。load.php系？

[カテゴリ:インジェクション観察日記]

by jyake