cNotes 検索 一覧 カテゴリ

hellh.net

Published: 2009/07/12

一連のインジェクション騒ぎですが、すでに詳しい情報、解説がたくさんあるようですのでちょっと違う視点?で。

手口としては、2008年からやられているインジェクションとまったく同じですよね、、その後食らうスクリプトは最新のものですが。

攻撃者も同じでしょう、、、

被害者も同じようなところなわけですが、、、

今回のは、

 http://1856317799:888/s.js
 http://1856317799:888/jp.js
 http://0x6EA52967:888/jp.js

とか、いろいろなバリエーションがあり、

その後、

 http://1856317799:666/us.js

みたいなものも見つけましたが、もうアクセスできませんでしたね。

この10進数、16進数表記のIPアドレスですが、IPアドレス形式に直すとこれですね。

 110.165.41.103 (hellh.net)

でまぁ、すでに詳しい解析はあるので、それは省略しまして、、、、、

過去を振り返ると、

2008/3ごろFC2にインジェクションされたのが

これは

 http://www.fccja.com/e.js

これは

 http://www.hellh.net/w.js

2008/8ごろにやられたやつ

 http://1039045744:99/jp.js

= 61.238.148.112

2008/9ごろにやられたやつ

 http:/1039045726:99/jp.js

=61.238.148.94

2008/10ごろにやられたやつ

 1039045744:65435/jp.js

=61.238.148.112

2008/12ごろにやられたやつ

 http://1920041566:65535/fc2.js

= 114.113.130.94

2009/3ごろ?(これはインジェクションじゃなかったけ?)

 http://114.113.130.94:65535/ia115-2.swf

という感じで、まったく同じ手法ですよね。16進数表記というバリエーションは現われましたが。で、今回も含めてhellh.netのIPアドレスがたぶん同じ攻撃者に利用されているわけですが、関連するドメインの2008/7ごろからのAレコードの変化をみてみるとこんな感じになります。

hellh.net

 ?         ~ 2009/1/1  61.238.148.112  ★
 2009/1/2  ~ 2009/3/7  114.113.130.112   
 2009/3/8  ~ 2009/3/10 124.42.35.182     ★
 2009/3/11 ~ 2009/7/5  114.113.130.112
 2009/7/6  ~ 2009/7/10 110.165.41.103  ★
 2009/7/11 ~           208.71.106.124    ?

fccja.com

 ?         ~ 2008/12/4  61.238.148.112  ★
 2008/12/5 ~            114.113.130.112

dda3.net

 ?         ~ 2009/2/25  59.53.88.21
 2009/2/26 ~ 2009/4/2   124.42.35.182  ★
 2009/4/3  ~            NXDOMAIN

★が攻撃に利用された期間にマッチするものです。攻撃は短期間で、その攻撃のためにIPアドレスが変化しています。また、前述のインジェクション例にあるようにこのアドレス以外にも近接するIPアドレスが利用されています。また、長期データがなかったのですがddaio.comも仲間のドメインです。

なので、これらのドメインのAレコードの変化を追いかければ、攻撃の発生に気づくことができるんじゃないかと思うわけです。最新のIPアドレスは一休みのためのアドレスだろうと思ってますので、次の変化がいつくるか要注意ですね。

また対策への利用を考えると、これらのドメインをブラックリストに入れることとさらにこれらのドメインの正引き情報も常にブロックするようにするといいでしょう。といっても、昔から思ってるんですが、ドメインの正引き情報を利用した自動フィルタリングができる装置って見ないですよね?それがなければ、フィルタリングの元情報として使っているRDB、ブラックリストに該当のIPアドレス情報をアップデートしていく(してもらう)しかないですね、、、

とりあえず記録としてレジストラント情報。微妙に差分があるんですね、、

 	Domain name: hellh.net
 	Creation Date:2008-03-08
 	Expiration Date:2010-03-08
 Status:
 	clientTransferProhibited                
 Name Server: 
 	ns1.cnolnic.net
 	ns2.cnolnic.net
 
 Registrant Contact: 
 	Registrant Name: chen yuan
 	Registrant Organization: 
 	Registrant Street1: nongyan
 	Registrant Street2: 
 	Registrant Street3:
 	Registrant City: nongyan
 	           Province: Jiangsu
 	           Country: China
 	Domain name: fccja.com
 	Creation Date:2008-03-20
 	Expiration Date:2010-03-20
 Status:
 	clientTransferProhibited                
 Name Server: 
 	ns1.cnolnic.net
 	ns2.cnolnic.net
 
 Registrant Contact: 
 	Registrant Name: che  yan
 	Registrant Organization: 
 	Registrant Street1: xiamen
 	Registrant Street2: 
 	Registrant Street3:
 	Registrant City: xiamen
 	           Province: Fujian
 	           Country: China
 	Domain name: ddaio.com
 	Creation Date:2008-03-04
 	Expiration Date:2010-03-04
 Status:
 	clientTransferProhibited                
 Name Server: 
 	ns1.cnolnic.net
 	ns2.cnolnic.net
 
 Registrant Contact: 
 	Registrant Name: chenyuan
 	Registrant Organization: 
 	Registrant Street1: xiamen
 	Registrant Street2: 
 	Registrant Street3:
 	Registrant City: xiamen
 	           Province: Jiangsu
 	           Country: China
 	Registrant Postal Code: 361000    
 	Registrant Phone: +86.010589632569                        
 	Registrant Phone Ext.:
 	Registrant FAX: +86.010589632569                        
 	Registrant FAX Ext.:
 	Registrant Email: yekfgh@21cn.com  

[カテゴリ:インジェクション観察日記]

by jyake