cNotes 検索 一覧 カテゴリ

cnドメインを利用したインジェクション 8080 + index.php型

Published: 2009/06/14

すでにいろいろなところで指摘されているURLだと思いますが、インジェクションされるURLのバリエーションです。8080ポートとindex.phpを使うのが特徴。

 torrentareactor.net:8080/index.php

このパターンで使われたその他のドメインはこのような感じです。

 chesterhousedomain.cn
 combinebet.cn
 filmoflife.cn
 globalnameshop.cn
 greatshopfilm.cn
 hopmovieproduction.cn
 hugetoplocate.cn
 mediahomenameshopmovie.cn
 mediahousenamebuyvideo.cn
 shopfilmexistence.cn
 shopfilmlifeonline.cn
 shopfilmlifescience.cn
 shopmovielife.cn
 thebestwaytofind.cn
 thehomename.cn
 torrentareactor.net 
 yournameshop.cn

一連のドメインですが、使用される単語にパターンがあるので形態素分析すれば次は何が使われるのか先回りできるんじゃないかと安易に考えてしまう、、けど、無理っぽいですね、、、

すでにcnドメインに限らないわけですが、なかなか直接インジェクションされている情報からcn以外のドメインが見つけられないんですよね。。。

とりあえず.netの例を。この例ではtorrentreactor.netをもじってるわけですね。bittorrent関連のサイト狙い用とか?

   Domain Name: TORRENTAREACTOR.NET
   Registrar: ALANTRON BLTD.
   Whois Server: whois.alantron.com
   Referral URL: http://www.alantron.com.tr
   Name Server: NS1.FREEDNSHOSTWAY.COM
   Name Server: NS2.FREEDNSHOSTWAY.COM
   Name Server: NS3.FREEDNSHOSTWAY.COM
   Name Server: NS4.FREEDNSHOSTWAY.COM
   Status: clientTransferProhibited
   Updated Date: 15-apr-2009
   Creation Date: 15-apr-2009
   Expiration Date: 15-apr-2010

トルコのレジストラ。ロシア人。この登録情報は過去のインジェクションやスパムメール用の広告サイトのドメインでも使われていたかと思います。

 Arastirilan alan adi: torrentareactor.net  
	Ad / Name	  Andrei Chalkov
	Adres	Lenina str. d.10 kv.63 Istra Moskovskaya oblast 143500
	Tel	+7.4965603002
	Faks	
	E-posta   chalkov@nameclub.at
	Guncelleme / Updated

IPアドレスをみると、一連のcnドメイン関連が今現在使用しているIPアドレスと同じです。

 ;torrentareactor.net.           IN      A
 
 ;; ANSWER SECTION:
 torrentareactor.net.    432     IN      A       72.47.221.40
 torrentareactor.net.    432     IN      A       87.106.103.122
 torrentareactor.net.    432     IN      A       87.106.220.76
 torrentareactor.net.    432     IN      A       88.191.78.48
 torrentareactor.net.    432     IN      A       213.165.80.179
 
 ;; AUTHORITY SECTION:
 torrentareactor.net.    432     IN      NS      ns2.torrentareactor.net.
 torrentareactor.net.    432     IN      NS      ns1.torrentareactor.net.
 torrentareactor.net.    432     IN      NS      ns4.torrentareactor.net.
 torrentareactor.net.    432     IN      NS      ns3.torrentareactor.net.
 
 ;; ADDITIONAL SECTION:
 ns1.torrentareactor.net. 432    IN      A       72.0.255.141
 ns2.torrentareactor.net. 432    IN      A       200.111.65.244
 ns3.torrentareactor.net. 432    IN      A       165.132.70.147
 ns4.torrentareactor.net. 432    IN      A       213.174.140.20

あらら、まとめて追記を書こうかと思っていましたが、軽く触れると、72.47.221.40とかはまったく別のスパム広告サイトに利用されているドメイン等とかぶっていますね。このホスティングサービス自体がいわゆる「bullet-proof hosting」なのかどうかはわかりませんが、こういったことに使いやすい御用達ホスティングサービスなのでしょう。。何度も同じこと言ってますが、バーチャルホスティングでしょうから、悪意のないサイトが混ざっていたらIPアドレスでのフィルタの実施は問題がないとはいえませんが、普通の人がこのホスティングで運営されているサイトをみることはほぼないでしょうからフィルタする選択のほうが正しいでしょう。

で、どんなコードがダウンロードされるかというと、

典型的な難読化で、

いつものスクリプトが出てきます。

[カテゴリ:インジェクション観察日記]

by jyake

Powered by FreeStyleWikiLite X

TOP

Contents

About cNotes

What's New

2014/10/04 2014/08/22 2014/08/21 2014/08/15 2014/07/22 2014/07/01 2014/06/29 2014/06/28 2014/04/29 2014/04/28

2009年06月14日 15時18分53秒