cNotes 検索 一覧 カテゴリ

asproxによる改ざんの兆候?

Published: 2009/10/09

があるらしいので、観測データの中から今年に入ってからのasproxの特徴(文字列だけど)をもつ新規インジェクションURLの検出状況を調べてみました。

 2009/05/12:00 ln.vnet.cn
 2009/09/25:08 www.bannerdriven.ru
 2009/09/26:18 www.bannert.ru
 2009/09/29:02 www.ads-t.ru
 2009/10/02:10 www.adtcp.ru
 2009/10/05:18 www.adbnr.ru
 2009/10/07:04 www.htmlads.ru

ads.jsってやつですね。たしかに9末あたりから検出しはじめてるって感じですかね。兆候、、、

中身を確認しようとしたらすでにAレコードがなくなっていたり、アクセスできなかったりでどれも確認できませんでしたのであくまでもURL的な特徴の話だけで、中身が違う可能性もありますが。。。

 domain:     HTMLADS.RU
 type:       CORPORATE
 nserver:    ns1.htmlads.ru. 75.34.216.140
 nserver:    ns2.htmlads.ru. 67.84.154.208
 nserver:    ns3.htmlads.ru. 74.132.42.47
 nserver:    ns4.htmlads.ru. 69.245.96.203
 state:      REGISTERED, DELEGATED, UNVERIFIED
 person:     Private person
 registrar:  REGRU-REG-RIPN
 created:    2009.10.05
 paid-till:  2010.10.05
 source:     TC-RIPN

IPアドレスはこんなのが使われてたらしい。nsレコードの情報を見ても、double-fluxでボットを利用したサイトに見えますね。

 68.196.123.255
 74.77.19.22
 75.22.95.1
 75.34.216.140
 75.75.159.229
 75.85.235.244
 96.19.157.197
 99.253.98.106
 173.93.169.241
 207.168.223.80
 216.51.165.202
 216.229.86.21
 24.226.189.49
 68.40.167.165

普通にDNSに聞きにいくと答えてくれませんが、海外のwebインターフェースのDNS情報検索ツールを使うと結果が残っているものがありますね。ま、情報の更新間隔によるのかもしれませんが。とりあえず非常に短期間しか使われていない感じです。テスト運用なのかな?

[カテゴリ:インジェクション観察日記]

by jyake