--17:27:54-- hxxp://3r1z-ichinomiyakita.lc334a.jp/wp/wp-content/plugins/wp-multibyte-patch/yahoo.html
=> `yahoo.html'
Resolving 3r1z-ichinomiyakita.lc334a.jp... 219.164.238.61
Connecting to 3r1z-ichinomiyakita.lc334a.jp|219.164.238.61|:80... connected.
hxxp request sent, awaiting response... 200 OK
Length: 227 [text/html]
17:27:54 (7.91 MB/s) - `yahoo.html' saved [227/227]yahoo.htmkのファイル中身は↓
$ cat yahoo.html <h1> You are here because one of your friends <br> have invited you.<br> Page loading, please wait.... </h1> <meta hxxp-equiv="refresh" content="0; url=hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/">
ブラウザーで見たら↓
↑メッセージを見たら、Twitter又はFacebookからの転送メッセージっぽいですね、
さらにアクセスをすると詐欺サイトが出ますね。証拠は下記となります。
上記のハッキングされたURLをrefererにして、ターゲットはなんちゃらfxnwsonline.comのURLにhxxp/GETをすると下記の動きが出ます↓
[hxxp] URL: hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/
(Status: 200, Referrer: None)
[hxxp] URL: hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/
(Content-type: text/html, MD5: 560a987bcaf0e69295df09f79c31d8d1)↑これでindex.htmlをゲットが出来て、中身を見るとまた変なJSコードのリンクが入って↓: <====ここ! :それで、アクセスをすると↓
[hxxp] URL: hxxps://s-static.ak.fbcdn.net/rsrc.php/v2/yr/r/Q9960T8nf3v.js
(Status: 200, Referrer: hxxp://www.foxnews.com.happyhcgultracustomers.new.fxnwsonline.com/)
[hxxp] URL: hxxps://s-static.ak.fbcdn.net/rsrc.php/v2/yr/r/Q9960T8nf3v.js
(Content-type: application/x-javascript; charset=utf-8, MD5: e4b78708016dbf8e5f549d4fa9d64ef9)↑jsファイルをダウンロードされて、実行してしまいますね。
そのJSコードはこんな感じで↓
$ cat Q9960T8nf3v.js|more
/*1338255455,176833976*/
if (window.CavalryLogger) { CavalryLogger.start_js(["Mw+jI"]); }
:
:
window.__DEV__=window.__DEV__||0;
:
:
if(!JSON.stringify.__fb)JSON.stringify=function(a){function b(){var c=a.apply(th..
is,arguments);if(!c)return c;return c.replace(/[%\u2028\u2029]/g,function(d){var..
e=d.charCodeAt(0).toString(16);return '\\u0000'.substring(0,6-e.length)+e;});}b..
.__fb=true;return b;}(JSON.stringify);
:
:
function bagofholding(){}function bagof(a){return function(){return a;}
rototype.reduce=null;Array.prototype.reduceRight=null;document.document
lassName=document.documentElement.className.replace('no_js','');
(function(a){if(a.require)return;var b={},c={},d={},e=0,f=1,g=2,h=Objec
pe.hasOwnProperty;function i(t){var u=b[t],v,w,x;if(!b[t]){x='Requiring
module "'+t+'"';throw new Error(x);}if(u.waiting&&u.special&g)l();if(u.
x='Requiring module "'+t+'" with unresolved dependencies';throw new Erro
(!u.exports){var y=u.exports={},z=u.factory;if(Object.prototype.toString
==='[object Function]'){var aa=[],ba=u.dependencies,ca=ba.length;if(u.sp
:
:
);if(!c[x][t])v++;c[x][t]=1;}}u.waiting=v;if(!v)p(t);}function p(t){var u
!r)r=setTimeout(function(){l();r=false;},9);};a.__d=function(t,u,v,w){u=[
__d("copyProperties",[],function(a,b,c,d,e,f){function g(h,i,j,k,l,m,n){h
__d("Env",["copyProperties"],function(a,b,c,d,e,f){var g=b('copyPropertie
__d("ErrorUtils",["Env"],function(a,b,c,d,e,f){var g=b('Env'),h=[],i=[],j
q=l(q);!r;if(i.length<j)i.push(q);for(var s=0;s<h.length;s++)try{h[s](q);
,applyWithGuard:n,addListener:p};});
__d("hasArrayNature",[],function(a,b,c,d,e,f){function g(h){return (!!h&&
__d("createArrayFrom",["hasArrayNature"],function(a,b,c,d,e,f){var g=b('h
__d("Arbiter",["ErrorUtils","copyProperties","createArrayFrom","hasArrayN
SSAGE:'livemessage',BOOTLOAD:'bootload',FUNCTION_EXTENSION:'function_ext'↑ブラウザー情報とその他情報が取られてしまう可能性が高いですね。などなど…
現在詐欺サーバが未だアップされています↓
ともかく、転送先のページが有名な詐欺サイトですので、現在ダウンしましたが、
感染されたWordPressが未だ残っているので、またハッキングされる可能性があり、
FTPアカウントとWPバーションの脆弱性を直した方がいいと思いますね。
その前にyahoo.htmlファイルを削除して下さい。
0 件のコメント:
コメントを投稿