UnderForge of Lack

[Emergency] XREA compromised again

EMERGENCY

日本国内のサイトを書くと（また）変なメールが飛んできそうで怖いんですが・・・

-------

XREAのアクセス解析ページのloginサーバに例の hellh.netのインジェクション
0x6EA52967:888
1856317799:888
= 110.165.41.103
が埋め込まれ、すでに２日が経過しようとしています。

Analysis report for hXXp://ax.xrea.com/login.php -- 2009-07-08 01:22:05 CET

Analysis report for hXXp://219.101.229.188/login.php -- 2009-07-08 14:55:17 CET

最初に発覚したのは 2009.07.07 15:00頃(JST)だった模様。

---

現時点でできるチェック：

1). csrss.exe の検索

MD5: 6d778e0f95447e6546553eeea709d03c
SHA-1: 811a005cf787c6ccbe0d9f1c36c1d49a9cb71fd1
389120 Bytes

このファイルが Temp フォルダの中に存在するかどうか？

2). svchostタスクを検索し、csrss.exe が起動した "6to4" の名前のタスクが存在するかどうか
※6to4 (IPv6 to IPv4)なんか使ってる人いるんでしょうか？

こんなの一般のヒトに言っても判らないでしょうね（嘆息）

---

さて、この記事が消されたら、ソウイウコトネと思ってください（笑）

This entry was posted on 木曜日, 7 月 9th, 2009 at 12:04 PM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

[Emergency] XREA compromised again

Leave a Reply