放棄ドメインの大量取得によるスクリプトの乗っ取りについて
はじめに
既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。
ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。
閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。
その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。
このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。
不審な JavaScript
先日、不審な挙動を示す以下のJavaScriptを目にしました。
Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。
そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。
データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。
JavaScriptの参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。
実際に送信される情報をパケットキャプチャから見てみます。
Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。
続いてデータの送信先ホストについて見ていきたいと思います。
データの送信先から見えるインフラの全体像
データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。
前述の分も含めると、以下の4件のサブドメインが存在します。
それぞれのDNS Aレコードは以下の通りです。
hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。
※ 以下、これらのホストをconnectioncdnホストと記載します。
次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。
Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。
まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。
レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。
データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。
次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。
レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。
IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。
更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。
※134件全件の一覧はIoC情報として文末に記載しています。
# | FQDN | IPアドレス |
1 | 1.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
2 | 2.api.viralheadlines[.]net | 147.135.1[.]203, 209.126.127[.]231 |
3 | 3.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
4 | a01.u-ad[.]info | 209.126.103[.]59, 209.126.127[.]231 |
5 | abtrcking[.]com | 147.135.1[.]203, 209.126.103[.]59 |
6 | adrenalinecdn[.]com | 147.135.1[.]203, 209.126.103[.]59 |
7 | airjss[.]com | 147.135.1[.]203, 209.126.103[.]139 |
8 | api.behavioralmailing[.]com | 147.135.1[.]203, 209.126.103[.]59 |
9 | apps.suppressedvoice[.]com | 209.126.103[.]139, 147.135.1[.]203 |
10 | b.nwcdn[.]xyz | 209.126.103[.]139, 147.135.1[.]203 |
一部を抜粋して図示すると以下のようになります。
connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。
また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。
次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。
合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。
なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。
※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。
# | ドメイン名 | 直前のドメイン削除日 | 最新のドメイン登録(移転)日 | 現在のネームサーバ |
1 | newor[.]net | 2018/11/9 | 2018/12/17 | mynameserver1.com |
2 | viralheadlines[.]net | 2018/8/21 | 2018/11/22 | mynameserver1.com |
3 | u-ad[.]info | 2016/4/21 | 2017/6/25 | mynameserver1.com |
4 | abtrcking[.]com | 2018/9/3 | 2018/11/15 | mynameserver1.com |
5 | adrenalinecdn[.]com | 2018/5/26 | 2018/8/3 | mynameserver1.com |
6 | airjss[.]com | 2018/7/23 | 2018/8/31 | mynameserver1.com |
7 | behavioralmailing[.]com | 2018/10/14 | 2018/11/21 | mynameserver1.com |
8 | suppressedvoice[.]com | 2018/10/26 | mynameserver1.com | |
9 | nwcdn[.]xyz | 2018/7/22 | mynameserver3.com | |
10 | beatchucknorris[.]com | 2018/4/29 | 2018/8/16 | mynameserver1.com |
全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。
放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。
どのようなスクリプトが公開されているのか
connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。
※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。
# | 不審スクリプトのURL |
1 | hxxp://1.newor[.]net/www/delivery/delivery3.js |
2 | hxxp://2.api.viralheadlines[.]net/js/mass |
3 | hxxp://3.newor[.]net/www/delivery/delivery3.js |
4 | hxxp://a01.u-ad[.]info/page/JS.php |
5 | hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js |
6 | hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js |
7 | hxxp://airjss[.]com/data-uri.js |
8 | hxxp://api.behavioralmailing[.]com/js/data.js |
9 | hxxp://b.nwcdn[.]xyz/placement.js |
10 | hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js |
これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。
更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。
先ずはルートディレクトリにアクセスしてみます。
全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。
次に、存在しないファイルをリクエストしてみます。
こちらも、全てのURLで同様の文言が表示されました。
このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。
放棄ドメインは本来どのように使われていたのか
放棄ドメインの本来の用途は様々です。WordPressやTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。
詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。
まとめ
最後までご覧いただきありがとうございます。
私個人のレベルでは、ここまでの調査が限界でした(笑)
このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。
本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。
外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。
サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。
(偉そうなこと言ってスミマセン!)
