金曜日, 2月 08, 2013

#OCJP-090: littlelover.jpにマルウェアサイト転送(TDS)のコードを発見!

下記のURLアットlittlelover.jp↓
hxxp://littlelover.jp/
hxxp://www.littlelover.jp/
hxxp://littlelover.jp/index.html
hxxp://www.littlelover.jp/index.html
現在アップされている状況で↓
--2013-02-08 15:23:35--  hxxp://littlelover.jp/
Resolving littlelover.jp... seconds 0.00, 219.94.128.174
Caching littlelover.jp => 219.94.128.174
Connecting to littlelover.jp|219.94.128.174|:80... seconds 0.00, connected.
  :
GET / HTTP/1.0
Host: littlelover.jp
Connection: keep-alive
HTTP request sent, awaiting response...
  :
HTTP/1.1 200 OK
Date: Fri, 08 Feb 2013 06:23:32 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Last-Modified: Tue, 15 Jan 2013 11:04:15 GMT
ETag: "1840-50f537af"
Accept-Ranges: bytes
Content-Length: 6208
Keep-Alive: timeout=5, max=20
Connection: Keep-Alive
Content-Type: text/html
200 OK
Length: 6208 (6.1K) [text/html]
Saving to: `index.html'
2013-02-08 15:23:35 (127 MB/s) - `index.html' saved [6208/6208]
index.htmlがハッキングされたそうです、ライン46版に下記の転送JS/コードを発見しました↓

そのURL↑はマルウェアTDS仕組みURL(Traffic Directions System)ですので、
サーバのログに色々確認した方がいいと思います。
本件のTDS攻撃パターンについて、リファレンス→【PASTEBIN】
恐らくサーバログイン管理情報が漏れたか、脆弱性を見つけてハッキングされたかと思います。それとも、.htaccessとphp.iniのファイル迄に御確認お願いします。
直さないとまた変な転送コードが出てしまう可能性が高いです(今回は2番目の発見)

ファイルの変更日付けを見たら恐らく事件の日付けは今年の1月15日です。
ドメイン情報↓
[Domain Name]                   LITTLELOVER.JP
[Registrant]                    Ichiro Mawatari
[Name Server]                   dns01.muumuu-domain.com
[Name Server]                   dns02.muumuu-domain.com
[Created on]                    2005/11/15
[Expires on]                    2013/11/30
[Status]                        Active
[Last Updated]                  2012/12/01 01:05:07 (JST)
Contact Information:
[Name]                          paperboy&co.
[Email]                         admin@muumuu-domain.com
[Web Page]                      http://muumuu-domain.com/?mode=whois-policy
[Postal code]                   810-0001
[Postal Address]                Tenjin Prime 8F, 2-7-21, Tenjin
                                Chuo-ku, Fukuoka-City, Fukuoka
                                8100001,Japan
[Phone]                         092-713-7999
[Fax]                           092-713-7944
IP/IDC情報↓
inetnum:        219.94.128.0 - 219.94.255.255
netname:        SAKURA-OSAKA
descr:          SAKURA Internet Inc.
descr:          1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan
country:        JP

0 件のコメント:

コメントを投稿