asproxによる改ざんの兆候?
Published: 2009/10/09
があるらしいので、観測データの中から今年に入ってからのasproxの特徴(文字列だけど)をもつ新規インジェクションURLの検出状況を調べてみました。
2009/05/12:00 ln.vnet.cn 2009/09/25:08 www.bannerdriven.ru 2009/09/26:18 www.bannert.ru 2009/09/29:02 www.ads-t.ru 2009/10/02:10 www.adtcp.ru 2009/10/05:18 www.adbnr.ru 2009/10/07:04 www.htmlads.ru
ads.jsってやつですね。たしかに9末あたりから検出しはじめてるって感じですかね。兆候、、、
中身を確認しようとしたらすでにAレコードがなくなっていたり、アクセスできなかったりでどれも確認できませんでしたのであくまでもURL的な特徴の話だけで、中身が違う可能性もありますが。。。
domain: HTMLADS.RU type: CORPORATE nserver: ns1.htmlads.ru. 75.34.216.140 nserver: ns2.htmlads.ru. 67.84.154.208 nserver: ns3.htmlads.ru. 74.132.42.47 nserver: ns4.htmlads.ru. 69.245.96.203 state: REGISTERED, DELEGATED, UNVERIFIED person: Private person registrar: REGRU-REG-RIPN created: 2009.10.05 paid-till: 2010.10.05 source: TC-RIPN
IPアドレスはこんなのが使われてたらしい。nsレコードの情報を見ても、double-fluxでボットを利用したサイトに見えますね。
68.196.123.255 74.77.19.22 75.22.95.1 75.34.216.140 75.75.159.229 75.85.235.244 96.19.157.197 99.253.98.106 173.93.169.241 207.168.223.80 216.51.165.202 216.229.86.21 24.226.189.49 68.40.167.165
普通にDNSに聞きにいくと答えてくれませんが、海外のwebインターフェースのDNS情報検索ツールを使うと結果が残っているものがありますね。ま、情報の更新間隔によるのかもしれませんが。とりあえず非常に短期間しか使われていない感じです。テスト運用なのかな?
by jyake