日曜日, 7月 14, 2013

#OCJP-110: 「kousaiji.net」と「fintech.jp」のマルウェアExploit Kit(IFRAME転送)について

「kousaiji.net」と「fintech.jp」は両方下記のネットワークにあります↓
IP:  202.218.79.74
ASN: AS2554 Yahoo Japan Corporation
IDC: FIRST SERVER/大阪

両方ともサイトのトップページにマルウェア感染コードを発見しました。
「kousaiji.net」のトップページを見たら、普通のサイトに見えます↓

そのサイトのコードを開いたら下記のインジェクションコードを発見↓

↑いつものエンコードされたjavascriptなので、decodeの結果は↓

↑ここで隠されたIFRAMEコードとアクセスするURLを見つけました。

そのURLをアクセスしたら、下記のサーバHEADERが来て…
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Date: Sat, 13 Jul 2013 16:48:46 GMT
Server: Apache/2.2.23 (Unix) mod_ssl/2.2.23 OpenSSL/0.9.8e-fips-rhel5
X-Powered-By: PHP/5.3.25
Content-Length: 2
Keep-Alive: timeout=20, max=200
Connection: Keep-Alive

ok
現在こんな感じに見えます↓


短くにすると、「fintech.jp」のサイトは、下記のページに↓
hxxp://fintech.jp/german/index.htm
hxxp://fintech.jp/german/index.htm
hxxp://fintech.jp/german/index002.htm
画像↓

で、下記のコードを発見しました↓

IFRAMEの転送コードですね↓

海外で既に手続きが完了で現在は404エラーになりました↓
HTTP/1.1 404 Not Found
Content-Length: 4040
Content-Type: text/html
X-Powered-By: ASP.NET
Date: Sat, 13 Jul 2013 18:12:07 GMT

202.218.79.74は結構大きいドメインパークのVPSなので、調べたら現在100国内ドメインが提供していますが、
他のドメインに影響が出ないように本件のハッキング原因をサーバ側で明確に調査して欲しいです。
FTPログイン情報が漏れたの原因ならとても良かったが、パネルの脆弱性は原因になると最低な状況ですね。
ログで確認すると直ぐに分かるはずですね。ご協力をお願いします。

0 件のコメント:

コメントを投稿