hellh.net
Published: 2009/07/12
一連のインジェクション騒ぎですが、すでに詳しい情報、解説がたくさんあるようですのでちょっと違う視点?で。
手口としては、2008年からやられているインジェクションとまったく同じですよね、、その後食らうスクリプトは最新のものですが。
攻撃者も同じでしょう、、、
被害者も同じようなところなわけですが、、、
今回のは、
http://1856317799:888/s.js http://1856317799:888/jp.js http://0x6EA52967:888/jp.js
とか、いろいろなバリエーションがあり、
その後、
http://1856317799:666/us.js
みたいなものも見つけましたが、もうアクセスできませんでしたね。
この10進数、16進数表記のIPアドレスですが、IPアドレス形式に直すとこれですね。
110.165.41.103 (hellh.net)
でまぁ、すでに詳しい解析はあるので、それは省略しまして、、、、、
過去を振り返ると、
2008/3ごろFC2にインジェクションされたのが
これは
http://www.fccja.com/e.js
これは
http://www.hellh.net/w.js
2008/8ごろにやられたやつ
http://1039045744:99/jp.js
= 61.238.148.112
2008/9ごろにやられたやつ
http:/1039045726:99/jp.js
=61.238.148.94
2008/10ごろにやられたやつ
1039045744:65435/jp.js
=61.238.148.112
2008/12ごろにやられたやつ
http://1920041566:65535/fc2.js
= 114.113.130.94
2009/3ごろ?(これはインジェクションじゃなかったけ?)
http://114.113.130.94:65535/ia115-2.swf
という感じで、まったく同じ手法ですよね。16進数表記というバリエーションは現われましたが。で、今回も含めてhellh.netのIPアドレスがたぶん同じ攻撃者に利用されているわけですが、関連するドメインの2008/7ごろからのAレコードの変化をみてみるとこんな感じになります。
hellh.net
? ~ 2009/1/1 61.238.148.112 ★ 2009/1/2 ~ 2009/3/7 114.113.130.112 2009/3/8 ~ 2009/3/10 124.42.35.182 ★ 2009/3/11 ~ 2009/7/5 114.113.130.112 2009/7/6 ~ 2009/7/10 110.165.41.103 ★ 2009/7/11 ~ 208.71.106.124 ?
fccja.com
? ~ 2008/12/4 61.238.148.112 ★ 2008/12/5 ~ 114.113.130.112
dda3.net
? ~ 2009/2/25 59.53.88.21 2009/2/26 ~ 2009/4/2 124.42.35.182 ★ 2009/4/3 ~ NXDOMAIN
★が攻撃に利用された期間にマッチするものです。攻撃は短期間で、その攻撃のためにIPアドレスが変化しています。また、前述のインジェクション例にあるようにこのアドレス以外にも近接するIPアドレスが利用されています。また、長期データがなかったのですがddaio.comも仲間のドメインです。
なので、これらのドメインのAレコードの変化を追いかければ、攻撃の発生に気づくことができるんじゃないかと思うわけです。最新のIPアドレスは一休みのためのアドレスだろうと思ってますので、次の変化がいつくるか要注意ですね。
また対策への利用を考えると、これらのドメインをブラックリストに入れることとさらにこれらのドメインの正引き情報も常にブロックするようにするといいでしょう。といっても、昔から思ってるんですが、ドメインの正引き情報を利用した自動フィルタリングができる装置って見ないですよね?それがなければ、フィルタリングの元情報として使っているRDB、ブラックリストに該当のIPアドレス情報をアップデートしていく(してもらう)しかないですね、、、
とりあえず記録としてレジストラント情報。微妙に差分があるんですね、、
Domain name: hellh.net Creation Date:2008-03-08 Expiration Date:2010-03-08 Status: clientTransferProhibited Name Server: ns1.cnolnic.net ns2.cnolnic.net Registrant Contact: Registrant Name: chen yuan Registrant Organization: Registrant Street1: nongyan Registrant Street2: Registrant Street3: Registrant City: nongyan Province: Jiangsu Country: China
Domain name: fccja.com Creation Date:2008-03-20 Expiration Date:2010-03-20 Status: clientTransferProhibited Name Server: ns1.cnolnic.net ns2.cnolnic.net Registrant Contact: Registrant Name: che yan Registrant Organization: Registrant Street1: xiamen Registrant Street2: Registrant Street3: Registrant City: xiamen Province: Fujian Country: China
Domain name: ddaio.com Creation Date:2008-03-04 Expiration Date:2010-03-04 Status: clientTransferProhibited Name Server: ns1.cnolnic.net ns2.cnolnic.net Registrant Contact: Registrant Name: chenyuan Registrant Organization: Registrant Street1: xiamen Registrant Street2: Registrant Street3: Registrant City: xiamen Province: Jiangsu Country: China Registrant Postal Code: 361000 Registrant Phone: +86.010589632569 Registrant Phone Ext.: Registrant FAX: +86.010589632569 Registrant FAX Ext.: Registrant Email: yekfgh@21cn.com
by jyake