ではでは。
IoC
connectioncdnホストと同居するFQDN一覧
# | FQDN | IPアドレス |
1 | 1.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
2 | 2.api.viralheadlines[.]net | 147.135.1[.]203, 209.126.127[.]231 |
3 | 3.newor[.]net | 147.135.1[.]203, 209.126.103[.]139 |
4 | a01.u-ad[.]info | 209.126.103[.]59, 209.126.127[.]231 |
5 | abtrcking[.]com | 147.135.1[.]203, 209.126.103[.]59 |
6 | adrenalinecdn[.]com | 147.135.1[.]203, 209.126.103[.]59 |
7 | airjss[.]com | 147.135.1[.]203, 209.126.103[.]139 |
8 | api.behavioralmailing[.]com | 147.135.1[.]203, 209.126.103[.]59 |
9 | apps.suppressedvoice[.]com | 209.126.103[.]139, 147.135.1[.]203 |
10 | b.nwcdn[.]xyz | 209.126.103[.]139, 147.135.1[.]203 |
11 | beatchucknorris[.]com | 209.126.103[.]59, 147.135.1[.]203 |
12 | blozoo[.]net | 147.135.1[.]203, 209.126.103[.]139 |
13 | bolingbroke.werringtonlasborough[.]com | 209.126.127[.]231, 209.126.103[.]59 |
14 | bwinpoker24[.]com | 147.135.1[.]203, 209.126.103[.]59 |
15 | c.radxcomm[.]com | 209.126.103[.]139, 209.126.127[.]231 |
16 | cdn.adpoints[.]media | 209.126.103[.]59, 209.126.127[.]231 |
17 | cdn.avrti[.]xyz | 147.135.1[.]203, 209.126.103[.]139 |
18 | cdn.botthumb[.]com | 147.135.1[.]203, 209.126.127[.]231 |
19 | cdn.echoenabled[.]com | 209.126.127[.]231, 209.126.103[.]59 |
20 | cdn[.]inaudium[.]com | 209.126.127[.]231, 209.126.103[.]59 |
21 | cdn.muse-widgets[.]ru | 209.126.103[.]59, 209.126.127[.]231 |
22 | cdn.owlcdn[.]com | 147.135.1[.]203, 209.126.103[.]59 |
23 | cfs.u-ad[.]info | 209.126.127[.]231, 147.135.1[.]203 |
24 | chat-client-js.firehoseapp[.]com | 147.135.1[.]203, 209.126.127[.]231 |
25 | code.jguery[.]org | 209.126.103[.]139, 147.135.1[.]203 |
26 | con1.sometimesfree[.]biz | 209.126.103[.]139, 209.126.103[.]59 |
27 | connect.f1call[.]com | 209.126.103[.]59, 209.126.103[.]139 |
28 | d0.histats.12mlbe[.]com | 209.126.127[.]231, 209.126.103[.]139 |
29 | daljarrock.hurlinesswhitchurch[.]com | 209.126.103[.]59, 209.126.103[.]139 |
30 | dcts[.]pw | 209.126.103[.]59, 147.135.1[.]203 |
31 | dezaula[.]com | 209.126.103[.]59, 147.135.1[.]203 |
32 | dup.baidustatic[.]pw | 209.126.103[.]59, 209.126.127[.]231 |
33 | e.e708[.]net | 147.135.1[.]203, 209.126.103[.]139 |
34 | earsham.pontypriddcrick[.]com | 209.126.103[.]139, 147.135.1[.]203 |
35 | flipdigital[.]ru | 209.126.127[.]231, 209.126.103[.]139 |
36 | font4u[.]ga | 147.135.1[.]203, 209.126.127[.]231 |
37 | ga87z2o[.]com | 147.135.1[.]203, 209.126.103[.]59 |
38 | gamescale.vio[.]rocks | 209.126.103[.]139, 209.126.103[.]59 |
39 | getsocialbuttons[.]xyz | 147.135.1[.]203, 209.126.103[.]59 |
40 | godstrength[.]org | 209.126.103[.]139, 209.126.103[.]59 |
41 | hosted-oswa[.]org | 209.126.127[.]231, 147.135.1[.]203 |
42 | i.omeljs[.]info | 209.126.103[.]139, 209.126.127[.]231 |
43 | i.rfgdjs[.]info | 147.135.1[.]203, 209.126.103[.]59 |
44 | i.selectionlinksjs[.]info | 209.126.103[.]139, 209.126.127[.]231 |
45 | i3.putags[.]com | 147.135.1[.]203, 209.126.127[.]231 |
46 | ijquery9[.]com | 209.126.103[.]59, 209.126.127[.]231 |
47 | infinite-2.tcs3[.]co[.]uk | 209.126.103[.]139, 147.135.1[.]203 |
