ハルコタン紀行

fccja.com

どこかに有害なスクリプトが注入されていると思います
(ポートを突付いたら出てきただけなので実態は不明です)。
http://1039045744:99/jp.js
8月にXREAに注入されたのは
http://1039045744:88/jp.js
ですので、TCPポートが違うだけで同一犯です。

2008-09-08
http://1039045726:99/jp.js
IPが増えました。

2008-09-28
TCPポートを変更して実戦投入されました。

http://1039045726:99/jp.js
→http://1039045726:99
 →http://1039045726:99/show.php
  →http://1039045726:99/*.swf
(*=[ia115-2,ia64-2,ia47-2,ia45-2,ia28-2,ia16-2,ia00-2,fb115-2,fb60-2,fb47-2,fb45-2,fb28-2,fb16-2])
   →http://1039045726:99/tba.gif.gif
1039045726 = 61.238.148.94

2008-09-08
2008-09-05

http://1039045744:99/jp.js
→http://1039045744:99/
 →http://1039045744:99/show.php
  →http://1039045744:99/*.swf
(*=[ia115-2,ia64-2,ia47-2,ia45-2,ia28-2,ia16-2,ia00-2,fb115-2,fb60-2,fb47-2,fb45-2,fb28-2,fb16-2])
   →http://1039045744:99/tba.gif.gif
1039045744 = 61.238.148.112

更新履歴(笑)
tba.gif.gif (2008-09-05 01:38 28,672バイト)
tba.gif.gif (2008-09-08 02:23 8,192バイト)

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2008/09/05(金) 16:18:42|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:0
<<インジェクション | ホーム | 戦士47>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/80-88a6f1b4
この記事にトラックバックする(FC2ブログユーザー)