20,000 site compromised and still no disinfection?
さて・・またキナ臭い話が舞い込んできましたが?
Mass Injection Compromises More than Twenty-Thousand Web Sites --
20,000以上の「一般サイト」がインジェクションを埋め込まれ、不正なJavaScriptによってアクティブな不正ダウンロードを実行させられる可能性があります。
この不正コードは Google Analyticsに似た名前を使っており、WebSiteの統計サービスを装っています。
このインジェクションはGumblar.cnとは関係ないように思われます。
最終的に実行される悪意Malwareは、現時点ではセキュリティ各社の検出が非常に低くなっています。
となっているのですが、20000もの陥落サイトがあるわりに、具体的な感染サイトがまだ見つけられません。
他ソース:
PC-pwning infection hits 30,000 legit websites
増えてる増えてる・・・
注意喚起しようにも、ドメインもIPも隠してあるので、何一つわかりません(苦笑)
第二報か、他社の調査待ちですね
-----------------
追報 01
ちょっと怖目なので自己責任で踏んでください
Mass Injection Compromises More Twenty-Thousand Web Sites -- 2009.05.30
http://www.dslreports.com/forum/r22469961-Mass-Injection-Compromises-More-TwentyThousand-Web-Sites
127.0.0.1 google-analytics.cc
127.0.0.1 google-analistyc.net
127.0.0.1 google-analytlcs.com
127.0.0.1 googleanalytlcs.net
127.0.0.1 google-analyze.cn
127.0.0.1 google-analyze.org
127.0.0.1 google-analistyc.net
127.0.0.1 google-analytlcs.com
127.0.0.1 googleanalytlcs.net
127.0.0.1 google-analyze.cn
127.0.0.1 google-analyze.org
※注意:ここが本当に攻撃ドメインなのかどうか確証が取れていません。
google-analytics.cc : 216.195.59.77 APS telecom
google-analistyc.net : 91.207.61.37 ISP Nova-NET
google-analytlcs.com : 91.207.61.37 ISP Nova-NET
googleanalytlcs.net : 91.207.61.37 ISP Nova-NET
google-analyze.cn : 202.73.57.11 MAINT-SG-VIEWQWEST
google-analyze.org : 202.73.57.11 MAINT-SG-VIEWQWEST
APS Telecom 216.195.32.0 - 216.195.63.255
USA Portland216.195.32.93 から 216.195.62.76 までの間にまんべんなく悪意サイト報告がありますので焼いてしまいましょう
ISP Nova-NET 91.207.60.0 - 91.207.61.255
Ukraine国旗みた瞬間、炉に入れてしまった人、手をあげなさい!(笑)
MAINT-SG-VIEWQWEST 202.73.57.0 - 202.73.57.31
Singapore203.73.57.6と203.73.57.11の2つに犯歴が有ります。
-----------------
追報 02
google-analytae.com : 98.126.0.226 CUSTOMER.KRYPT.COM
CUSTOMER.KRYPT.COM 98.126.0.224 - 98.126.0.231
Orange一応、他犯歴無し・・・
Norton評価 -- google-analytae.comgo00ogle.net : 82.146.51.222 ISPsystem at NAC
ISPsystem at NAC 82.146.48.0 - 82.146.55.255
N/A過去犯歴は
82.146.33.243 2009/05/12
82.146.43.173 2009/04/14
82.146.49.3 2008/02/10, 2008/04/15
82.146.50.202 2009/05/02
82.146.59.200 2008/03/25
と、微妙な情勢です。82.146.43.173 2009/04/14
82.146.49.3 2008/02/10, 2008/04/15
82.146.50.202 2009/05/02
82.146.59.200 2008/03/25
なんかコレ、特定のCMSのSQLインジェクションのような感じなのですが、まだ確度の高い情報がありません。
新たな「Webウイルス」出現、2万件以上の正規サイトに埋め込まれる ITProは相変わらず
攻撃者は何らかの方法で正規サイトに不正侵入してWebページを改ざん。
と、濁してますね(笑)
-----------------
追報 03
google-analistyc.net は、既に Google Blockedです。
というか、追報01/02 のサイト群は、相当古いような気もしないでもないです。
Question: How To Submit A Review? My Site Might Have Malware? なんか、単純な iframe 埋め込みっぽいけど・・・?
情報が錯綜していていまひとつよくわかりません。
とりあえず不安な人は、
</body>
</html>
の後方に不審なコードが注入(インジェクション)されていないかどうかチェックしてみましょう。
※ Gumblarは </head>と<body>の間でした。
6 月 5th, 2009 at 5:40 AM
[...] -- 2009.05.31 BEYOND MEDIA SRL Romania Bucuresti 91.207.60.0 - 91.207.61.255 (91.207.60.0/23) relative beladen.net 2009.06.01 Ural Industrial Limited Company RU google-analistyc.net google-analytlcs.com googleanalytlcs.net [...]