人事だけかも知れないけど、さっそく、何故かあやしいかと… 2ヶ月前からっずっとジーと見ました。アップタイムはこんな感じで↓61.205.55.43 Uptime 21.833 days 61.205.55.54 Uptime 24.215 days 61.205.55.55 Uptime 49.229 daysそのアップタイムによって下記の感染ページ/ダウンローダーを発見↓hxxp://hudehude.net/conf2.php (9月20日) hxxp://hulsx.net/conf2.php (9月20日)さらに履歴を見たら色んなドメインを使ってます↓hxxp://fekefeke.net/conf2.php (9月15日) hxxp://axksl.net/conf2.php (9月14日) hxxp://praves.net/conf2.php (9月1日)なので、直接ダウンロードはゼロバイト↓--22:06:38-- hxxp://hulsx.net/conf2.php => `conf2.php' Resolving hulsx.net... 61.205.55.43 Connecting to hulsx.net|61.205.55.43|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 0 [text/html] 22:06:38 (0.00 B/s) - `conf2.php' saved [0/0] ※残りの2件は同じように…その他ネットワークからだとyahooへ飛ばされます…--22:07:23-- http://hulsx.net/conf2.php => `conf2.php.2' Connecting to 192.168.7.11:8118... connected. Proxy request sent, awaiting response... 302 Found Location: http://yahoo.com/ [following] --22:07:25-- http://yahoo.com/ => `index.html' Connecting to 192.168.7.11:8118... connected. Proxy request sent, awaiting response... 301 Moved Permanently Location: http://www.yahoo.com/ [following] --22:07:27-- http://www.yahoo.com/ => `index.html' Connecting to 192.168.7.11:8118... connected. Proxy request sent, awaiting response... 302 Found Location: http://uk.yahoo.com/?p=us [following] --22:07:29-- http://uk.yahoo.com/?p=us => `index.html@p=us' Connecting to 192.168.7.11:8118... connected. Proxy request sent, awaiting response... 200 OK Length: unspecified [text/html] ※残りの2件は同じように…↑どう見てもexploit packっぽいですので、注意して監視した方がいいと思う… 直ぐに別のドメインで出て、また無くなってきました…だからあやしいです。 因みに国内のVPSネットワークですね。
{ マルウェア | 脆弱性 | スパム | 0day | ボットネット } のセキュリティ・ブログ
金曜日, 9月 21, 2012
#OCJP-064: あやしいconf2.phpホスト@日本IDC「61.205.55.43,54,55」
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