月曜日, 2月 04, 2013

#OCJP-087: 「hpns-gp.com」のIncognitoツール感染コードを発見!

下記のURLに
hpns-gp.com/airin-mm/cgi/kinta-sun01/

ダウンロード証拠↓
--2013-02-04 23:39:55--  hxxp://hpns-gp.com/airin-mm/cgi/kinta-sun01/
Resolving hpns-gp.com... seconds 0.00, 59.106.13.69
Caching hpns-gp.com => 59.106.13.69
Connecting to hpns-gp.com|59.106.13.69|:80... seconds 0.00, connected.
:
GET /airin-mm/cgi/kinta-sun01/ HTTP/1.0
Host: hpns-gp.com
:
HTTP request sent, awaiting response...
:
HTTP/1.1 200 OK
Date: Mon, 04 Feb 2013 14:39:54 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Connection: close
Content-Type: text/html
:
200 OK
Length: unspecified [text/html]
Saving to: `index.html
下記のマルウェア感染コードを発見しました。

↑赤色のマークはマルウェア感染コードで紫色マークはTDSの転送悪いコードですね。
赤色マークのコードをDECODEしたら下記のコードになり、

↑マルウェア感染URL、Incognito ExploitKitの感染経由ですね。

日本のドメインですが…
Domain Name: HPNS-GP.COM
Registrar: GMO INTERNET, INC. DBA ONAMAE.COM
Whois Server: whois.discount-domain.com
Referral URL: http://www.onamae.com
Name Server: NS1.DNS.NE.JP
Name Server: NS2.DNS.NE.JP
Status: clientTransferProhibited
Updated Date: 24-jul-2012
Creation Date: 27-jul-2005
Expiration Date: 27-jul-2013

マルウェア感染コードを削除して下さい、
そしてサーバの管理ログイン情報を作り直してと脆弱性を御確認して下さい。

2 件のコメント:

  1. http://wepawet.cs.ucsb.edu/view.php?hash=14d511ed3049c91fb00785889703de36&t=1359317103&type=js
    http://wepawet.cs.ucsb.edu/view.php?hash=14d511ed3049c91fb00785889703de36&t=1360016051&type=js
    ガンブラー(古)もありますねぇ。。。
    http://www.siteadvisor.com/sites/addonrock.ru/msgpage

    返信削除
  2. この「59.106.13.69」のIP自体があやしいです、何回もマルウェア幹線を確認しました、すでに悪いやつらがいつでもサイトにアクセスが出来てしまうかと思われ、サイトの脆弱性の問題よりもログイン管理情報が盗まれてしまったかと思います。
    削除だけだと、また来る可能性が高いですね…

    返信削除