cnドメインを利用したインジェクション 8080 + index.php型
Published: 2009/06/14
すでにいろいろなところで指摘されているURLだと思いますが、インジェクションされるURLのバリエーションです。8080ポートとindex.phpを使うのが特徴。
torrentareactor.net:8080/index.php
このパターンで使われたその他のドメインはこのような感じです。
chesterhousedomain.cn combinebet.cn filmoflife.cn globalnameshop.cn greatshopfilm.cn hopmovieproduction.cn hugetoplocate.cn mediahomenameshopmovie.cn mediahousenamebuyvideo.cn shopfilmexistence.cn shopfilmlifeonline.cn shopfilmlifescience.cn shopmovielife.cn thebestwaytofind.cn thehomename.cn torrentareactor.net yournameshop.cn
一連のドメインですが、使用される単語にパターンがあるので形態素分析すれば次は何が使われるのか先回りできるんじゃないかと安易に考えてしまう、、けど、無理っぽいですね、、、
すでにcnドメインに限らないわけですが、なかなか直接インジェクションされている情報からcn以外のドメインが見つけられないんですよね。。。
とりあえず.netの例を。この例ではtorrentreactor.netをもじってるわけですね。bittorrent関連のサイト狙い用とか?
Domain Name: TORRENTAREACTOR.NET Registrar: ALANTRON BLTD. Whois Server: whois.alantron.com Referral URL: http://www.alantron.com.tr Name Server: NS1.FREEDNSHOSTWAY.COM Name Server: NS2.FREEDNSHOSTWAY.COM Name Server: NS3.FREEDNSHOSTWAY.COM Name Server: NS4.FREEDNSHOSTWAY.COM Status: clientTransferProhibited Updated Date: 15-apr-2009 Creation Date: 15-apr-2009 Expiration Date: 15-apr-2010
トルコのレジストラ。ロシア人。この登録情報は過去のインジェクションやスパムメール用の広告サイトのドメインでも使われていたかと思います。
Arastirilan alan adi: torrentareactor.net Ad / Name Andrei Chalkov Adres Lenina str. d.10 kv.63 Istra Moskovskaya oblast 143500 Tel +7.4965603002 Faks E-posta chalkov@nameclub.at Guncelleme / Updated
IPアドレスをみると、一連のcnドメイン関連が今現在使用しているIPアドレスと同じです。
;torrentareactor.net. IN A ;; ANSWER SECTION: torrentareactor.net. 432 IN A 72.47.221.40 torrentareactor.net. 432 IN A 87.106.103.122 torrentareactor.net. 432 IN A 87.106.220.76 torrentareactor.net. 432 IN A 88.191.78.48 torrentareactor.net. 432 IN A 213.165.80.179 ;; AUTHORITY SECTION: torrentareactor.net. 432 IN NS ns2.torrentareactor.net. torrentareactor.net. 432 IN NS ns1.torrentareactor.net. torrentareactor.net. 432 IN NS ns4.torrentareactor.net. torrentareactor.net. 432 IN NS ns3.torrentareactor.net. ;; ADDITIONAL SECTION: ns1.torrentareactor.net. 432 IN A 72.0.255.141 ns2.torrentareactor.net. 432 IN A 200.111.65.244 ns3.torrentareactor.net. 432 IN A 165.132.70.147 ns4.torrentareactor.net. 432 IN A 213.174.140.20
あらら、まとめて追記を書こうかと思っていましたが、軽く触れると、72.47.221.40とかはまったく別のスパム広告サイトに利用されているドメイン等とかぶっていますね。このホスティングサービス自体がいわゆる「bullet-proof hosting」なのかどうかはわかりませんが、こういったことに使いやすい御用達ホスティングサービスなのでしょう。。何度も同じこと言ってますが、バーチャルホスティングでしょうから、悪意のないサイトが混ざっていたらIPアドレスでのフィルタの実施は問題がないとはいえませんが、普通の人がこのホスティングで運営されているサイトをみることはほぼないでしょうからフィルタする選択のほうが正しいでしょう。
で、どんなコードがダウンロードされるかというと、
典型的な難読化で、
いつものスクリプトが出てきます。
by jyake