インジェクション

http://52-o.cn/admin.js
→http://www.52yhs.cn/wm/new.htm
　→http://www.52yhs.cn/wm/14.htm
　　→http://www.52yhs.cn/arp/muma.exe
　→http://www.52yhs.cn/wm/as.htm
　　→http://www.52yhs.cn/arp/muma.exe
　→http://www.52yhs.cn/wm/fx.htm
　　→http://www.52yhs.cn/wm/mlink.html
　　→http://www.52yhs.cn/wm/xlink.html
　→http://www.52yhs.cn/wm/real10.htm
　→http://www.52yhs.cn/wm/real11.htm
　→http://www.52yhs.cn/wm/Bfyy.htm
　→http://www.52yhs.cn/wm/lzz.htm

2008-09-20

---

2008-09-18

http://52-o.cn/admin.js
→http://www.wenzhuoyyy.cn/1/1.htm
　→http://www.wenzhuoyyy.cn/1/index.html
　　→http://www.wenzhuoyyy.cn/1/06014.htm
　　　→http://www.wenzhuoyyy.cn/1/1.exe
　　→http://www.wenzhuoyyy.cn/1/08053.htm
　　→http://www.wenzhuoyyy.cn/1/ani.htm
　　→http://www.wenzhuoyyy.cn/1/ff.htm
　　　→http://www.wenzhuoyyy.cn/1/1.exe
　　→http://www.wenzhuoyyy.cn/1/net.htm
　　→http://www.wenzhuoyyy.cn/1/flash.htm
　　　→http://www.wenzhuoyyy.cn/1/i1.html
　　　　→http://www.wenzhuoyyy.cn/1/i*.swf (*=[16,28,45,47,64,115])
　　　→http://www.wenzhuoyyy.cn/1/f2.html
　　　　→http://www.wenzhuoyyy.cn/1/f*.swf (*=[16,28,45,47,64,115])
　　→http://www.wenzhuoyyy.cn/1/real10.htm
　　→http://www.wenzhuoyyy.cn/1/real11.htm
　　→http://www.wenzhuoyyy.cn/1/bfyy.htm
　　→http://www.wenzhuoyyy.cn/1/lzx.htm
　　→http://www.wenzhuoyyy.cn/1/uu.html
　　→http://www.wenzhuoyyy.cn/1/xl.htm

http://ww.ddos8.com/index.htm
→http://ww.ddos8.com/ilink.html
　→http://ww.ddos8.com/*i.swf (*=[16,28,45,47,64,115])
→http://ww.ddos8.com/flink.html
　→http://ww.ddos8.com/*f.swf (*=[16,28,45,47,64,115])
有害サイトの 591caobi.cn がiframeインジェクションされたようです。
共食いです。

2008-09-18

---

2008-09-17

http://52-o.cn/admin.js
→http://www.dns1999.cn/d3/zz3.htm
　→http://www.dns1999.cn/d3/123.htm
　　→http://www.dns1999.cn/14.htm
　　　→http://76vp.cn/1.exe
　　→http://www.dns1999.cn/as.htm
　　→http://www.dns1999.cn/office.htm
　　→http://www.dns1999.cn/flash.htm
　　　→http://www.dns1999.cn/fl/ifl.html
　　　　→http://www.dns1999.cn/fl/i*.swf (*=[16,28,45,47,64,115])
　　　→http://www.dns1999.cn/fl/ffl.html
　　　　→http://www.dns1999.cn/fl/f*.swf (*=[16,28,45,47,64,115])
　　→http://www.dns1999.cn/re10.htm
　　→http://www.dns1999.cn/re11.htm
　　→http://www.dns1999.cn/NCTAudioFile.htm
　　→http://www.dns1999.cn/lz.htm
　　→http://www.dns1999.cn/sina.htm
　　　→http://76vp.cn/2.exe
as.htmはMS08-053、WindowsMediaEncoderの脆弱性です。
13日にmilw0rmに載ったスクリプトをそのままコピーしたようです。
↓
http://52-o.cn/admin.js
→http://boaaa.3322.org/index.htm
　→http://boaaa.3322.org/06014.htm
　　→http://boaaa.3322.org/1.exe
　→http://boaaa.3322.org/net.htm
　→http://boaaa.3322.org/office.htm
　　→http://boaaa.3322.org/1.exe
　→http://boaaa.3322.org/flash.htm
　　→http://boaaa.3322.org/i1.html
　　　→http://boaaa.3322.org/i*.swf (*=[16,28,45,47,64,115])
　　→http://boaaa.3322.org/f2.html
　　　→http://boaaa.3322.org/f*.swf (*=[16,28,45,47,64,115])
　→http://boaaa.3322.org/real10.htm
　→http://boaaa.3322.org/real11.htm
　→http://boaaa.3322.org/Ultra.html
　→http://boaaa.3322.org/bfyy.htm
　→http://boaaa.3322.org/lzx.htm
Ultra.htmはUltraOffice(何これ?)の脆弱性のようです。
milw0rmにスクリプトが載ったのは先月27日です。

http://www.ms2a.cn/root/vop.htm
→http://www.ms2a.cn/root/vip.htm
→http://www.ms2a.cn/root/off.htm
→http://www.ms2a.cn/bbs/index.htm

2008-09-17

---

2008-09-16

http://www.ew1q.cn/root/vop.htm
→http://www.ew1q.cn/root/vip.htm
→http://www.ew1q.cn/root/off.htm
→http://www.ew1q.cn/bbs/index.htm

http://www.hxg001.cn/b5.htm
→http://max-1.cn/a5/fxx.htm
　→(略)

2008-09-16

---

2008-09-14

http://oo00oo.com.cn/news.html
→http://oo00oo.com.cn/ms06014.htm
　→http://ww442d.cn/xz/06.css
→http://oo00oo.com.cn/ss.html
　→http://ww442d.cn/xz/off.css
→http://oo00oo.com.cn/fx.htm
　→http://oo00oo.com.cn/ilink.html
　　→http://oo00oo.com.cn/i*.swf (*=[16,28,45,47,64,115])
　→http://oo00oo.com.cn/flink.html
　　→http://oo00oo.com.cn/f*.swf (*=[16,28,45,47,64,115])
→http://oo00oo.com.cn/Real.html
→http://oo00oo.com.cn/real.htm
→http://oo00oo.com.cn/NCTAudioFile.htm
→http://oo00oo.com.cn/GLWORLD.html
→http://oo00oo.com.cn/sina.htm
　→http://ww442d.cn/xz/sina.exe
→http://oo00oo.com.cn/UU.htm
　→http://ww442d.cn/UUSee.CAB