日曜日, 3月 10, 2013

#OCJP-097: またSAKURA-IDCのRedKit Exploit Kitの感染事件、今回は「219.94.203.161 / trnd05.com」に「Kelihos」トロイのダウンロードURLを発見しました。

下記のIP/ドメイン...
219.94.203.161 / trnd05.com
下記のURL...
hxxp://trnd05.com/mb/
hxxp://trnd05.com/mb/index.html
ダウンロード証拠…
--2013-03-10 17:50:59--  hxxp://trnd05.com/mb/
Resolving trnd05.com... seconds 0.00, 219.94.203.161
Caching trnd05.com => 219.94.203.161
Connecting to trnd05.com|219.94.203.161|:80... seconds 0.00, connected.
  :
GET /mb/ HTTP/1.0
Host: trnd05.com
HTTP request sent, awaiting response...
  :
HTTP/1.1 200 OK
Date: Sun, 10 Mar 2013 08:50:54 GMT
Server: Apache
Last-Modified: Sat, 16 Feb 2013 23:20:18 GMT
ETag: "130811fa-1889-4d5dfbc27f080"
Accept-Ranges: bytes
Content-Length: 6281
Keep-Alive: timeout=2, max=20
Connection: Keep-Alive
Content-Type: text/html
200 OK
Registered socket 1896 for persistent reuse.
Length: 6281 (6.1K) [text/html]
Saving to: `index.html'
2013-03-10 17:51:00 (3.03 MB/s) - `index.html' saved [6281/6281]
下記のマルウェア感染URLを発見↓

↑そのURLは「RedKit Exploit Kit」経由の「Kelihos」マルウェア感染URLです。

ホストにあるドメインは全てRedKit感染で使われています↓
arcade-area.com   A  50.116.97.208
magicbluepillblog.com A  50.116.97.208
本件もサーバの管理ログイン情報が漏れてしまったようです。

2 件のコメント:

  1. やっと出ましたね。監視している方々にはお疲れ様です。これで証拠が出ましたので、真剣にサーバのhtml/phpコンテンツ、.htaccess、php.ini迄に御確認下さい。それと、管理ログイン情報が漏れたので、変更が必要です。

    返信削除
  2. お疲れ様です。
    こちらも別件のRedKit Redirectorを報告し終えた処です。
    やっとここを見てます。
    RedKitの感染が爆発的に増えているようなので、検索するのを躊躇しちゃいますね。

    返信削除