ハルファ紀行 gumblar・martuz有害なスクリプトがいくつかのサイトに注入されています。 単純な1行のscriptタグであること(URIの末尾はphp)、 誘導先は(有害な物が設置されてはいるものの) いわゆる有害ドメインではないことから発覚しにくくなっています。 スクリプトの書き方からzlkon・gumblar・martuzの系統と思われます。 gumblar・martuz 今回 gumblarやmartuzはドメインで容易に蹴られてしまうという欠点がありましたが、 今回はそれがありません(C&Cの存在も確認できません)。 やられちゃったサイト群1のスクリプトは以下のようになっています。 IE用 非IE(Fx、Safari、Opera等)用 デコードするとそれぞれ以下のようになっています。 IE用 非IE用 「s=」でセッション管理をしています(検体を拾えませんでした)。 「id=2」でpdf(Acrobat)が、「id
