tike.hatenablog.com
Open in
urlscan Pro
13.230.115.161
Public Scan
URL:
https://tike.hatenablog.com/entry/2019/01/26/225229
Submission Tags: falconsandbox
Submission: On November 29 via api from US — Scanned from JP
Submission Tags: falconsandbox
Submission: On November 29 via api from US — Scanned from JP
Form analysis 1 forms found in the DOM
GET https://tike.hatenablog.com/search
<form class="search-form" role="search" action="https://tike.hatenablog.com/search" method="get">
<input type="text" name="q" class="search-module-input" value="" placeholder="記事を検索" required="">
<input type="submit" value="検索" class="search-module-button">
</form>Text Content
読者になる TIKE BLOG セキュリティで気になった事をダラダラと。 この広告は、90日以上更新していないブログに表示しています。 2019-01-26 放棄ドメインの大量取得によるスクリプトの乗っ取りについて はじめに 既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。 ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。 閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。 その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。 このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。 不審な JAVASCRIPT 先日、不審な挙動を示す以下のJavaScriptを目にしました。 Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。 そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。 データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。 JavaScriptの参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。 実際に送信される情報をパケットキャプチャから見てみます。 Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。 続いてデータの送信先ホストについて見ていきたいと思います。 データの送信先から見えるインフラの全体像 データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。 前述の分も含めると、以下の4件のサブドメインが存在します。 それぞれのDNS Aレコードは以下の通りです。 hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。 ※ 以下、これらのホストをconnectioncdnホストと記載します。 次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。 Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。 それぞれのIPアドレスに対してスクリプトを取得してみます。 まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。 レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。 データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。 次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。 レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。 IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。 更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。 一部のFQDNとIPアドレスの一覧を以下に記載します。 ※134件全件の一覧はIoC情報として文末に記載しています。 # FQDN IPアドレス 1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139 2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231 3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139 4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231 5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59 6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59 7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139 8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59 9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203 10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203 一部を抜粋して図示すると以下のようになります。 connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。 また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。 次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。 合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。 なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。 ※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。 # ドメイン名 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ 1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com 2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com 3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com 4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com 5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com 6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com 7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com 8 suppressedvoice[.]com 2018/10/26 mynameserver1.com 9 nwcdn[.]xyz 2018/7/22 mynameserver3.com 10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com 全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。 放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。 どのようなスクリプトが公開されているのか connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。 ※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。 # 不審スクリプトのURL 1 hxxp://1.newor[.]net/www/delivery/delivery3.js 2 hxxp://2.api.viralheadlines[.]net/js/mass 3 hxxp://3.newor[.]net/www/delivery/delivery3.js 4 hxxp://a01.u-ad[.]info/page/JS.php 5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js 6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js 7 hxxp://airjss[.]com/data-uri.js 8 hxxp://api.behavioralmailing[.]com/js/data.js 9 hxxp://b.nwcdn[.]xyz/placement.js 10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。 更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。 先ずはルートディレクトリにアクセスしてみます。 全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。 次に、存在しないファイルをリクエストしてみます。 こちらも、全てのURLで同様の文言が表示されました。 このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。 放棄ドメインは本来どのように使われていたのか 放棄ドメインの本来の用途は様々です。WordPressやTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。 詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。 まとめ 最後までご覧いただきありがとうございます。 私個人のレベルでは、ここまでの調査が限界でした(笑) このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。 本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。 外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。 サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。 (偉そうなこと言ってスミマセン!) ではでは。 IOC connectioncdnホストと同居するFQDN一覧 # FQDN IPアドレス 1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139 2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231 3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139 4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231 5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59 6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59 7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139 8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59 9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203 10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203 11 beatchucknorris[.]com 209.126.103[.]59, 147.135.1[.]203 12 blozoo[.]net 147.135.1[.]203, 209.126.103[.]139 13 bolingbroke.werringtonlasborough[.]com 209.126.127[.]231, 209.126.103[.]59 14 bwinpoker24[.]com 147.135.1[.]203, 209.126.103[.]59 15 c.radxcomm[.]com 209.126.103[.]139, 209.126.127[.]231 16 cdn.adpoints[.]media 209.126.103[.]59, 209.126.127[.]231 17 cdn.avrti[.]xyz 147.135.1[.]203, 209.126.103[.]139 18 cdn.botthumb[.]com 147.135.1[.]203, 