cNotes 検索 一覧 カテゴリ

kr.js関連のインジェクション

Published: 2009/01/17

12月に書きました話の続きです。最近「<raqmtr$r{・・・」みたいな変な文字列でインジェクションされているやつにも微妙に関連しているものでもあります。

11月ごろから、s.cawjb.comとかs1.cawjb.comとかのドメインを利用してインジェクションされていた、jp.js、kr.js、en.js、cn.jsのような言語ごとに準備されたアクセス解析スクリプトのようなものだったと思います。ただし今現在広く知られている、検索すれば数千レベルでインジェクションされているサイトが見つかるこれらのURLはサイトは存在していますがスクリプトは落ちてきません。変わりに、2009/1/12ごろから同じ名前のスクリプトがここに設置されていて

 x.lbs66.cn

すでに注入されているサイトがあります。ただここに設置されているスクリプトも不完全です。本来のリダイレクタの機能は果たせません。以前別のインジェクションでみたことのあるテストスクリプト?みたいな、、、というか別の目的、違う人たちが設置しているおとりくさいんですよね、、、まぁ、わかりませんが、、

ドメインに関しても若干扱いが違うもののような気がします。スクリプト名が同じだけでまったく別物なのか、とりあえず仕組みだけは構築したのであとで本物のスクリプトに差し替えるのか不明です。

 Domain Name: CAWJB.COM
 Registrar: HICHINA ZHICHENG TECHNOLOGY LTD.
 Whois Server: grs.hichina.com
 Referral URL: http://www.net.cn
 Name Server: DNS11.HICHINA.COM
 Name Server: DNS12.HICHINA.COM
 Status: ok
 Updated Date: 07-mar-2007
 Creation Date: 16-dec-2003
 Expiration Date: 16-dec-2009
 Domain Name: lbs66.cn
 ROID: 20080412s10001s39396457-cn
 Domain Status: ok
 Registrant Organization: 普&#27953;&#32511;宝石茶&#19994;有限公司
 Registrant Name: 普&#27953;&#32511;宝石茶&#19994;有限公司
 Administrative Email: info@netyn.cn
 Sponsoring Registrar: 北京万网志成科技有限公司
 Name Server:dns27.hichina.com
 Name Server:dns28.hichina.com
 Registration Date: 2008-04-12 12:11
 Expiration Date: 2009-04-12 12:11

ジャンプ先のサイトが閉鎖されていても、改ざんされたサイトは放置されっぱなしだったり、別のスクリプトを何重にも注入されてすごいことになっているサイトが多々ありますね。何回でも注入を繰り返すことのできるサイトには事欠かないということです。このへんの対策が必要だと思いますが、有料、無料のwebホスティング、、、無限にありますからね、、、

[カテゴリ:botnet観察日記]

by jyake