インジェクション

online-stats201.info 2010-10-22
stats-master111.info 2010-10-21
stats-master11.info 2010-10-18
stats-master99.info 2010-10-15
sky17.in 2010-10-14
stats-master88.info 2010-10-12
google-stats73.info 2010-10-10
google-stats74.info 2010-10-08
fbfbfb.in 2010-10-08
netatoo.in 2010-10-08
wowat.in 2010-10-08
google-stats55.info 2010-10-05
google-stats54.info 2010-10-04
google-stats53.info 2010-10-03
delmove.in 2010-10-01
dnbeta.in 2010-10-01
google-stats44.info 2010-10-01
google-stats45.info 2010-10-01
google-stats46.info 2010-09-29
google-stats47.info 2010-09-28

この辺の続きです。

2010-10-04

http://www.kotoo.com/images/img.js (削除)
http://www.e0570.com/images/img.js
→http://www.e0570.com/images/news.html
→http://www.e0570.com/images/ad.htm
　→http://www.txgjj.com/images/s.exe
　　→http://98.126.56.109:61688/img/img.txt

ファイル名やポートが変わりました。
98.126.56.109 komater.in mateol.in matole.in ziont.in

2010-10-05

http://www.e0570.com/images/img.js
→(略)
　→http://www.yinfa99.com/images/s.exe
　　→http://204.152.200.162:61688/img/img.txt

IPが変わりました。
204.152.200.162 komater.in mateol.in matole.in ziont.in
204.152.200.163 ?
204.152.200.164 ?
204.152.200.165 ?
204.152.200.166 ?

2010-10-06

http://www.xhedu.net/js/img.js
→http://www.xhedu.net/js/sky.html
→http://www.xhedu.net/js/kol.htm
　→http://www.yinfa99.com/images/s.exe
　　→(略)
204.152.200.163 delmove.in dnbeta.in komater.in mateol.in matole.in ziont.in

2010-10-08

http://www.gdfreeway.com/js/img.js
→http://www.gdfreeway.com/js/news.html
→http://www.gdfreeway.com/js/ad.htm
　→http://www.h13z.net/images/s.exe
　　→http://96.44.130.210:61688/img/img.txt

IPが変わりました。

2010-10-09

http://www.gdfreeway.com/js/img.js
→(略)
　→http://www.h13z.net/images/s.exe
　　→http://174.139.241.154:61688/img/img.txt

IPが変わりました。
174.139.241.154 netatoo.in

夜。
http://www.lancang-mekong.org/uploadfile/img.js
→http://www.lancang-mekong.org/uploadfile/sky.html
→http://www.lancang-mekong.org/uploadfile/kol.htm
　→http://www.91gl.com/images/s.exe
　　→(略)

2010-10-10

http://www.e0570.com/images/img.js (削除)
http://www.xhedu.net/js/img.js (無害化)
http://www.gdfreeway.com/js/img.js (削除)
http://www.lancang-mekong.org/uploadfile/img.js
→(略)
　→http://174.139.241.154:61688/img/img.txt

ファイル名が変わりました。
存在しないファイル(1.exeや2.exeなど)のHTTPヘッダを調べたりすると
ログから404などを抽出されてIPを蹴られるので気を付けましょう(笑)。

これは別件です。
http://google-stats44.info/ur.php
http://google-stats45.info/ur.php
http://google-stats46.info/ur.php
http://google-stats47.info/ur.php
以前見かけた48～50と同じ物です。

夜。
ホスト名が増えました。
174.139.241.154 netatoo.in wowat.in

2010-10-11

IPが変わりました。
174.139.241.155 wowat.in

http://google-stats53.info/ur.php
http://google-stats54.info/ur.php
http://google-stats55.info/ur.php
http://google-stats73.info/ur.php
http://google-stats74.info/ur.php

2010-10-14

http://www.lancang-mekong.org/uploadfile/img.js (削除)
http://www.xatarena.com/images/img.js
→http://www.xatarena.com/images/sky.html
→http://www.xatarena.com/images/kol.htm
　→http://www.pku-digicare.com/js/s.exe
　　→http://174.139.241.156:61688/img/img.txt