209.126.127[.]231 19 cdn.echoenabled[.]com 209.126.127[.]231, 209.126.103[.]59 20 cdn[.]inaudium[.]com 209.126.127[.]231, 209.126.103[.]59 21 cdn.muse-widgets[.]ru 209.126.103[.]59, 209.126.127[.]231 22 cdn.owlcdn[.]com 147.135.1[.]203, 209.126.103[.]59 23 cfs.u-ad[.]info 209.126.127[.]231, 147.135.1[.]203 24 chat-client-js.firehoseapp[.]com 147.135.1[.]203, 209.126.127[.]231 25 code.jguery[.]org 209.126.103[.]139, 147.135.1[.]203 26 con1.sometimesfree[.]biz 209.126.103[.]139, 209.126.103[.]59 27 connect.f1call[.]com 209.126.103[.]59, 209.126.103[.]139 28 d0.histats.12mlbe[.]com 209.126.127[.]231, 209.126.103[.]139 29 daljarrock.hurlinesswhitchurch[.]com 209.126.103[.]59, 209.126.103[.]139 30 dcts[.]pw 209.126.103[.]59, 147.135.1[.]203 31 dezaula[.]com 209.126.103[.]59, 147.135.1[.]203 32 dup.baidustatic[.]pw 209.126.103[.]59, 209.126.127[.]231 33 e.e708[.]net 147.135.1[.]203, 209.126.103[.]139 34 earsham.pontypriddcrick[.]com 209.126.103[.]139, 147.135.1[.]203 35 flipdigital[.]ru 209.126.127[.]231, 209.126.103[.]139 36 font4u[.]ga 147.135.1[.]203, 209.126.127[.]231 37 ga87z2o[.]com 147.135.1[.]203, 209.126.103[.]59 38 gamescale.vio[.]rocks 209.126.103[.]139, 209.126.103[.]59 39 getsocialbuttons[.]xyz 147.135.1[.]203, 209.126.103[.]59 40 godstrength[.]org 209.126.103[.]139, 209.126.103[.]59 41 hosted-oswa[.]org 209.126.127[.]231, 147.135.1[.]203 42 i.omeljs[.]info 209.126.103[.]139, 209.126.127[.]231 43 i.rfgdjs[.]info 147.135.1[.]203, 209.126.103[.]59 44 i.selectionlinksjs[.]info 209.126.103[.]139, 209.126.127[.]231 45 i3.putags[.]com 147.135.1[.]203, 209.126.127[.]231 46 ijquery9[.]com 209.126.103[.]59, 209.126.127[.]231 47 infinite-2.tcs3[.]co[.]uk 209.126.103[.]139, 147.135.1[.]203 48 infinite-3.tcs3[.]co[.]uk 209.126.103[.]59, 209.126.127[.]231 49 iplusfree[.]pro 209.126.127[.]231, 209.126.103[.]59 50 java.sometimesfree[.]biz 209.126.103[.]59, 209.126.103[.]139 51 jquery[.]im 209.126.103[.]139, 147.135.1[.]203 52 js.mp3rocketdownloadfiles[.]com 209.126.103[.]59, 209.126.103[.]139 53 js.nster[.]net 209.126.127[.]231, 147.135.1[.]203 54 js.trafficanalytics[.]online 209.126.103[.]139, 209.126.103[.]59 55 js2.sn00[.]net 209.126.103[.]139, 209.126.127[.]231 56 keit.kristofer[.]ga 147.135.1[.]203, 209.126.103[.]59 57 livestats[.]us 209.126.103[.]59, 209.126.103[.]139 58 log.widgetstat[.]net 209.126.103[.]59, 209.126.127[.]231 59 m.free-codes[.]org 209.126.103[.]59, 209.126.103[.]139 60 m.xfanclub[.]ru 209.126.103[.]59, 147.135.1[.]203 61 mediros[.]ru 209.126.127[.]231, 209.126.103[.]139 62 n299adserv[.]com 209.126.103[.]59, 209.126.103[.]139 63 narnia.tcs3[.]co[.]uk 209.126.127[.]231, 209.126.103[.]59 64 nstracking[.]com 147.135.1[.]203, 209.126.103[.]59 65 oasagm82wioi[.]org 209.126.103[.]59, 209.126.103[.]139 66 onlinemarketplace[.]top 209.126.103[.]139, 209.126.127[.]231 67 parts.kuru2jam[.]com 209.126.103[.]59, 209.126.127[.]231 68 phpadsnew.motoboerse[.]at 147.135.1[.]203, 209.126.103[.]59 69 pipardot[.]com 209.126.127[.]231, 147.135.1[.]203 70 pl105476.putags[.]com 147.135.1[.]203, 209.126.127[.]231 71 place2003.nighter[.]club 147.135.1[.]203, 209.126.103[.]59 72 s1.omnitor[.]ru 209.126.103[.]59, 209.126.127[.]231 73 sbdtds[.]com 