http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.181.97.153/ad_iframe.html
http://202.229.187.26/ad_iframe.html
http://210.153.116.18/ad_iframe.html
(2008-06-17 644バイト)
忘れられていた1台も更新されました。
DNSに140が復帰しました。
59.106.22.138
202.181.97.140
202.229.187.26
210.153.116.18
2008-07-02
2008-06-27
また駆除されました。
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.181.97.153/ad_iframe.html
http://202.229.187.26/ad_iframe.html
(2008-06-17 644バイト)
また1台忘れています。
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)
DNSでの攻防戦
ns1.value-domain.com
ns2.value-domain.com
ns3.value-domain.com
→j1.ax.xrea.com
59.106.22.138
202.181.97.140
202.181.97.153 (汚染)
202.229.187.26
210.153.116.18
↓
153を切り離します。
59.106.22.138
202.181.97.140
202.229.187.26
210.153.116.18
↓
なぜか153が復帰し、140と共に不安定になります。
59.106.22.138
202.181.97.140 (汚染?)
202.181.97.153 (汚染?)
202.229.187.26
210.153.116.18
↓
140と153を切り離します。
59.106.22.138
202.229.187.26
210.153.116.18
作業ミスも考えられますが、これらの動きと同調するようにfccja.comが接続不能になったことから
何らかの攻撃があったものと考えたほうがよさそうです。
2008-06-27
2008-06-26
またやられました。
http://202.181.97.153/ad_iframe.html
(2008-06-26 982バイト)
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.229.187.26/ad_iframe.html
(2008-06-17 644バイト)
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)
8日にscriptタグを注入されたファイルと全く同じです。
広告のscriptタグもありますが、17日に差し替えたファイルにはiframeタグしかありません。
17日のファイルに新たに注入されたのではなく、8日のファイルに戻っていることになります。
トロイは更新されています。
http://fccja.com:81/jp.js
→http://fccja.com:81/
→http://fccja.com:81/show.php
→http://fccja.com:81/*.swf
→http://fccja.com:81/taa.gif (2008-06-18 73,728バイト)
検体は各社に提出済みです。
2008-06-26
2008-06-17
駆除されました。
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.181.97.153/ad_iframe.html
http://202.229.187.26/ad_iframe.html
(2008-06-17 644バイト)
1台忘れています。
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)
2008-06-17
2008-06-13
ad.xrea.comはimgj.xrea.comに転送(HTTP 302)されます。
imgj.xrea.comはj1.ax.xrea.comの別名(CNAME)で、
j1.ax.xrea.comは5つのIPアドレスを持っています。
http://59.106.22.138/ad_iframe.html
http://202.181.97.140/ad_iframe.html
http://202.229.187.26/ad_iframe.html
http://210.153.116.18/ad_iframe.html
(2005-06-10 909バイト)
1台が他と異なります。
http://202.181.97.153/ad_iframe.html
(2008-06-08 982バイト)
http://1039045744:81/jp.js
が注入された有害なスクリプトです。
1039045744は61.238.148.112と同じなので
http://61.238.148.112:81/jp.js
とも書けます(ping 1039045744で確認できます)。
http://1039045744:81/jp.js (http://61.238.148.112:81/jp.js)
→http://1039045744:81/
→http://1039045744:81/show.php
→http://1039045744:81/*.swf
解析を避けるためかshow.phpは2回目以降のアクセスではHTTP 404を装います。
*=[i16,i28,i45,i47,i64,i115,f16,f28,f45,f47,f64,f115]、
iはActiveXコントロール(IE)、fはNetscapeプラグイン(Fx、Safari、Operaなど)、
数字はFlashPlayer9.0.xxのビルドです(IE+FlashPlayer9.0.115ならi115.swf)。
http://1039045744:81/i115.swf (http://61.238.148.112:81/i115.swf)
http://1039045744:81/f115.swf (http://61.238.148.112:81/f115.swf)
fccja.com 61.238.148.112
3月か4月に書いたFC2ブログのアカウントハック犯が復活していたようです。
http://fccja.com:81/jp.js
→http://fccja.com:81/
→http://fccja.com:81/show.php
→http://fccja.com:81/*.swf
→http://fccja.com:81/taa.gif (2008-06-07 69,632バイト)
検体は各社に提出済みです。
XREAは
バリュードメインと組み合わせて独自ドメインで運用する人も多いため、
URIに"xrea"が入っていないことがあります。
フォーラムで詳細な話が出てこないのが気になりますが、
早急な対応を望みます(6回に1回踏む確率です)。
記事にするタイミングを逃した
さくらインターネットのARPスプーフィング。
[06月02日] 専用サーバ 10M スタンダード一部(219.94.145.0〜127)弊社ネットワーク内ホスティングサーバへの攻撃による影響について