IPが変わりました。
174.139.241.156 wowat.in

2010-10-17

http://www.xatarena.com/images/img.js (削除)
http://www.sxsia.org.cn/images/img.js
→http://www.sxsia.org.cn/images/sky.html
→http://www.sxsia.org.cn/images/kol.htm
　→http://www.sxsia.org.cn/css/s.exe
　　→http://174.139.135.74:61688/img/img.txt

IPが変わりました。
174.139.135.74 sky17.in

http://bbs.modi-auto.com.cn/js/img.js (削除)
→http://bbs.modi-auto.com.cn/js/sky.html
→http://bbs.modi-auto.com.cn/js/kol.htm
　→http://bbs.modi-auto.com.cn/js/d.exe (笑)

　　→http://12.yifi8.cn/down.txt (削除)
　　　→http://www.delmadang.com/css/1.exe (削除)
こちらは逃げられたのかもしれません。

http://stats-master88.info/ur.php
http://stats-master99.info/ur.php
こちらはまだ元気です。

2010-10-19

http://www.sxsia.org.cn/images/img.js
→(略)
　→http://www.0898it.com/userfiles/s.exe
　　→(略)

http://stats-master11.info/ur.php
77 66 と続くと思ったのですが…。

2010-10-21

http://www.sxsia.org.cn/images/img.js (削除)
http://www.igo88.com/css/img.js
→http://www.igo88.com/css/sky.html
→http://www.igo88.com/css/kol.htm
　→http://www.yunsheng.com/images/s.exe
　　→(略)

2010-10-22

http://www.thwg08.com/js/img.js
→http://www.thwg08.com/js/sky.html
→http://www.thwg08.com/js/kol.htm
　→http://www.yunsheng.com/images/s.exe
　　→(略)

http://stats-master111.info/ur.php
22 33 と続くと思ったのですが…。

2010-10-24

http://www.thwg08.com/js/img.js (削除)
http://www.zzyaya.com/js/img.js
→http://www.zzyaya.com/js/sky.html
→http://www.zzyaya.com/js/kol.htm
　→http://www.zzyaya.com/images/s.exe
　　→http://174.139.135.76:61688/img/img.txt

174.139.135.74 sky17.in
↓
174.139.135.75 sky17.in
↓
174.139.135.76 sky17.in
とIPが変わっています。

http://online-stats201.info/ur.php

2010-10-25

http://www.shrono.com/js/img.js
→http://www.shrono.com/js/sky.html
→http://www.shrono.com/js/kol.htm
　→http://www.bizdak.com/images/s.exe
　　→http://96.44.130.214:61688/img/img.txt

こちらはWinPcapを用いたARPSpooferが復活しています。
96.44.130.214 img.fbfbfb.in

http://www.3emath.com/js/img.js
→http://www.3emath.com/js/sky.html
→http://www.3emath.com/js/kol.htm
　→http://www.3emath.com/images/s.exe
　　→http://174.139.135.77:61688/img/img.txt
　　　→(略)
IPが変わりました。
174.139.135.77 sky17.in

http://www.winitpro.com.cn/js/img.js
→http://www.winitpro.com.cn/js/sky.html
→http://www.winitpro.com.cn/js/kol.htm
　→http://www.jpxm.com/images/s.exe
　　→http://174.139.135.77:61688/img/img.txt
　　　→(略)

WindowsITProさん…(泣)。

2010-10-29

http://www.3emath.com/js/img.js (削除)
http://www.igo88.com/css/img.js (削除)
http://www.shrono.com/js/img.js (削除)
http://www.96363.com/upfiles/img.js
→http://www.96363.com/upfiles/sky.html
→http://www.96363.com/upfiles/kol.html
　→http://www.xsedu.zj.cn/images/s.exe
　　→http://174.139.135.77:61688/img/img.txt
　　　→(略)
96363.comのIIS6は*.htmを403で蹴る設定なのか
kol.htmがkol.htmlになっています。

2010-10-31

http://www.jdcmmc.com/images/img.js
→http://www.jdcmmc.com/images/sky.html
→http://www.jdcmmc.com/images/kol.html
　→http://www.nexcomexpo.com/upload/s.exe
　　→http://174.139.135.78:61688/img/img.txt
　　　→(略)
IPが変わりました。
174.139.135.78 sky17.in

書くのを忘れていましたが、
こちらのIPも変わっています。
http://96.44.182.130:61688/img/img.txt
96.44.182.130 img.fbfbfb.in

続く