209.126.127[.]231, 209.126.103[.]59 74 scorepresshidden[.]info 147.135.1[.]203, 209.126.127[.]231 75 script.affilizr[.]com 209.126.103[.]59, 209.126.103[.]139 76 sdb.dancewithme[.]biz 209.126.103[.]139, 147.135.1[.]203 77 security-service[.]su 209.126.103[.]59, 209.126.127[.]231 78 senderjs[.]net 147.135.1[.]203, 209.126.103[.]139 79 src.dancewithme[.]biz 209.126.127[.]231, 209.126.103[.]139 80 srv1.clk-analytics[.]com 209.126.103[.]139, 147.135.1[.]203 81 st.segpress.io 209.126.103[.]139, 209.126.103[.]59 82 stablemoney[.]ru 209.126.127[.]231, 209.126.103[.]59 83 stat.rolledwil[.]biz 209.126.103[.]59, 209.126.127[.]231 84 static.bh-cdn[.]com 209.126.103[.]139, 209.126.103[.]59 85 tag.imaginaxs[.]com 147.135.1[.]203, 209.126.103[.]59 86 themes.affect[.]lt 209.126.103[.]139, 147.135.1[.]203 87 trafficapi[.]nl 209.126.127[.]231, 209.126.103[.]59 88 traffictrade[.]life 147.135.1[.]203, 209.126.103[.]59 89 upgraderservices[.]cf 147.135.1[.]203, 209.126.127[.]231 90 upskirt-jp[.]net 209.126.103[.]139, 209.126.127[.]231 91 vclicks[.]net 209.126.103[.]59, 147.135.1[.]203 92 vstats[.]co 147.135.1[.]203, 209.126.103[.]59 93 w[.]topage[.]net 147.135.1[.]203, 209.126.103[.]59 94 webeatyouradblocker[.]com 147.135.1[.]203, 209.126.103[.]59 95 webstats.xcellenzy[.]com 209.126.127[.]231, 209.126.103[.]59 96 widgets.wowzio[.]net 209.126.127[.]231, 209.126.103[.]59 97 www.acotemoi[.]com 147.135.1[.]203, 209.126.103[.]139 98 www.adsonflags[.]com 209.126.103[.]59, 209.126.127[.]231 99 www.agrkings[.]com 209.126.103[.]139, 147.135.1[.]203 100 www.apps4shopify[.]com 209.126.127[.]231, 209.126.103[.]59 101 www.auctionaffiliate[.]co 147.135.1[.]203, 209.126.103[.]139 102 www.caphyon-analytics[.]com 209.126.103[.]139, 209.126.103[.]59 103 www.frompariswithhate[.]org 209.126.127[.]231, 147.135.1[.]203 104 www.goodyear-coupons[.]com 209.126.103[.]139, 209.126.127[.]231 105 www.hmailserver[.]in 147.135.1[.]203, 209.126.103[.]139 106 www.kanpianjs[.]top 147.135.1[.]203, 209.126.103[.]59 107 www.ournet-analytics[.]com 209.126.103[.]139, 209.126.127[.]231 108 www.rarstats[.]com 209.126.103[.]139, 209.126.103[.]59 109 www.seo101[.]net 147.135.1[.]203, 209.126.103[.]139 110 www.spartan-ntv[.]com 209.126.103[.]139, 209.126.103[.]59 111 www.takoashi[.]net 147.135.1[.]203, 209.126.103[.]59 112 www.yys1982[.]com 209.126.127[.]231, 147.135.1[.]203 113 your-3[.]com 209.126.103[.]59, 209.126.103[.]139 114 yourmsrp[.]com 209.126.103[.]59, 209.126.103[.]139 115 zirve100[.]com 209.126.127[.]231, 209.126.103[.]139 116 s.orange81safe[.]com 209.126.103[.]139, 147.135.1[.]203 117 n298adserv[.]com 209.126.103[.]59, 209.126.127[.]231 118 stat.botthumb[.]com 147.135.1[.]203, 209.126.103[.]59 119 adblockdetector[.]com 209.126.103[.]59, 147.135.1[.]203 120 cdn.jquery[.]tools 209.126.103[.]59, 209.126.103[.]139 121 js.sn00[.]net 209.126.103[.]139, 209.126.103[.]59 122 cleantds[.]in 209.126.103[.]139, 209.126.127[.]231 123 wp.traffictrade[.]life 209.126.127[.]231, 147.135.1[.]203 124 www.insightio[.]us 209.126.103[.]139, 209.126.103[.]59 125 webto[.]mobi 209.126.103[.]139, 147.135.1[.]203 126 static.hot---jar[.]com 209.126.103[.]59, 209.126.103[.]139 127 appsyt.brightleaf[.]io 