fccja.com

XREAの広告に有害なスクリプトが注入されています。
広告はこんな感じです。
http://ad.xrea.com/ad_iframe.fcg
http://imgj.xrea.com/ad_iframe.html

2008-06-17 駆除されました。
無料ユーザー向け広告配信サーバーの不具合について
2008-06-26 またやられました。
2008-06-27 また駆除されました。

http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.181.97.153/ad_iframe.html
http://202.229.187.26/ad_iframe.html
http://210.153.116.18/ad_iframe.html
(2008-06-17 644バイト)
忘れられていた1台も更新されました。

DNSに140が復帰しました。
59.106.22.138
202.181.97.140
202.229.187.26
210.153.116.18

2008-07-02

2008-06-27

また駆除されました。
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.181.97.153/ad_iframe.html
http://202.229.187.26/ad_iframe.html
(2008-06-17 644バイト)
また1台忘れています。
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)

DNSでの攻防戦
ns1.value-domain.com
ns2.value-domain.com
ns3.value-domain.com
→j1.ax.xrea.com

59.106.22.138
202.181.97.140
202.181.97.153 (汚染)
202.229.187.26
210.153.116.18
↓
153を切り離します。
59.106.22.138
202.181.97.140
202.229.187.26
210.153.116.18
↓
なぜか153が復帰し、140と共に不安定になります。
59.106.22.138
202.181.97.140 (汚染?)
202.181.97.153 (汚染?)
202.229.187.26
210.153.116.18
↓
140と153を切り離します。
59.106.22.138
202.229.187.26
210.153.116.18

作業ミスも考えられますが、これらの動きと同調するようにfccja.comが接続不能になったことから
何らかの攻撃があったものと考えたほうがよさそうです。

2008-06-27

2008-06-26

またやられました。
http://202.181.97.153/ad_iframe.html

(2008-06-26 982バイト)
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.229.187.26/ad_iframe.html
(2008-06-17 644バイト)
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)

8日にscriptタグを注入されたファイルと全く同じです。
広告のscriptタグもありますが、17日に差し替えたファイルにはiframeタグしかありません。
17日のファイルに新たに注入されたのではなく、8日のファイルに戻っていることになります。
トロイは更新されています。
http://fccja.com:81/jp.js
→http://fccja.com:81/
　→http://fccja.com:81/show.php
　　→http://fccja.com:81/*.swf
　　　→http://fccja.com:81/taa.gif (2008-06-18 73,728バイト)

検体は各社に提出済みです。

2008-06-26

2008-06-17

駆除されました。
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.181.97.153/ad_iframe.html
http://202.229.187.26/ad_iframe.html
(2008-06-17 644バイト)
1台忘れています。
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)

2008-06-17

2008-06-13

ad.xrea.comはimgj.xrea.comに転送(HTTP 302)されます。

imgj.xrea.comはj1.ax.xrea.comの別名(CNAME)で、
j1.ax.xrea.comは5つのIPアドレスを持っています。

http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.229.187.26/ad_iframe.html
http://210.153.116.18/ad_iframe.html

(2005-06-10 909バイト)
1台が他と異なります。
http://202.181.97.153/ad_iframe.html

(2008-06-08 982バイト)

http://1039045744:81/jp.js
が注入された有害なスクリプトです。
1039045744は61.238.148.112と同じなので
http://61.238.148.112:81/jp.js
とも書けます(ping 1039045744で確認できます)。
http://1039045744:81/jp.js (http://61.238.148.112:81/jp.js)
→http://1039045744:81/
　→http://1039045744:81/show.php
　　→http://1039045744:81/*.swf
解析を避けるためかshow.phpは2回目以降のアクセスではHTTP 404を装います。
*=[i16,i28,i45,i47,i64,i115,f16,f28,f45,f47,f64,f115]、
iはActiveXコントロール(IE)、fはNetscapeプラグイン(Fx、Safari、Operaなど)、
数字はFlashPlayer9.0.xxのビルドです(IE+FlashPlayer9.0.115ならi115.swf)。

http://1039045744:81/i115.swf (http://61.238.148.112:81/i115.swf)
http://1039045744:81/f115.swf (http://61.238.148.112:81/f115.swf)

fccja.com 61.238.148.112
3月か4月に書いたFC2ブログのアカウントハック犯が復活していたようです。

http://fccja.com:81/jp.js
→http://fccja.com:81/
　→http://fccja.com:81/show.php
　　→http://fccja.com:81/*.swf
　　　→http://fccja.com:81/taa.gif (2008-06-07 69,632バイト)

検体は各社に提出済みです。

XREAはバリュードメインと組み合わせて独自ドメインで運用する人も多いため、
URIに"xrea"が入っていないことがあります。
フォーラムで詳細な話が出てこないのが気になりますが、
早急な対応を望みます(6回に1回踏む確率です)。

記事にするタイミングを逃したさくらインターネットのARPスプーフィング。
[06月02日] 専用サーバ 10M スタンダード一部（219.94.145.0〜127）
弊社ネットワーク内ホスティングサーバへの攻撃による影響について