gumblar.cn から martuz.cn へ
Published: 2009/06/04
Create at: 2009/05/16 |
---|
Update at: 2009/05/17 |
---|
Update at: 2009/06/04 |
---|
5/15 21:00ごろにgumblar.cnのAレコードの登録がなくなりました。Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、レジストラによる対策ではない?ようなので再度Aレコードが登録される可能性があるので、引き続き注意は必要です。
その後5/16 2:00ごろからあらたなドメインが使われるようになったようです。
martuz.cn
難読化スクリプトのバリエーションもほとんど変わっていませんが、スクリプト自体はちょっと変更されていて「Chrome」を除外するようになっています。
意図はよくわかりませんが、Vistaを使っているか、XPを使っていてもChromeを使っていればこのスクリプトから除外されるということになります。前回も言いましたが、まさかOS乗り換えやブラウザ乗り換えを後押しする意図ではないでしょうが、、、
martuz.cn. 300 IN A 95.129.145.58 ;; AUTHORITY SECTION: martuz.cn. 300 IN NS ns4.everydns.net. martuz.cn. 300 IN NS ns2.everydns.net. martuz.cn. 300 IN NS ns3.everydns.net. martuz.cn. 300 IN NS ns1.everydns.net. ;; ADDITIONAL SECTION: ns1.everydns.net. 300 IN A 208.76.56.56
Domain Name: martuz.cn ROID: 20090513s10001s44729746-cn Domain Status: ok Registrant Organization: Chen Registrant Name: Chen Administrative Email: chen.poon1732646@yahoo.com Sponsoring Registrar: Name Server:ns1.everydns.net Name Server:ns2.everydns.net Name Server:ns3.everydns.net Name Server:ns4.everydns.net Registration Date: 2009-05-13 01:40 Expiration Date: 2010-05-13 01:40
inetnum: 95.129.144.0 - 95.129.145.255 netname: NET-VENTREX descr: Ventrex LLP customers country: GB remarks: ********************************************************** remarks: Send abuses, network issues to noc@storeandtrade.co.uk remarks: ********************************************************** admin-c: DL3560-RIPE tech-c: DL3560-RIPE status: ASSIGNED PA mnt-by: MNT-VENTREX changed: noc@storeandtrade.co.uk 20090310 source: RIPE person: David Lynn address: 16/5 West Pilton Rise, Edinburgh, GB, Scotland e-mail: david@storeandtrade.co.uk phone: +441312048700 nic-hdl: DL3560-RIPE mnt-by: MNT-VENTREX changed: noc@storeandtrade.co.uk 20090310 source: RIPE
ただ、若干の失敗は、このIPアドレスを含む95.129.144.0/23は去年?ロシアやウクライナのCAPTCHA破りサービスに関連しているとしてSBLに登録されています。攻撃者の関連性?
だからといって、すべてのセキュリティ製品がSBLを参照してブロックしてくれているわけではないので安全というわけではないです。
フィルタによる対策に関してですが、
ドメイン、IPアドレスの両方の要素が変化するのは通常の攻撃手法ですので、より安全性を高めるためには、IPベース、ドメインベース両方のフィルタを実施する必要があります。今のところは、アドレスブロックをまるまるフィルタしても通常のインターネット利用には影響ないアドレスを使ってくれてますのでホストでもアドレスブロックでもフィルタしてもいいかと。
今後どのような事態に発展するかわかりませんが、他の攻撃と同様に、よく見るサイトが運営されているホスティングサービスに混在されるようになってしまうと、アドレスブロックをまるまるフィルタするとそのホスティングサービス上で運営されている他のサイトもすべて見えなくなるのでなにかしらの支障がでてくるようになりますので、利用者の立場ごとの判断が必要になるかもしれませんね。ま、いつも見ていたサイトを見ることを我慢するほうが、被害者になるよりはましですよね。
by jyake