209.126.103[.]59, 147.135.1[.]203 128 w5983.lb.wa-track[.]com 209.126.103[.]139, 209.126.127[.]231 129 adrife[.]net 209.126.103[.]59, 209.126.127[.]231 130 www.andrewandjack[.]com 209.126.103[.]59, 209.126.127[.]231 131 da.adsvcs[.]com 209.126.103[.]59, 147.135.1[.]203 132 ssl.cdn.odinkod[.]ru 209.126.103[.]59, 209.126.127[.]231 133 nexutab[.]com 209.126.103[.]139, 209.126.127[.]231 134 st.stadsvc[.]com 209.126.103[.]59, 147.135.1[.]203 ドメイン登録日一覧 # ドメイン名 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ 1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com 2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com 3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com 4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com 5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com 6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com 7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com 8 suppressedvoice[.]com 2018/10/26 mynameserver1.com 9 nwcdn[.]xyz 2018/7/22 mynameserver3.com 10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com 11 blozoo[.]net 2017/1/22 2017/2/28 mynameserver1.com 12 werringtonlasborough[.]com 2018/7/30 mynameserver1.com 13 bwinpoker24[.]com 2018/4/29 2018/8/31 mynameserver1.com 14 radxcomm[.]com 2018/6/24 2018/8/5 mynameserver1.com 15 adpoints.media 1900/1/0 16 avrti[.]xyz 2018/8/25 mynameserver3.com 17 botthumb[.]com 2018/11/22 2018/11/30 mynameserver1.com 18 echoenabled[.]com 2016/12/15 2017/3/8 mynameserver1.com 19 inaudium[.]com 2017/4/28 2017/6/5 mynameserver1.com 20 muse-widgets[.]ru 2018/10/6 21 owlcdn[.]com 2018/1/30 2018/3/9 mynameserver1.com 22 firehoseapp[.]com 2018/1/30 2018/3/9 mynameserver1.com 23 jguery[.]org 2018/4/21 2018/6/8 mynameserver1.com 24 sometimesfree[.]biz 2018/10/6 2018/11/10 mynameserver1.com 25 f1call[.]com 2018/5/19 2018/7/5 mynameserver1.com 26 12mlbe[.]com 2017/1/24 2017/2/15 mynameserver1.com 27 hurlinesswhitchurch[.]com 2017/7/1 2017/9/21 mynameserver1.com 28 dcts[.]pw 2016/12/24 29 dezaula[.]com 2018/3/16 2018/7/18 mynameserver1.com 30 baidustatic[.]pw 31 e708[.]net 2018/1/10 2018/2/16 mynameserver1.com 32 pontypriddcrick[.]com 2017/7/1 2017/9/21 mynameserver1.com 33 flipdigital[.]ru 2018/12/5 34 font4u[.]ga 35 ga87z2o[.]com 2018/3/31 2018/5/8 mynameserver1.com 36 vio[.]rocks 37 getsocialbuttons[.]xyz 2018/8/15 2018/11/26 mynameserver3.com 38 godstrength[.]org 2018/4/14 2018/7/15 mynameserver1.com 39 hosted-oswa[.]org 2018/9/25 2018/11/9 mynameserver1.com 40 omeljs[.]info 2017/8/7 2017/12/11 mynameserver1.com 41 rfgdjs[.]info 2017/5/28 2017/12/11 mynameserver1.com 42 selectionlinksjs[.]info 2016/7/7 2018/8/16 mynameserver1.com 43 putags[.]com 2017/12/24 2018/1/30 mynameserver1.com 44 ijquery9[.]com 2018/6/30 2018/8/6 mynameserver1.com 45 tcs3[.]co[.]uk 46 iplusfree[.]pro 2018/7/13 2018/8/21 mynameserver1.com 47 jquery[.]im 48 mp3rocketdownloadfiles[.]com 2018/12/4 2018/12/5 mynameserver1.com 49 nster[.]net 2018/12/5 2018/12/6 mynameserver1.com 50 trafficanalytics[.]online 51 sn00[.]net 2018/2/13 2018/5/9 mynameserver1.com 52 kristofer[.]ga 53 livestats[.]us 2016/7/3 2017/2/16 mynameserver1.com 54 widgetstat[.]net 2018/2/14 2018/8/12 mynameserver1.com 55 