219.94.203.161 / trnd05.com下記のURL...
hxxp://trnd05.com/mb/ hxxp://trnd05.com/mb/index.htmlダウンロード証拠…
--2013-03-10 17:50:59-- hxxp://trnd05.com/mb/ Resolving trnd05.com... seconds 0.00, 219.94.203.161 Caching trnd05.com => 219.94.203.161 Connecting to trnd05.com|219.94.203.161|:80... seconds 0.00, connected. : GET /mb/ HTTP/1.0 Host: trnd05.com HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Sun, 10 Mar 2013 08:50:54 GMT Server: Apache Last-Modified: Sat, 16 Feb 2013 23:20:18 GMT ETag: "130811fa-1889-4d5dfbc27f080" Accept-Ranges: bytes Content-Length: 6281 Keep-Alive: timeout=2, max=20 Connection: Keep-Alive Content-Type: text/html 200 OK Registered socket 1896 for persistent reuse. Length: 6281 (6.1K) [text/html] Saving to: `index.html' 2013-03-10 17:51:00 (3.03 MB/s) - `index.html' saved [6281/6281]下記のマルウェア感染URLを発見↓
↑そのURLは「RedKit Exploit Kit」経由の「Kelihos」マルウェア感染URLです。
ホストにあるドメインは全てRedKit感染で使われています↓
arcade-area.com A 50.116.97.208 magicbluepillblog.com A 50.116.97.208本件もサーバの管理ログイン情報が漏れてしまったようです。
やっと出ましたね。監視している方々にはお疲れ様です。これで証拠が出ましたので、真剣にサーバのhtml/phpコンテンツ、.htaccess、php.ini迄に御確認下さい。それと、管理ログイン情報が漏れたので、変更が必要です。
返信削除お疲れ様です。
返信削除こちらも別件のRedKit Redirectorを報告し終えた処です。
やっとここを見てます。
RedKitの感染が爆発的に増えているようなので、検索するのを躊躇しちゃいますね。