どこかに有害なスクリプトが注入されていると思います
(ポートを突付いたら出てきただけなので実態は不明です)。
| http://1039045744:99/jp.js |
8月に
XREAに注入されたのは
| http://1039045744:88/jp.js |
ですので、TCPポートが違うだけで同一犯です。
2008-09-08
| http://1039045726:99/jp.js |
IPが増えました。
2008-09-28
TCPポートを変更して
実戦投入されました。
http://1039045726:99/jp.js
→http://1039045726:99
→http://1039045726:99/show.php
→http://1039045726:99/*.swf
(*=[ia115-2,ia64-2,ia47-2,ia45-2,ia28-2,ia16-2,ia00-2,fb115-2,fb60-2,fb47-2,fb45-2,fb28-2,fb16-2])
→http://1039045726:99/tba.gif.gif
1039045726 = 61.238.148.94
2008-09-08
2008-09-05
http://1039045744:99/jp.js
→http://1039045744:99/
→http://1039045744:99/show.php
→http://1039045744:99/*.swf
(*=[ia115-2,ia64-2,ia47-2,ia45-2,ia28-2,ia16-2,ia00-2,fb115-2,fb60-2,fb47-2,fb45-2,fb28-2,fb16-2])
→http://1039045744:99/tba.gif.gif
1039045744 = 61.238.148.112
更新履歴(笑)
tba.gif.gif (2008-09-05 01:38 28,672バイト)
tba.gif.gif (2008-09-08 02:23 8,192バイト)
