インジェクション

mysteryforyou1.ru 2011-06-21
jsdrg43sdfgdf.com 2011-06-20
trbbby.com 2011-05-30
koljjo.com 2011-05-24
asweds.com 2011-05-23
statsl.com 2011-05-11
vcvsta.com 2011-05-11
miliardov.com 2011-04-20
variantov.com 2011-04-20
bookarra.com 2011-04-12
bookavio.com 2011-04-12
bookdolo.com 2011-04-12
bookfula.com 2011-04-12
bookgusa.com 2011-04-12
bookmonn.com 2011-04-12
bookpolo.com 2011-04-12
booksoco.com 2011-04-12
booktuba.com 2011-04-12
bookvila.com 2011-04-12
bookvivi.com 2011-04-12
bookvoxy.com 2011-04-12
bookzula.com 2011-04-12
kkojjors.net 2011-04-08
bookmono.com 2011-04-07
bookmylo.com 2011-04-07
booknunu.com 2011-04-07
booksolo.com 2011-04-07
bookzoul.com 2011-04-07
bookaros.com 2011-04-05
booksgou.com 2011-04-05
find-top-casinos.com 2010-10-11
worid-of-books.com 2010-09-16

新しいタイプのWebサイト改ざんSQLインジェクション攻撃(続報) (IBM 東京SOC)
インジェクション - ur.php 2 (cNotes)
昔から延々とur.phpを注入し続けていたものの
lizamoonで攻撃手法を変えてみたら
戦果が大きすぎて騒がれてしまい沈黙、
という略歴を持つ、いわゆるlizamoonが帰ってきました。
http://statsl.com/ur.php
http://vcvsta.com/ur.php

個人的に気になったのは以下のような変な書店です。
<a style=display:none; href=http://booksgou.com >book</a>
bookの一言だけのリンクです
(実際は直前に</title>を置いてtitleタグを閉じます)。
わざわざ踏む人は居るのか? とも思いますが、
昔からありました。
<a style=display:none; href=http://find-top-casinos.com >casino</a>
casinoの一言だけのリンクの例。
<a style=display:none; href=http://worid-of-books.com >book</a>
bookの一言だけのリンクの例。
踏むとこんな感じです。

左下にbookの一言だけのリンクがあります。

クリックしていくと次の順で切り替わります。
http://booksgou.com/ (4月5日登録)
http://bookmylo.com/ (以下4月7日登録)
http://bookmono.com/
http://booksolo.com/
http://bookzoul.com/
http://bookmonn.com/ (以下4月12日登録)
http://bookvivi.com/
http://bookzula.com/
http://bookvila.com/
http://bookavio.com/
http://booksoco.com/
http://bookpolo.com/
http://bookgusa.com/
http://bookvoxy.com/
http://booktuba.com/
http://bookfula.com/
http://bookdolo.com/
http://bookarra.com/
http://bookaros.com/ (4月5日登録、接続不能)
これらのIPアドレスはur.phpと同じ46.252.128.55です。
FakeAV(偽アンチウイルス)が主力だと思いますが、
書店の目的がわかりません(被リンクを増やして
ページランクのようなものを上げて
IPのホワイトリスト入りを狙うとか…?)。

ついでに、古い話なのですが…。
FBI says you've been visiting illegal websites? It's a malware attack (Sophos)
偽FBI、私にもいっぱい来ていました。
反射的に捨ててしまいましたが、
次に来たら保存しようと思っていたら
来たのが偽FedExでした。
PDFのアイコンなexeで、ダウンローダーです。
FakeAVを拾ってきます。
http://variantov.com/pusk.exe (IPいっぱい)
http://kkojjors.net/pusk.exe
pusk.exe (Google)
メールは最近来なくなりましたが、
現物はしばらく拾えると思います。

2011-05-17

2011-05-22

昨日来た偽FedExは
FakeAVに加えて何かを拾ってきます。
http://variantov.com/trol.exe
http://kkojjors.net/trol.exe

2011-05-22

2011-05-24

いつもの。
http://asweds.com/ur.php

2011-05-24

2011-05-26

DDNSサービスを使い aaa.3-a.net aab.3-a.net …
と次々とウイルス設置場所を作っていた人が居ましたが
(hnw.3-a.netまでは見ました)、
いつもは昼頃に更新されるのですが
ここ2日ほど更新が遅いと思っていたら
別のDDNSサービスを探していたようです。
aaa.h1x.com … となりました。
既に aai.h1x.com まであったりします。
IPは1つですが。

2011-05-26

2011-05-28

いつもの。
http://koljjo.com/ur.php
またも日本国内のWebサイトが狙われる－「ライザムーン」攻撃ふたたび (Trendmicro)
日本国内のWebサイト「も」ですね。

2011-05-28

2011-05-31

いつもの。
http://trbbby.com/ur.php

2011-05-31

2011-06-04

いつもの。
http://bookpolo.com/ur.php
怪しげな書店(book～.com)が転用され始めました。

2011-06-04

2011-06-14

いつもの。
http://bookvivi.com/ur.php
今後は既出のbook～には触れないことにします。

偽UPSのメール。

PDFのアイコンなexeで、ダウンローダーです。
FakeAVを拾ってきます。
http://miliardov.com/pusk3.exe (IPいっぱい)
http://miliardov.com/trol.exe
http://miliardov.com/trol2.exe
http://kkojjors.net/f/g.php (何でしょう?)
これ以前にpusk2も来ていました。
pusk2.exe (Google)
pusk3.exe (Google)
次はpusk4.exeとtrol3.exeですね?

2011-06-14

2011-06-21

偽UPSのメール。
http://jsdrg43sdfgdf.com/pusk.exe (IPいっぱい)
http://jsdrg43sdfgdf.com/trol.exe

2011-06-21

2011-06-29

偽のクレジットカード会社(?)のメール。
http://mysteryforyou1.ru/pusk.exe (IPいっぱい)
http://mysteryforyou1.ru/trol.exe (404)