Gumblar InjectorのIPログ
Gumblar.x感染に関してのお知らせ
訪問者にウィルス感染の危険性を告知したほうがいいんじゃない?
というのは置いておきまして、貴重な侵入IPのログが出ていました。
というか、あまりにも予想通りで失笑を禁じえなかったのですが
----------
208.43.209.186
AS36351 SOFTLAYER Technologies Inc.
マタオマエカ・・・
SoftLayerも巨大になりすぎて、防弾ホスト化してしまってることに気がついてないのでしょうか?
逆引きのelvis.bamboocrickethosting.comは
SpamCannibalのBlackListに載っています
----------
66.7.201.206
AS33182 HostDime.com
逆引き:server.chulkana.com
66.7.204.23にGumblar一次感染サイトが存在しますね
あと、iframe組(qxfcuc. inf0)へのインジェクションも存在します。
----------
74.54.218.66 as fit.websitewelcome.com
74.53.143.50 as vs2.persiantools.com
AS21844 THEPLANET-AS2
爆笑
なんかもう笑うしかないですねコレは・・
ちなみに、犯人が本当にこの物理回線を使用している保障はどこにもなく、SSHでリモートログインして更にFTPを掛けている可能性が高いと考えています。
もう自律システム単位で葬ってしまいたい・・
(けっこう難しい)理由:
スタートアップに人気のホスティングサービスはSoftLayer、Amazon、Slicehost -- 2009.08
THE PLANETだけは問答無用で葬り去ってますが・・・
----------
補足:
前回の Gumblar 侵入時には ラトビアの JUNIK 及び ウクライナの Eurohost LLC からFTPアクセスがあったことを確認しています。
今回、そうした「犯人の物理的なアクセス場所に近いと推測されるISP」を使っていない点からみて、相当の準備をして(実際に5カ月の準備期間があったわけですから・・・)再攻撃を開始したことは容易に推測できます。
真のC&Cがどこにあるのか?を掴ませないうちに、表面上の撤退を図っている点を見ても、再度の攻撃は更に手の込んだものになるでしょう。
また、blog主様を非難するつもりは毛頭ありませんので御理解頂きたいと思います。
もっと多くのサイトが全くの無告知でサイト再開しているのが常ですので。
そのあたりのモラルの問題に関しては(自分はもう)言及するつもりはありません。
EoF
10 月 31st, 2009 at 10:38 PM
ご指摘ありがとうございます。
ちょうどそのように思って記事に追記をしていたところでした。
多数ではないとはいえ、不特定の方にご迷惑とご心配をお掛けした事に関して、本人は平身低頭、言葉もありません…。