忍者ブログ

ハルファ紀行

インジェクション

simplemadsterck.in 2011-10-20
personalcheckerre.in 2011-10-19
savepzsoft.in 2011-10-19
topasarmy.in 2011-10-19
topoxholder.in 2011-10-18
nbnjki.com 2011-10-16
lineutsafe.in 2011-10-13
lineyesafe.in 2011-10-13
nbnjkl.com 2011-10-13
strongazsuite.in 2011-10-10
strongdefenseiz.in 2011-10-10
smart-scanereq.in 2011-10-06
jjghui.com 2011-10-05
bustdy.in 2011-10-04
いつもの。
http://jjghui.com/urchin.js
→http://www3.bustdy.in/

2011-10-07
2011-10-09

いつもの。
http://jjghui.com/urchin.js
→http://www3.smart-scanereq.in/

2011-10-09
2011-10-10

いつもの。
http://jjghui.com/urchin.js
→http://www3.personal-defenseuoh.rr.nu/
→http://www3.strongipq-antivir.rr.nu/
→http://www3.topscanertho.rr.nu/
→http://www3.firstkiysuite.rr.nu/
→http://www3.savetcpnetwork.rr.nu/
際限がないので今後はrr.nuではなくなったら追記します。

2011-10-10
2011-10-12

いつもの。
http://jjghui.com/urchin.js
→http://www3.strongdefenseiz.in/

2011-10-12
2011-10-13

いつもの。
http://jjghui.com/urchin.js
→http://www3.strongazsuite.in/
http://jjghui.com/urchin.js mass infection ongoing (Armorize)
Mass infections from jjghui.com/urchin.js (SQL injection) (Sucuri)

2011-10-13
2011-10-14

いつもの。
http://nbnjkl.com/urchin.js
→http://www3.lineutsafe.in/

2011-10-14
2011-10-15

いつもの。
http://nbnjkl.com/urchin.js
→http://www3.lineyesafe.in/

2011-10-15
2011-10-16

osCommerce。
http://domboware.hu/js/
UNIX時間が表示されるだけですが、
これから仕掛けるのですかね。
↓数時間後。
http://domboware.hu/js/
→http://domboware.hu/js/jquery.php
 →http://bidonionis.orge.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34
このIDは見覚えがありますね。

2011-10-16
2011-10-19

いつもの。
http://nbnjki.com/urchin.js
→http://www3.topoxholder.in/

2011-10-19
2011-10-20

いつもの。
http://nbnjki.com/urchin.js
→http://www3.topasarmy.in/
→http://www3.savepzsoft.in/
→http://www3.personalcheckerre.in/
Dissecting the Ongoing Mass SQL Injection Attack (Dancho Danchev's Blog)

2011-10-20
2011-10-21

osCommerce。
http://infocenc.com.br/js/
→http://drhousenews.orge.pl/iframe.php?id=25y8z097ife4v3uzkdkty169flx367g
以前からある物とほぼ同じですが、IDが異なります。
http://domboware.hu/js/
→http://drhousenews.orge.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34

いつもの。
http://nbnjki.com/urchin.js
→http://www3.simplemadsterck.in/
このinドメインが変わる間隔がよくわかりません
(たぶんたくさん見逃しています)。
Ongoing analysis of the web infection (Kaspersky)
Urchins, LizaMoons, Tigers, and Bears (McAfee)

2011-10-21
2011-10-31

The True Face of Urchin (Symantec)
騒がれ過ぎたので今は沈静化しています。
また忘れた頃に復活するでしょう。

2011-10-31
2011-11-01

osCommerce。
http://aleba.com.br/js/
→http://lopotushe4ka.orge.pl/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34
難読化していません。
騒がれたurchin.js系と(巻き添えで検知されるほど)
スクリプトが酷似していた為かもしれませんね。
AVG Web Threat Weekly Update- Week 43 (AVG)
PR

コメント

カレンダー

10 2024/11 12
S M T W T F S
1 2
3 4 5 6
7
 8 9
10 11 12 13 14 15
16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

リンク

管理画面
新しい記事を書く

カテゴリー

未選択 ( 0 )
ウイルス ( 196 )
PC ( 501 )

フリーエリア

最新コメント

感謝
[09/14 ヨシノ]
無題
[10/19 Dolly]
無題
[08/22 まとめ臨時。]

最新記事

PDF
(11/16)
PDF
(11/07)
PDF
(10/29)
Java
(10/16)
PDF
(10/05)

最新トラックバック

プロフィール

HN:
Ilion
性別:
非公開

バーコード

RSS

RSS 0.91
RSS 1.0
RSS 2.0

ブログ内検索

アーカイブ

2024 年 11 月 ( 2 )
2024 年 10 月 ( 3 )
2024 年 09 月 ( 2 )
2024 年 08 月 ( 3 )
2024 年 07 月 ( 4 )

最古記事

dda3.netその1
(03/13)
hellh.netその1
(03/13)
dda3.netその2
(03/14)
hellh.netその2
(03/14)
dda3.netとhellh.netその3
(03/14)