cNotes 検索 一覧 カテゴリ

2117966.netが復活

Published: 2009/03/14

1,2年前から今現在まで続くSQLインジェクション騒ぎの中で、ちょうど一年前の騒ぎでやたらと取り合げられていたドメインのひとつ「2117966.net」が復活しています。

cNotesにおける昨年の関連する話題は、2117966.net -SQLインジェクション-www.2117966.netの閉鎖、、例のwww.2117966.net、、、など。

モニタリングシステムからExpiration Dateが延長されたアラームが飛んできました。

確かに1年間延長されていますし、StatusもClientHolldからokになっていてドメイン自体が利用可能になっています。

   Domain Name: 2117966.NET
   Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
   Whois Server: grs.hichina.com
   Referral URL: http://www.net.cn
   Name Server: NS3.EACHNIC.COM
   Name Server: NS4.EACHNIC.COM
   Status: ok
   Updated Date: 27-feb-2009
   Creation Date: 26-feb-2008
   Expiration Date: 26-feb-2010

IPアドレスも2009/2/27 18:00(JST)ごろから登録されています。

復活当初は

 218.30.103.68

でしたが、2009/3/11 11:00(JST)ごろから今の2つのアドレスに変更されています。

 60.29.240.87
 118.102.24.109
 ;www.2117966.net.               IN      A
 ;; ANSWER SECTION:
 www.2117966.net.        300     IN      A       60.29.240.87
 ;; AUTHORITY SECTION:
 2117966.net.            300     IN      NS      ns4.eachnic.com.
 2117966.net.            300     IN      NS      ns3.eachnic.com.

「218.30.103.68」は、2009/3/5までは、別のSQLインジェクションに利用される「maplestorfy.com」と共用されていましたが、今現在はどちらのドメインでもこのIPアドレスは利用されていません。

「60.29.240.87」は別のインジェクションに利用される多数のドメインと共用されていました。たとえばこんなドメイン。

 web.lylss.com
 www.mvoe.cn
 www.pkck.cn
 www2.1000ylc.cn
 wuqing17173.cn

「118.102.24.109」も別のインジェクションに利用される多数のドメインと共用されていました。たとえばこんなドメイン。

 c.uc8010.com
 www.mvoe.cn
 www2.1000ylc.cn
 a.158dm.com

登録されているIPアドレスをころころ変えるのが、最近の攻撃のIPアドレス、ドメインマネージメントの基本手法なので、すでに別のIPアドレスに変更されて共通性はなくなっているものも多々あります。

また、これらのドメインは去年の1月ごろに作成されて攻撃に利用されたものなので ちょうどドメインが削除+請戻猶予期間に入っているものや、あと1,2ヶ月で同様に削除になるという攻撃側のドメインのマネージメントの状況を観察するには面白い時期ではあります。

たとえば「maplestorfy.com」はredemptionPeriod(請戻猶予期間)となっていますのでドメイン自体が利用できない状況です。たぶん請戻はおこなわれずexpireされるんじゃないかと思います。

   Domain Name: MAPLESTORFY.COM
   Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
   Whois Server: grs.hichina.com
   Referral URL: http://www.net.cn
   Name Server: NS3.EACHNIC.COM
   Name Server: NS4.EACHNIC.COM
   Status: redemptionPeriod
   Updated Date: 05-mar-2009
   Creation Date: 28-jan-2007
   Expiration Date: 28-jan-2009

「wuqing17173.cn」は別のレジストラですが同様の状況。

 Domain Name: wuqing17173.cn
 ROID: 20080125s10001s20547862-cn
 Domain Status: pendingDelete
 Domain Status: inactive
 Registrant Organization: 
 Registrant Name: 
 Administrative Email: zhslswrh@163.com
 Sponsoring Registrar: 
 Registration Date: 2008-01-25 14:20
 Expiration Date: 2009-01-25 14:20

去年同時に利用されていた「414151.com」は3/31でexpire予定。

   Domain Name: 414151.COM
   Registrar: XIN NET TECHNOLOGY CORPORATION
   Whois Server: whois.paycenter.com.cn
   Referral URL: http://www.xinnet.com
   Name Server: DNS.51YM.COM
   Name Server: DNS1.51YM.COM
   Status: clientHold
   Updated Date: 07-apr-2008
   Creation Date: 31-mar-2008
   Expiration Date: 31-mar-2009

基本的にはドメインは使い捨てなはずなので、昨年利用されたドメインが「2117966.net」と同様に更新されるのかそのまま放置され使い捨てられるのか興味深いです。

普通に考えれば、すでにブラックリストに登録済みであるためこれらのドメインを使っても十分な攻撃効果は得られないはずですが、たとえばブラックリストが高品質(?)に運用されていて、一年攻撃が観測されなかったものは、ブラックリストから削除されるようなことがあれば長期スパンでのドメインリサイクルの価値はあるわけです。攻撃に利用されるドメインは無限に増え続けているため、ありえそうで興味深いですね。

「2117966.net」自体がインジェクションに再利用されてはいないようですが、何の意図をもって更新したのかは継続解析ですね。

[カテゴリ:インジェクション観察日記]

by jyake