ハルコタン紀行

インジェクション

online-stats201.info 2010-10-22
stats-master111.info 2010-10-21
stats-master11.info 2010-10-18
stats-master99.info 2010-10-15
sky17.in 2010-10-14
stats-master88.info 2010-10-12
google-stats73.info 2010-10-10
google-stats74.info 2010-10-08
fbfbfb.in 2010-10-08
netatoo.in 2010-10-08
wowat.in 2010-10-08
google-stats55.info 2010-10-05
google-stats54.info 2010-10-04
google-stats53.info 2010-10-03
delmove.in 2010-10-01
dnbeta.in 2010-10-01
google-stats44.info 2010-10-01
google-stats45.info 2010-10-01
google-stats46.info 2010-09-29
google-stats47.info 2010-09-28
この辺の続きです。

2010-10-04

http://www.kotoo.com/images/img.js (削除)
http://www.e0570.com/images/img.js
→http://www.e0570.com/images/news.html
→http://www.e0570.com/images/ad.htm
 →http://www.txgjj.com/images/s.exe
  →http://98.126.56.109:61688/img/img.txt

ファイル名やポートが変わりました。
98.126.56.109 komater.in mateol.in matole.in ziont.in


2010-10-05

http://www.e0570.com/images/img.js
→(略)
 →http://www.yinfa99.com/images/s.exe
  →http://204.152.200.162:61688/img/img.txt

IPが変わりました。
204.152.200.162 komater.in mateol.in matole.in ziont.in
204.152.200.163 ?
204.152.200.164 ?
204.152.200.165 ?
204.152.200.166 ?


2010-10-06

http://www.xhedu.net/js/img.js
→http://www.xhedu.net/js/sky.html
→http://www.xhedu.net/js/kol.htm
 →http://www.yinfa99.com/images/s.exe
  →(略)
204.152.200.163 delmove.in dnbeta.in komater.in mateol.in matole.in ziont.in


2010-10-08

http://www.gdfreeway.com/js/img.js
→http://www.gdfreeway.com/js/news.html
→http://www.gdfreeway.com/js/ad.htm
 →http://www.h13z.net/images/s.exe
  →http://96.44.130.210:61688/img/img.txt

IPが変わりました。


2010-10-09

http://www.gdfreeway.com/js/img.js
→(略)
 →http://www.h13z.net/images/s.exe
  →http://174.139.241.154:61688/img/img.txt

IPが変わりました。
174.139.241.154 netatoo.in

夜。
http://www.lancang-mekong.org/uploadfile/img.js
→http://www.lancang-mekong.org/uploadfile/sky.html
→http://www.lancang-mekong.org/uploadfile/kol.htm
 →http://www.91gl.com/images/s.exe
  →(略)


2010-10-10

http://www.e0570.com/images/img.js (削除)
http://www.xhedu.net/js/img.js (無害化)
http://www.gdfreeway.com/js/img.js (削除)
http://www.lancang-mekong.org/uploadfile/img.js
→(略)
 →http://174.139.241.154:61688/img/img.txt

ファイル名が変わりました。
存在しないファイル(1.exeや2.exeなど)のHTTPヘッダを調べたりすると
ログから404などを抽出されてIPを蹴られるので気を付けましょう(笑)。

これは別件です。
http://google-stats44.info/ur.php
http://google-stats45.info/ur.php
http://google-stats46.info/ur.php
http://google-stats47.info/ur.php
以前見かけた48~50と同じ物です。

夜。
ホスト名が増えました。
174.139.241.154 netatoo.in wowat.in


2010-10-11


IPが変わりました。
174.139.241.155 wowat.in

http://google-stats53.info/ur.php
http://google-stats54.info/ur.php
http://google-stats55.info/ur.php
http://google-stats73.info/ur.php
http://google-stats74.info/ur.php


2010-10-14

http://www.lancang-mekong.org/uploadfile/img.js (削除)
http://www.xatarena.com/images/img.js
→http://www.xatarena.com/images/sky.html
→http://www.xatarena.com/images/kol.htm
 →http://www.pku-digicare.com/js/s.exe
  →http://174.139.241.156:61688/img/img.txt

IPが変わりました。
174.139.241.156 wowat.in


2010-10-17

http://www.xatarena.com/images/img.js (削除)
http://www.sxsia.org.cn/images/img.js
→http://www.sxsia.org.cn/images/sky.html
→http://www.sxsia.org.cn/images/kol.htm
 →http://www.sxsia.org.cn/css/s.exe
  →http://174.139.135.74:61688/img/img.txt

