cNotes 検索 一覧 カテゴリ

Gumblar再再起動

Published: 2009/11/05

おっと、ついさっき、難読化スクリプトを置いているサイトのURLが変わりましたね。こちらで観測している範囲内の一次サイトのインジェクション内容が一斉に変わったような感じ。

飛ばされるサイトは、一般サイトですよね。なのでマスクしまくり。

これ以外にもあるようですがとりあえずこれだけ。

 mx-xxx.nl/xx/xxx.php
 stxxxl.xxx.ua/xx/xx.php
 kxx.co.kr/xx/xx.php
 nexxxxxce.co.uk/xx/xx.php

飛んだ先にあるのは、例の404を難読化してるやつ。アクセスするたびに変わります。

状態は変わっていくのでしょうが今のところ、

無害なやつと

有害なやつが

混ざってます。

[カテゴリ:インジェクション観察日記]

by jyake