IP: 202.218.79.74 ASN: AS2554 Yahoo Japan Corporation IDC: FIRST SERVER/大阪
両方ともサイトのトップページにマルウェア感染コードを発見しました。
「kousaiji.net」のトップページを見たら、普通のサイトに見えます↓
そのサイトのコードを開いたら下記のインジェクションコードを発見↓
↑いつものエンコードされたjavascriptなので、decodeの結果は↓
↑ここで隠されたIFRAMEコードとアクセスするURLを見つけました。
そのURLをアクセスしたら、下記のサーバHEADERが来て…
HTTP/1.1 200 OK Content-Type: text/html; charset=UTF-8 Date: Sat, 13 Jul 2013 16:48:46 GMT Server: Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/0.9.8e-fips-rhel5 X-Powered-By: PHP/5.3.25 Content-Length: 2 Keep-Alive: timeout=20, max=200 Connection: Keep-Alive ok現在こんな感じに見えます↓
短くにすると、「fintech.jp」のサイトは、下記のページに↓
hxxp://fintech.jp/german/index.htm hxxp://fintech.jp/german/index.htm hxxp://fintech.jp/german/index002.htm画像↓
で、下記のコードを発見しました↓
IFRAMEの転送コードですね↓
海外で既に手続きが完了で現在は404エラーになりました↓
HTTP/1.1 404 Not Found Content-Length: 4040 Content-Type: text/html X-Powered-By: ASP.NET Date: Sat, 13 Jul 2013 18:12:07 GMT
202.218.79.74は結構大きいドメインパークのVPSなので、調べたら現在100国内ドメインが提供していますが、
他のドメインに影響が出ないように本件のハッキング原因をサーバ側で明確に調査して欲しいです。
FTPログイン情報が漏れたの原因ならとても良かったが、パネルの脆弱性は原因になると最低な状況ですね。
ログで確認すると直ぐに分かるはずですね。ご協力をお願いします。
0 件のコメント:
コメントを投稿