IP: 202.218.79.74 ASN: AS2554 Yahoo Japan Corporation IDC: FIRST SERVER/大阪
両方ともサイトのトップページにマルウェア感染コードを発見しました。
「kousaiji.net」のトップページを見たら、普通のサイトに見えます↓
![](https://lh5.googleusercontent.com/-gcA32bbk9-A/UeGS8wrgg8I/AAAAAAAAMes/NF7NT8_vE_Q/s600/1000.png)
そのサイトのコードを開いたら下記のインジェクションコードを発見↓
![](https://lh4.googleusercontent.com/-6knoxTTy2sU/UeGS863PubI/AAAAAAAAMek/LxJK7BIrHXc/s600/1001.png)
↑いつものエンコードされたjavascriptなので、decodeの結果は↓
![](https://lh4.googleusercontent.com/-hXP5RL_ZQns/UeGS8w8zM-I/AAAAAAAAMe0/UmT4wKqXqP0/s600/1002.png)
↑ここで隠されたIFRAMEコードとアクセスするURLを見つけました。
そのURLをアクセスしたら、下記のサーバHEADERが来て…
HTTP/1.1 200 OK Content-Type: text/html; charset=UTF-8 Date: Sat, 13 Jul 2013 16:48:46 GMT Server: Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/0.9.8e-fips-rhel5 X-Powered-By: PHP/5.3.25 Content-Length: 2 Keep-Alive: timeout=20, max=200 Connection: Keep-Alive ok現在こんな感じに見えます↓
![](https://lh3.googleusercontent.com/-cDKvD-HgCuI/UeGS9Zs8WdI/AAAAAAAAMew/fgvta6pAKKg/s600/1003.png)
短くにすると、「fintech.jp」のサイトは、下記のページに↓
hxxp://fintech.jp/german/index.htm hxxp://fintech.jp/german/index.htm hxxp://fintech.jp/german/index002.htm画像↓
![](https://lh3.googleusercontent.com/-3iifnJf78e0/UeGahSeMYjI/AAAAAAAAMfQ/q0bIiffcLMg/s600/2000.png)
で、下記のコードを発見しました↓
![](https://lh5.googleusercontent.com/-70hgpX-jysQ/UeGahQyWrbI/AAAAAAAAMfU/N3zqd-Axh44/s600/2001.png)
IFRAMEの転送コードですね↓
![](https://lh6.googleusercontent.com/-aPKPzWYS_Jw/UeGahF08mtI/AAAAAAAAMfM/xdviXJh-jR8/s600/2002.png)
海外で既に手続きが完了で現在は404エラーになりました↓
HTTP/1.1 404 Not Found Content-Length: 4040 Content-Type: text/html X-Powered-By: ASP.NET Date: Sat, 13 Jul 2013 18:12:07 GMT
202.218.79.74は結構大きいドメインパークのVPSなので、調べたら現在100国内ドメインが提供していますが、
他のドメインに影響が出ないように本件のハッキング原因をサーバ側で明確に調査して欲しいです。
FTPログイン情報が漏れたの原因ならとても良かったが、パネルの脆弱性は原因になると最低な状況ですね。
ログで確認すると直ぐに分かるはずですね。ご協力をお願いします。
![](https://lh5.googleusercontent.com/-xFHCNFpCEJ8/UUl7UboezZI/AAAAAAAAL1E/8wMxw9J43S4/s315/quare-white_gray.gif)
0 件のコメント:
コメントを投稿