free-codes[.]org 2018/1/31 56 xfanclub[.]ru 2016/8/2 57 mediros[.]ru 2018/8/12 58 n299adserv[.]com 2017/11/12 2018/3/30 mynameserver1.com 59 nstracking[.]com 2016/1/2 2017/2/17 mynameserver1.com 60 oasagm82wioi[.]org 2018/1/21 2018/8/25 mynameserver1.com 61 onlinemarketplace[.]top 62 kuru2jam[.]com 2018/3/2 2018/4/8 mynameserver1.com 63 motoboerse[.]at 64 pipardot[.]com 2018/12/18 2018/12/26 mynameserver1.com 65 nighter[.]club 2018/9/29 2018/12/19 mynameserver1.com 66 omnitor[.]ru 2018/8/12 67 sbdtds[.]com 2016/12/2 2017/2/15 mynameserver1.com 68 scorepresshidden[.]info 2018/11/19 2018/11/24 mynameserver1.com 69 script.affilizr[.]com 2017/4/18 2017/6/26 mynameserver1.com 70 dancewithme[.]biz 2018/10/19 2018/11/25 mynameserver1.com 71 security-service[.]su 2018/8/12 72 senderjs[.]net 2018/12/19 2018/12/27 mynameserver1.com 73 clk-analytics[.]com 2018/8/30 2018/10/9 mynameserver1.com 74 segpress[.]io 75 stablemoney[.]ru 2018/1/10 76 rolledwil[.]biz 2017/5/12 2017/7/6 mynameserver1.com 77 bh-cdn[.]com 2018/9/16 2018/10/24 mynameserver1.com 78 imaginaxs[.]com 2018/6/7 2018/8/21 mynameserver1.com 79 affect[.]lt 2017/12/3 80 trafficapi[.]nl 81 traffictrade[.]life 2018/8/15 2018/9/27 mynameserver1.com 82 upgraderservices[.]cf 83 upskirt-jp[.]net 2018/12/19 2018/12/27 mynameserver1.com 84 vclicks[.]net 2018/7/15 2018/8/24 mynameserver1.com 85 vstats[.]co 2017/8/1 2017/8/3 cloudflare.com 86 topage[.]net 2018/11/19 2018/11/25 mynameserver1.com 87 webeatyouradblocker[.]com 2017/2/23 2017/5/15 mynameserver1.com 88 xcellenzy[.]com 2017/11/11 2018/2/14 mynameserver1.com 89 wowzio[.]net 2018/1/29 2018/1/30 mynameserver1.com 90 acotemoi[.]com 2018/12/11 mynameserver1.com 91 adsonflags[.]com 2018/9/1 2018/10/9 mynameserver1.com 92 agrkings[.]com 2017/2/10 2017/4/4 mynameserver1.com 93 apps4shopify[.]com 2018/9/24 2018/11/9 mynameserver1.com 94 auctionaffiliate[.]co 2016/4/1 2017/2/17 mynameserver1.com 95 caphyon-analytics[.]com 2018/3/21 2018/8/16 mynameserver1.com 96 frompariswithhate[.]org 2018/1/31 97 goodyear-coupons[.]com 2017/1/10 2017/4/4 mynameserver1.com 98 hmailserver[.]in 2015/1/24 99 kanpianjs[.]top 100 ournet-analytics[.]com 2016/6/11 2018/8/16 mynameserver1.com 101 rarstats[.]com 2018/10/6 2018/11/21 mynameserver1.com 102 seo101[.]net 2018/1/31 2018/3/10 mynameserver1.com 103 spartan-ntv[.]com 2018/1/27 2018/3/6 mynameserver1.com 104 takoashi[.]net 2018/6/15 2018/7/22 mynameserver1.com 105 yys1982[.]com 2018/8/22 2018/10/6 mynameserver1.com 106 your-3[.]com 2018/11/21 mynameserver1.com 107 yourmsrp[.]com 2018/7/14 2018/8/21 mynameserver1.com 108 zirve100[.]com 2016/12/24 2017/2/15 mynameserver1.com 109 orange81safe[.]com 2018/9/20 2018/10/28 mynameserver1.com 110 n298adserv[.]com 2018/11/12 2018/12/26 mynameserver1.com 111 adblockdetector[.]com 2016/12/1 2017/2/13 mynameserver1.com 112 jquery[.]tools 113 cleantds[.]in 2016/4/27 114 insightio.us 2017/7/8 2017/8/13 mynameserver1.com 115 webto[.]mobi 2016/9/1 116 hot---jar[.]com 2018/11/18 mynameserver1.com 117 brightleaf[.]io 2018/8/24 118 wa-track[.]com 2018/6/8 2018/6/14 mynameserver1.com 119 adrife[.]net 2017/8/3 2018/3/18 mynameserver1.com 120 andrewandjack[.]com 2018/10/10 2018/11/21 