cNotes 検索 一覧 カテゴリ

今日のインジェクション(5/15)

Published: 2008/05/16

www.wow112.cn

IPアドレスは、「www.wowgm2.cn」と同じです。

昨日同じIPアドレスだった「www.wowyeye.cn」と「www.wowgm1.cn」は5/15 19:00ごろにアドレス解決できなくなっています。

 Domain Name: wow112.cn
 ROID: 20080513s10001s30892953-cn
 Domain Status: ok
 :
 :
 Name Server:dns23.hichina.com
 Name Server:dns24.hichina.com
 Registration Date: 2008-05-13 19:05
 Expiration Date: 2009-05-13 19:05

最初にスクリプトが実行されると、次に「b.kaobt.cn」と「www.dota11.cn」から別のスクリプトのダウンロードを行おうとします。

  • 「b.kaobt.cn」はまったくの別サーバーでRealPlayer11系の脆弱性を狙うスクリプトをダウンロードします。
  • 「www.dota11.cn」は「www.wow112.cn」と同じIPアドレスです。指定されるスクリプトは今のところ?既に?ないです。

影響が大きくアクセス数が多いのか、サーバーがしょぼいせいなのかわかりませんが、スクリプトのダウンロードにはかなりの確率で失敗します。解析防御の機能の可能性は低いと考えていますが不明です。

  www.caocaowow.cn

これはドメインは生きていますが、HTTPのアクセスが不能になってますね。

いままでと違い興味深いのは、ゾンビPCタイプで、しかも日本のアドレスです…

ゾンビPC(ボット)がHTTPサーバーになっているのか、リダイレクタにされているのか等を確認する前に応答がなくなってました。。。

 Domain Name: caocaowow.cn
 ROID: 20080508s10001s93779063-cn
 Domain Status: ok
 :
 :
 Name Server:dns23.hichina.com
 Name Server:dns24.hichina.com
 Registration Date: 2008-05-08 12:16
 Expiration Date: 2009-05-08 12:16

HTTPアクセスができなくなっているのは、対処されたのか、ただ単にユーザーさんが接続しなおしてIPアドレスが変わってしまい、このドメインにくくりつけられたIPアドレスには配布サイトがいなくなったためなのかは不明です。

意図的にブロードバンド回線にサーバー構築したのではないとすると、スパムやフィッシング、ボットネットでよく行われるブロードバンドユーザーの端末を感染サイトもしくはリダイレクタに仕立て上げるパターンが登場したということですね。

最近は一連のインジェクション被害のせいでWebサーバーのセキュリティに注目が注がれいてると思いますが、当然PCのウィルスチェック、ファイアウォール等のセキュリティ対策も引き続き重要です。

まとめてブラックリストへ・・・

[カテゴリ:botnet観察日記]

by jyake