IPが変わりました。
174.139.135.74 sky17.in

http://bbs.modi-auto.com.cn/js/img.js (削除)
→http://bbs.modi-auto.com.cn/js/sky.html
→http://bbs.modi-auto.com.cn/js/kol.htm
 →http://bbs.modi-auto.com.cn/js/d.exe (笑)

  →http://12.yifi8.cn/down.txt (削除)
   →http://www.delmadang.com/css/1.exe (削除)
こちらは逃げられたのかもしれません。

http://stats-master88.info/ur.php
http://stats-master99.info/ur.php
こちらはまだ元気です。


2010-10-19

http://www.sxsia.org.cn/images/img.js
→(略)
 →http://www.0898it.com/userfiles/s.exe
  →(略)

http://stats-master11.info/ur.php
77 66 と続くと思ったのですが…。


2010-10-21

http://www.sxsia.org.cn/images/img.js (削除)
http://www.igo88.com/css/img.js
→http://www.igo88.com/css/sky.html
→http://www.igo88.com/css/kol.htm
 →http://www.yunsheng.com/images/s.exe
  →(略)


2010-10-22

http://www.thwg08.com/js/img.js
→http://www.thwg08.com/js/sky.html
→http://www.thwg08.com/js/kol.htm
 →http://www.yunsheng.com/images/s.exe
  →(略)

http://stats-master111.info/ur.php
22 33 と続くと思ったのですが…。


2010-10-24

http://www.thwg08.com/js/img.js (削除)
http://www.zzyaya.com/js/img.js
→http://www.zzyaya.com/js/sky.html
→http://www.zzyaya.com/js/kol.htm
 →http://www.zzyaya.com/images/s.exe
  →http://174.139.135.76:61688/img/img.txt

174.139.135.74 sky17.in

174.139.135.75 sky17.in

174.139.135.76 sky17.in
とIPが変わっています。

http://online-stats201.info/ur.php


2010-10-25

http://www.shrono.com/js/img.js
→http://www.shrono.com/js/sky.html
→http://www.shrono.com/js/kol.htm
 →http://www.bizdak.com/images/s.exe
  →http://96.44.130.214:61688/img/img.txt

こちらはWinPcapを用いたARPSpooferが復活しています。
96.44.130.214 img.fbfbfb.in

http://www.3emath.com/js/img.js
→http://www.3emath.com/js/sky.html
→http://www.3emath.com/js/kol.htm
 →http://www.3emath.com/images/s.exe
  →http://174.139.135.77:61688/img/img.txt
   →(略)
IPが変わりました。
174.139.135.77 sky17.in

http://www.winitpro.com.cn/js/img.js
→http://www.winitpro.com.cn/js/sky.html
→http://www.winitpro.com.cn/js/kol.htm
 →http://www.jpxm.com/images/s.exe
  →http://174.139.135.77:61688/img/img.txt
   →(略)

WindowsITProさん…(泣)。


2010-10-29

http://www.3emath.com/js/img.js (削除)
http://www.igo88.com/css/img.js (削除)
http://www.shrono.com/js/img.js (削除)
http://www.96363.com/upfiles/img.js
→http://www.96363.com/upfiles/sky.html
→http://www.96363.com/upfiles/kol.html
 →http://www.xsedu.zj.cn/images/s.exe
  →http://174.139.135.77:61688/img/img.txt
   →(略)
96363.comのIIS6は*.htmを403で蹴る設定なのか
kol.htmがkol.htmlになっています。


2010-10-31

http://www.jdcmmc.com/images/img.js
→http://www.jdcmmc.com/images/sky.html
→http://www.jdcmmc.com/images/kol.html
 →http://www.nexcomexpo.com/upload/s.exe
  →http://174.139.135.78:61688/img/img.txt
   →(略)
IPが変わりました。
174.139.135.78 sky17.in

書くのを忘れていましたが、
こちらのIPも変わっています。
http://96.44.182.130:61688/img/img.txt
96.44.182.130 img.fbfbfb.in

続く

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2010/10/04(月) 12:00:00|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<正式版 | ホーム | MicroAd>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/223-db903ec1
この記事にトラックバックする(FC2ブログユーザー)