感染されたURLは下記の一覧です↓
hxxp://organogold.sub.jp/ hxxp://organogold.sub.jp/index.html hxxp://organogold.sub.jp/business.html hxxp://organogold.sub.jp/plan.html hxxp://organogold.sub.jp/products.html
トップページのスクリーンショットは下記の画像で↓
この報告には、トップページのURLだけをダウンロードしました↓
//接続… --2013-07-14 15:13:56-- hxxp://organogold.sub.jp/index.html Resolving organogold.sub.jp (organogold.sub.jp)... 203.189.109.244 Caching organogold.sub.jp => 203.189.109.244 Connecting to organogold.sub.jp (organogold.sub.jp)|203.189.109.244|:80... connected. // HTTPリクエスト… GET /index.html HTTP/1.1 User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C) Accept: */* Host: organogold.sub.jp HTTP request sent, awaiting response... : HTTP/1.1 200 OK Date: Sun, 14 Jul 2013 06:13:56 GMT Server: Apache Last-Modified: Thu, 27 Jun 2013 04:52:16 GMT ETag: "b5e8051-355e-86bb4000" Accept-Ranges: bytes Content-Length: 13662 Vary: Accept-Encoding Content-Type: text/html Keep-Alive: timeout=5, max=100 Connection: Keep-Alive // 回答… 200 OK Registered socket 3 for persistent reuse. Length: 13662 (13K) [text/html] Saving to: `index.html.1' 2013-07-14 15:13:56 (617 KB/s) - `index.html' saved [13662/13662]
下記のいたずらjavascriptコードを発見し
FTPコード・インジェクションツールを使ったハッカーがやったみたいですね。
decodeをすると隠されたIFRAME転送コードを見えます↓
↑前と同じように、cookie条件が入っている転送仕組みですね。
この仕組みでは今直ぐにマルウェアが感染されるじゃなくて、cookieの期間上で感染が出来るようにの感染条件ですね。
ですから、もし転送先のマルウェアURL直ぐに確認すると、下記の回答が出るとおかしくないです↓
とりあえず、早めに感染されたサイトを直して欲しいです。ご協力をお願い致します。
0 件のコメント:
コメントを投稿