Det oppdages stadig flere og flere kompromitterte nettsteder om dagen, som følge av alle SQL-injections. Dessverre er det også en del norske nettsteder som blir kompromittert og redirecter brukere til siter som inneholder exploitkode.
Denne helga har vi blant annet sett følgende nye domener hoste ondsinnet kode:
hxxp://www.qiqigm.com
hxxp://www.qiuxuegm.com
Disse angrepene antas å være automatisert ved hjelp av et verktøy som benytter Google i første steg for å finne potensielt sårbare webapplikasjoner, og deretter forsøke å utnytte disse. ISC har en egen sak på dette her.
De siste dagene har vi sett denne typen aktivitet fra følgende hoster:
58.215.65.253 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
59.188.0.101 | HK | NWT-AS-AP AS number for New World Telephone Ltd.
61.152.245.41 | CN | CHINANET-SH-AP China Telecom (Group)
74.86.88.108 | US | SOFTLAYER - SoftLayer Technologies Inc.
117.22.93.78 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
125.123.25.1 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
203.186.54.26 | HK | CTIHK-AS-AP City Telecom (H.K.) Ltd.
205.209.175.4 | US | ASN-NA-MSG-01 - Managed Solutions Group, Inc.
221.130.185.24 | CN | CMNET-V4SHANGHAI-AS-AP Shanghai Mobile Communications Co.,Ltd.
221.206.20.143 | CN | CHINA169-BACKBONE CNCGROUP China169 Backbone
222.191.251.232 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
222.90.113.53 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
222.91.169.64 | CN | CHINANET-BACKBONE No.31,Jin-rong Street
En annen interessant sak er at i tillegg til at de fleste adressene tilhører Kina, så vil også denne koden, som oftest, ikke angripe brukere som har språket satt til kinesisk.
Vi har forøvrig også sett tilfeller hvor kinesiske brukere får andre typer exploits og malware mot seg, kontra ikke-kinesiske brukere.
Det anbefales å blokkere følgende adresser i brannmur/proxy:
www.qiuxuegm.com. 1800 IN A 60.169.3.130
www.qiqigm.com. 1800 IN A 221.206.20.143
Ingen kommentarer:
Legg inn en kommentar