cNotes 検索 一覧 カテゴリ

今日もインジェクション(5/19) www.nihaoel3.comなど

Published: 2008/05/19

日常の風景ですね・・・

週一まとめてでもでもいいかなと思いつつ…

www.qiuxuegm.com

   Domain Name: QIUXUEGM.COM
   Registrar: ENOM, INC.
   Whois Server: whois.enom.com
   Referral URL: http://www.enom.com
   Name Server: DNS1.NAME-SERVICES.COM
   Name Server: DNS2.NAME-SERVICES.COM
   Name Server: DNS3.NAME-SERVICES.COM
   Name Server: DNS4.NAME-SERVICES.COM
   Name Server: DNS5.NAME-SERVICES.COM
   Status: clientTransferProhibited
   Updated Date: 16-may-2008
   Creation Date: 16-may-2008
   Expiration Date: 16-may-2009

www.killwow1.cnwww.nihaorr1.comと同じIPアドレスです。www.killwow1.cnは5/15 18:00ごろアドレス変換できなくなっています。

404的なページに仕掛けがあります。

firestnamestea.cn

 Domain Name: firestnamestea.cn
 ROID: 20080423s10001s97677393-cn
 Domain Status: ok
 Name Server:ns1.72dns.com
 Name Server:ns2.72dns.com
 Registration Date: 2008-04-23 12:42
 Expiration Date: 2009-04-23 12:42

古いですね。

IPアドレスはcomputershello.cnwinzipices.cn、hoursebuilds.cnと同じです。computershello.cnは5/15 19:00ごろ、winzipices.cnは5/15 13:30ごろにアドレス解決できなくなっています。

スクリプトはhoursebuilds.cnからダウンロードするようになっています。若干傾向の違うタイプですかね。

www.nihaoel3.com

   Domain Name: NIHAOEL3.COM
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.xinnet.com
   Name Server: NS2.XINNET.CN
   Name Server: NS2.XINNETDNS.COM
   Status: ok
   Updated Date: 15-may-2008
   Creation Date: 15-may-2008
   Expiration Date: 15-may-2009

前に見たことのある文字列のバリエーションですね。

あれ?IPアドレスがwww.qiuxuegm.comやwww.117275.comと一個ずつずれてます。

中身はもっとも典型的なものです。

[カテゴリ:botnet観察日記]

by jyake