mynameserver1.com 121 adsvcs[.]com 2018/10/8 2018/11/21 mynameserver1.com 122 odinkod[.]ru 2017/4/3 123 nexutab[.]com 2018/5/5 2018/7/8 mynameserver1.com 124 stadsvc[.]com 2018/10/8 2018/11/18 mynameserver1.com 不審スクリプトURL一覧 # 不審スクリプトのURL 1 hxxp://1.newor[.]net/www/delivery/delivery3.js 2 hxxp://2.api.viralheadlines[.]net/js/mass 3 hxxp://3.newor[.]net/www/delivery/delivery3.js 4 hxxp://a01.u-ad[.]info/page/JS.php 5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js 6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js 7 hxxp://airjss[.]com/data-uri.js 8 hxxp://api.behavioralmailing[.]com/js/data.js 9 hxxp://b.nwcdn[.]xyz/placement.js 10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js 11 hxxp://blozoo[.]net/js/ranktool/analyze.js 12 hxxp://bwinpoker24[.]com/door.js 13 hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267 14 hxxp://cdn.adpoints[.]media/production/ads/652.js 15 hxxp://cdn.avrti[.]xyz/s.js 16 hxxp://cdn.inaudium[.]com/js/adtctr.js 17 hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js 18 hxxp://cdn.inaudium[.]com/js/adtctr.js 19 hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js 20 hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js 21 hxxp://cfs.u-ad[.]info/cfspushadsv2/request 22 hxxp://chat-client-js.firehoseapp[.]com/chat-min.js 23 hxxp://code.jguery[.]org/jquery-2.2.1.min.js 24 hxxp://con1.sometimesfree[.]biz/c.js 25 hxxp://connect.f1call[.]com/static/api.js 26 hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi 27 hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js 28 hxxp://dcts[.]pw/dictus.js 29 hxxp://dezaula[.]com/dezaula.js 30 hxxp://dup.baidustatic[.]pw/js/ds.js 31 hxxp://e.e708[.]net/cpc/index.php 32 hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref= 33 hxxp://flipdigital[.]ru/bcRX/src.js 34 hxxp://gamescale.vio[.]rocks/app/embed/ 35 hxxp://getsocialbuttons[.]xyz/get-social.js 36 hxxp://hosted-oswa[.]org/piwik/piwik.js 37 hxxp://i.omeljs[.]info/omel/javascript.js 38 hxxp://i.rfgdjs[.]info/opt_content.js 39 hxxp://i.selectionlinksjs[.]info/obfy/javascript.js 40 hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js 41 hxxp://ijquery9[.]com/common.js 42 hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js 43 hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js 44 hxxp://java.sometimesfree[.]biz/counter.js 45 hxxp://jquery[.]im/jquery.geo.js 46 hxxp://js.nster[.]net/00/12/69.js 47 hxxp://js.trafficanalytics[.]online/js/js.js 48 hxxp://js2.sn00[.]net/00/37/20.js 49 hxxp://keit.kristofer[.]ga/71HXRp 50 hxxp://livestats[.]us/812X 51 hxxp://log.widgetstat[.]net/event.php 52 hxxp://m.free-codes[.]org/gh.php 53 hxxp://m.xfanclub[.]ru/c/45558.js 54 hxxp://mediros[.]ru/get2.php 55 hxxps://n299adserv[.]com/js/show_ads_supp.js 56 hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp 57 hxxp://nstracking[.]com/js/TrackingV2.js 58 hxxp://oasagm82wioi[.]org/css/js/style.php 59 hxxp://onlinemarketplace[.]top/client.js 60 hxxp://parts.kuru2jam[.]com/js/wind_chime.js 61 hxxp://pipardot[.]com/pd.js 62 hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js 63 hxxp://sbdtds[.]com/acounter.js 64 hxxp://script.affilizr[.]com/js/affilizr.js 65 hxxp://sdb.dancewithme[.]biz/db.js 