火曜日, 11月 06, 2012

#OCJP-081: 「202.212.235.206 / renai-kaihi.jp」のlink.htmlにマルウェア転送コードを発見!

下記のウェブサイトに↓
202.212.235.206 / renai-kaihi.jp

下記のダウンロードURL↓
--18:09:37--  http://renai-kaihi.jp/link.html
           => `link.html'
Resolving renai-kaihi.jp... 202.212.235.206
Connecting to renai-kaihi.jp|202.212.235.206|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 8,665 (8.5K) [text/html]
18:09:37 (759.83 KB/s) - `link.html' saved [8665/8665]

link.htmlライン17番<body>の次にマルウェア転送コードを発見↓


↑インジェクトされたコードです、FTPログイン情報が漏れたか、
脆弱性でハッキンッグされたかどっちかですね、

マルウェアホストcabaniaseleden.com.arのIPは200.58.122.104 (zephia.com.ar)になり、
現在マルウェアサイトでRO登録されています。

リファレンス↓
http://stackoverflow.com/questions/11243114/very-confusing-return-data-with-ajax-call
http://labs.sucuri.net/?details=cabaniaseleden.com.ar

早めにマルウェアコードを削除して下さい、サーバのFTPアカウントを変更して下さい。
Posted by unixfreaxjp at 6:24 午後

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)