kr.js関連のインジェクション
Published: 2009/01/17
12月に書きました話の続きです。最近「<raqmtr$r{・・・」みたいな変な文字列でインジェクションされているやつにも微妙に関連しているものでもあります。
11月ごろから、s.cawjb.comとかs1.cawjb.comとかのドメインを利用してインジェクションされていた、jp.js、kr.js、en.js、cn.jsのような言語ごとに準備されたアクセス解析スクリプトのようなものだったと思います。ただし今現在広く知られている、検索すれば数千レベルでインジェクションされているサイトが見つかるこれらのURLはサイトは存在していますがスクリプトは落ちてきません。変わりに、2009/1/12ごろから同じ名前のスクリプトがここに設置されていて
x.lbs66.cn
すでに注入されているサイトがあります。ただここに設置されているスクリプトも不完全です。本来のリダイレクタの機能は果たせません。以前別のインジェクションでみたことのあるテストスクリプト?みたいな、、、というか別の目的、違う人たちが設置しているおとりくさいんですよね、、、まぁ、わかりませんが、、
ドメインに関しても若干扱いが違うもののような気がします。スクリプト名が同じだけでまったく別物なのか、とりあえず仕組みだけは構築したのであとで本物のスクリプトに差し替えるのか不明です。
Domain Name: CAWJB.COM Registrar: HICHINA ZHICHENG TECHNOLOGY LTD. Whois Server: grs.hichina.com Referral URL: http://www.net.cn Name Server: DNS11.HICHINA.COM Name Server: DNS12.HICHINA.COM Status: ok Updated Date: 07-mar-2007 Creation Date: 16-dec-2003 Expiration Date: 16-dec-2009
Domain Name: lbs66.cn ROID: 20080412s10001s39396457-cn Domain Status: ok Registrant Organization: 普洱绿宝石茶业有限公司 Registrant Name: 普洱绿宝石茶业有限公司 Administrative Email: info@netyn.cn Sponsoring Registrar: 北京万网志成科技有限公司 Name Server:dns27.hichina.com Name Server:dns28.hichina.com Registration Date: 2008-04-12 12:11 Expiration Date: 2009-04-12 12:11
ジャンプ先のサイトが閉鎖されていても、改ざんされたサイトは放置されっぱなしだったり、別のスクリプトを何重にも注入されてすごいことになっているサイトが多々ありますね。何回でも注入を繰り返すことのできるサイトには事欠かないということです。このへんの対策が必要だと思いますが、有料、無料のwebホスティング、、、無限にありますからね、、、
by jyake