土曜日, 10月 20, 2012

#OCJP-079:3r1z-ichinomiyakita.lc334a.jpの詐欺サイトから入れたHTMLファイルを発見!

lc334a.jpのWordPressサイトのURLに外からインジェクトされた海外の詐欺サイトの「yahoo.html」リダイレックターのページを発見しました。URL情報とダウンロード証拠は下記となります↓
--17:27:54--  hxxp://3r1z-ichinomiyakita.lc334a.jp/wp/wp-content/plugins/wp-multibyte-patch/yahoo.html
           => `yahoo.html'
Resolving 3r1z-ichinomiyakita.lc334a.jp... 219.164.238.61
Connecting to 3r1z-ichinomiyakita.lc334a.jp|219.164.238.61|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: 227 [text/html]
17:27:54 (7.91 MB/s) - `yahoo.html' saved [227/227]

yahoo.htmkのファイル中身は↓
$ cat yahoo.html
<h1>
You are here because one of your friends <br> have invited you.<br>
Page loading, please wait....
</h1>
<meta hxxp-equiv="refresh" content="0; url=hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/"> 

ブラウザーで見たら↓

↑メッセージを見たら、Twitter又はFacebookからの転送メッセージっぽいですね、
さらにアクセスをすると詐欺サイトが出ますね。証拠は下記となります。

上記のハッキングされたURLをrefererにして、ターゲットはなんちゃらfxnwsonline.comのURLにhxxp/GETをすると下記の動きが出ます↓
[hxxp] URL: hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/ 
       (Status: 200, Referrer: None)
[hxxp] URL: hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/ 
       (Content-type: text/html, MD5: 560a987bcaf0e69295df09f79c31d8d1)
↑これでindex.htmlをゲットが出来て、中身を見るとまた変なJSコードのリンクが入って↓
:

 <====ここ!
   :
それで、アクセスをすると↓
[hxxp] URL: hxxps://s-static.ak.fbcdn.net/rsrc.php/v2/yr/r/Q9960T8nf3v.js 
       (Status: 200, Referrer: hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/)
[hxxp] URL: hxxps://s-static.ak.fbcdn.net/rsrc.php/v2/yr/r/Q9960T8nf3v.js 
       (Content-type: application/x-javascript; charset=utf-8, MD5: e4b78708016dbf8e5f549d4fa9d64ef9)
↑jsファイルをダウンロードされて、実行してしまいますね。 そのJSコードはこんな感じで↓
$ cat Q9960T8nf3v.js|more

/*1338255455,176833976*/ 
if (window.CavalryLogger) { CavalryLogger.start_js(["Mw+jI"]); }
  :
  :
window.__DEV__=window.__DEV__||0;
  :
  :
if(!JSON.stringify.__fb)JSON.stringify=function(a){function b(){var c=a.apply(th..
is,arguments);if(!c)return c;return c.replace(/[%\u2028\u2029]/g,function(d){var..
 e=d.charCodeAt(0).toString(16);return '\\u0000'.substring(0,6-e.length)+e;});}b..
.__fb=true;return b;}(JSON.stringify);
  :
  :
function bagofholding(){}function bagof(a){return function(){return a;}
rototype.reduce=null;Array.prototype.reduceRight=null;document.document
lassName=document.documentElement.className.replace('no_js','');
(function(a){if(a.require)return;var b={},c={},d={},e=0,f=1,g=2,h=Objec
pe.hasOwnProperty;function i(t){var u=b[t],v,w,x;if(!b[t]){x='Requiring
module "'+t+'"';throw new Error(x);}if(u.waiting&&u.special&g)l();if(u.
x='Requiring module "'+t+'" with unresolved dependencies';throw new Erro
(!u.exports){var y=u.exports={},z=u.factory;if(Object.prototype.toString
==='[object Function]'){var aa=[],ba=u.dependencies,ca=ba.length;if(u.sp
     :
     :
);if(!c[x][t])v++;c[x][t]=1;}}u.waiting=v;if(!v)p(t);}function p(t){var u
!r)r=setTimeout(function(){l();r=false;},9);};a.__d=function(t,u,v,w){u=[
__d("copyProperties",[],function(a,b,c,d,e,f){function g(h,i,j,k,l,m,n){h
__d("Env",["copyProperties"],function(a,b,c,d,e,f){var g=b('copyPropertie
__d("ErrorUtils",["Env"],function(a,b,c,d,e,f){var g=b('Env'),h=[],i=[],j
q=l(q);!r;if(i.length<j)i.push(q);for(var s=0;s<h.length;s++)try{h[s](q);
,applyWithGuard:n,addListener:p};});
__d("hasArrayNature",[],function(a,b,c,d,e,f){function g(h){return (!!h&&
__d("createArrayFrom",["hasArrayNature"],function(a,b,c,d,e,f){var g=b('h
__d("Arbiter",["ErrorUtils","copyProperties","createArrayFrom","hasArrayN
SSAGE:'livemessage',BOOTLOAD:'bootload',FUNCTION_EXTENSION:'function_ext'
↑ブラウザー情報とその他情報が取られてしまう可能性が高いですね。などなど…

現在詐欺サーバが未だアップされています↓

ともかく、転送先のページが有名な詐欺サイトですので、現在ダウンしましたが、
感染されたWordPressが未だ残っているので、またハッキングされる可能性があり、
FTPアカウントとWPバーションの脆弱性を直した方がいいと思いますね。
その前にyahoo.htmlファイルを削除して下さい。

0 件のコメント:

コメントを投稿