66 hxxps://security-service[.]su/src/hirschs.co.za.js 67 hxxp://src.dancewithme[.]biz/src.js 68 hxxp://srv1.clk-analytics[.]com/i/ 69 hxxp://st.segpress[.]io/segpress/focus/1.js 70 hxxp://stablemoney[.]ru/113962.js 71 hxxp://stat.rolledwil[.]biz/stat.php 72 hxxp://static.bh-cdn[.]com/msf/loader.js 73 hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js 74 hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js 75 hxxp://trafficapi[.]nl/static/main.js 76 hxxp://traffictrade[.]life/scripts.js 77 hxxp://upgraderservices[.]cf/drupal.js 78 hxxp://upskirt-jp[.]net/piwik/piwik.js 79 hxxps://w.topage[.]net/box.js 80 hxxp://webstats.xcellenzy[.]com/piwik.js 81 hxxp://widgets.wowzio[.]net/widgets/jscript 82 hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js 83 hxxp://www.agrkings[.]com/ads-api 84 hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js 85 hxxp://www.caphyon-analytics[.]com/aws.js 86 hxxp://www.frompariswithhate[.]org/t.js 87 hxxp://www.hmailserver[.]in/iser/ 88 hxxp://www.kanpianjs[.]top/dy/home.js 89 hxxp://www.ournet-analytics[.]com/top20md.js 90 hxxp://www.rarstats[.]com/piwik.js 91 hxxp://www.seo101[.]net/apntrack.js 92 hxxp://www.spartan-ntv[.]com/tag/pera/nat.js 93 hxxp://www.takoashi[.]net/js/ConvertTree.js 94 hxxp://www.takoashi[.]net/js/CreateCommentsTree.js 95 hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js 96 hxxp://www.takoashi[.]net/js/CreateCategoryTree.js 97 hxxp://www.yys1982[.]com/468.js 98 hxxp://yourmsrp[.]com/piwik//piwik.js 99 hxxp://zirve100[.]com/CounterV4.js 100 hxxp://s.orange81safe[.]com/scr1_wrp.js 101 hxxp://stat.botthumb[.]com/piwik.js 102 hxxp://cdn.jquery[.]tools/latest.min.js 103 hxxp://js.sn00[.]net/00/17/93.js 104 hxxp://cleantds[.]in/coupe.php 105 hxxp://w5983.lb.wa-track[.]com/wa.js 106 hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js 107 hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js 108 hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js 以上 更新履歴 2019年1月26日 初版作成 tike (id:tiketiketikeke) 2年前 放棄ドメインの大量取得によるスクリプトの乗っ取りについて 広告を非表示にする 関連記事 * 2019-12-28 金融機関を装ったフィッシングについて 国内向けフィッシングサイトの機能についてご紹介します。 * やぎはしゅ (id:yagihashoo) 大変興味深い記事でした。 外部リソースの改ざん検知の技術としてSRIというのがあり、SRIが使われているケースであれば、閲覧者側としてはモダンなブラウザを使うというのが自衛策になると思います。 https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity 2年前 * tike (id:tiketiketikeke) やぎはしゅ様、コメントありがとうございます! バージョン番号付きディレクトリ名などでバージョン管理がなされている場合、SRIは有効な自衛策になり得ますね。 いずれにしても、サイト運営者がゴミを放置する状態を解消することが第一歩なのかなと思いました。 2年前 * もっと読む コメントを書く « JPドメインの悪用について SEOポイズニングの手法を使用した偽ECサイ… » プロフィール tike (id:tiketiketikeke) 読者です 読者をやめる 読者になる 読者になる 61 このブログについて 検索 リンク * はてなブログ * ブログをはじめる * 週刊はてなブログ * はてなブログPro 最新記事 * 金融機関を装ったフィッシングについて * 金融機関を装ったフィッシングについて(2019/12/25 暫定版) * カード情報詐取を狙った国内向けフィッシングサイトの機能について * 国内のWebサイト改ざんについて * JPドメインの悪用について 月別アーカイブ * ▼ ▶ 2019 (6) * 2019 / 12 (2) * 2019 / 9 (1) * 2019 / 7 (1) * 2019 / 4 (1) * 2019 / 1 (1) * ▼ ▶ 2018 (2) * 2018 / 7 (2) はてなブログをはじめよう! tiketiketikekeさんは、はてなブログを使っています。あなたもはてなブログをはじめてみませんか? はてなブログをはじめる(無料) はてなブログとは tike blog Powered by Hatena Blog | ブログを報告する スターをつけました 引用をストックしました ストック一覧を見る 閉じる 引用するにはまずログインしてください ログイン 閉じる 引用をストックできませんでした。再度お試しください 閉じる 限定公開記事のため引用できません。 読者です 読者をやめる 読者になる 読者になる 61