hxxp://littlelover.jp/ hxxp://www.littlelover.jp/ hxxp://littlelover.jp/index.html hxxp://www.littlelover.jp/index.html現在アップされている状況で↓
--2013-02-08 15:23:35-- hxxp://littlelover.jp/ Resolving littlelover.jp... seconds 0.00, 219.94.128.174 Caching littlelover.jp => 219.94.128.174 Connecting to littlelover.jp|219.94.128.174|:80... seconds 0.00, connected. : GET / HTTP/1.0 Host: littlelover.jp Connection: keep-alive HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Fri, 08 Feb 2013 06:23:32 GMT Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e Last-Modified: Tue, 15 Jan 2013 11:04:15 GMT ETag: "1840-50f537af" Accept-Ranges: bytes Content-Length: 6208 Keep-Alive: timeout=5, max=20 Connection: Keep-Alive Content-Type: text/html 200 OK Length: 6208 (6.1K) [text/html] Saving to: `index.html' 2013-02-08 15:23:35 (127 MB/s) - `index.html' saved [6208/6208]index.htmlがハッキングされたそうです、ライン46版に下記の転送JS/コードを発見しました↓
そのURL↑はマルウェアTDS仕組みURL(Traffic Directions System)ですので、
サーバのログに色々確認した方がいいと思います。
本件のTDS攻撃パターンについて、リファレンス→【PASTEBIN】
恐らくサーバログイン管理情報が漏れたか、脆弱性を見つけてハッキングされたかと思います。それとも、.htaccessとphp.iniのファイル迄に御確認お願いします。
直さないとまた変な転送コードが出てしまう可能性が高いです(今回は2番目の発見)
ファイルの変更日付けを見たら恐らく事件の日付けは今年の1月15日です。
ドメイン情報↓
[Domain Name] LITTLELOVER.JP
[Registrant] Ichiro Mawatari
[Name Server] dns01.muumuu-domain.com
[Name Server] dns02.muumuu-domain.com
[Created on] 2005/11/15
[Expires on] 2013/11/30
[Status] Active
[Last Updated] 2012/12/01 01:05:07 (JST)
Contact Information:
[Name] paperboy&co.
[Email] admin@muumuu-domain.com
[Web Page] http://muumuu-domain.com/?mode=whois-policy
[Postal code] 810-0001
[Postal Address] Tenjin Prime 8F, 2-7-21, Tenjin
Chuo-ku, Fukuoka-City, Fukuoka
8100001,Japan
[Phone] 092-713-7999
[Fax] 092-713-7944IP/IDC情報↓inetnum: 219.94.128.0 - 219.94.255.255 netname: SAKURA-OSAKA descr: SAKURA Internet Inc. descr: 1-8-14, Minami Honmachi, Chuo-ku, Osaka 541-0054, Japan country: JP
0 件のコメント:
コメントを投稿