48 | infinite-3.tcs3[.]co[.]uk | 209.126.103[.]59, 209.126.127[.]231 |
49 | iplusfree[.]pro | 209.126.127[.]231, 209.126.103[.]59 |
50 | java.sometimesfree[.]biz | 209.126.103[.]59, 209.126.103[.]139 |
51 | jquery[.]im | 209.126.103[.]139, 147.135.1[.]203 |
52 | js.mp3rocketdownloadfiles[.]com | 209.126.103[.]59, 209.126.103[.]139 |
53 | js.nster[.]net | 209.126.127[.]231, 147.135.1[.]203 |
54 | js.trafficanalytics[.]online | 209.126.103[.]139, 209.126.103[.]59 |
55 | js2.sn00[.]net | 209.126.103[.]139, 209.126.127[.]231 |
56 | keit.kristofer[.]ga | 147.135.1[.]203, 209.126.103[.]59 |
57 | livestats[.]us | 209.126.103[.]59, 209.126.103[.]139 |
58 | log.widgetstat[.]net | 209.126.103[.]59, 209.126.127[.]231 |
59 | m.free-codes[.]org | 209.126.103[.]59, 209.126.103[.]139 |
60 | m.xfanclub[.]ru | 209.126.103[.]59, 147.135.1[.]203 |
61 | mediros[.]ru | 209.126.127[.]231, 209.126.103[.]139 |
62 | n299adserv[.]com | 209.126.103[.]59, 209.126.103[.]139 |
63 | narnia.tcs3[.]co[.]uk | 209.126.127[.]231, 209.126.103[.]59 |
64 | nstracking[.]com | 147.135.1[.]203, 209.126.103[.]59 |
65 | oasagm82wioi[.]org | 209.126.103[.]59, 209.126.103[.]139 |
66 | onlinemarketplace[.]top | 209.126.103[.]139, 209.126.127[.]231 |
67 | parts.kuru2jam[.]com | 209.126.103[.]59, 209.126.127[.]231 |
68 | phpadsnew.motoboerse[.]at | 147.135.1[.]203, 209.126.103[.]59 |
69 | pipardot[.]com | 209.126.127[.]231, 147.135.1[.]203 |
70 | pl105476.putags[.]com | 147.135.1[.]203, 209.126.127[.]231 |
71 | place2003.nighter[.]club | 147.135.1[.]203, 209.126.103[.]59 |
72 | s1.omnitor[.]ru | 209.126.103[.]59, 209.126.127[.]231 |
73 | sbdtds[.]com | 209.126.127[.]231, 209.126.103[.]59 |
74 | scorepresshidden[.]info | 147.135.1[.]203, 209.126.127[.]231 |
75 | script.affilizr[.]com | 209.126.103[.]59, 209.126.103[.]139 |
76 | sdb.dancewithme[.]biz | 209.126.103[.]139, 147.135.1[.]203 |
77 | security-service[.]su | 209.126.103[.]59, 209.126.127[.]231 |
78 | senderjs[.]net | 147.135.1[.]203, 209.126.103[.]139 |
79 | src.dancewithme[.]biz | 209.126.127[.]231, 209.126.103[.]139 |
80 | srv1.clk-analytics[.]com | 209.126.103[.]139, 147.135.1[.]203 |
81 | st.segpress.io | 209.126.103[.]139, 209.126.103[.]59 |
82 | stablemoney[.]ru | 209.126.127[.]231, 209.126.103[.]59 |
83 | stat.rolledwil[.]biz | 209.126.103[.]59, 209.126.127[.]231 |
84 | static.bh-cdn[.]com | 209.126.103[.]139, 209.126.103[.]59 |
85 | tag.imaginaxs[.]com | 147.135.1[.]203, 209.126.103[.]59 |
86 | themes.affect[.]lt | 209.126.103[.]139, 147.135.1[.]203 |
87 | trafficapi[.]nl | 209.126.127[.]231, 209.126.103[.]59 |
88 | traffictrade[.]life | 147.135.1[.]203, 209.126.103[.]59 |
89 | upgraderservices[.]cf | 147.135.1[.]203, 209.126.127[.]231 |
90 | upskirt-jp[.]net | 209.126.103[.]139, 209.126.127[.]231 |
91 | vclicks[.]net | 209.126.103[.]59, 147.135.1[.]203 |
92 | vstats[.]co | 147.135.1[.]203, 209.126.103[.]59 |
93 | w[.]topage[.]net | 147.135.1[.]203, 209.126.103[.]59 |
94 | webeatyouradblocker[.]com | 147.135.1[.]203, 209.126.103[.]59 |
95 | webstats.xcellenzy[.]com | 209.126.127[.]231, 209.126.103[.]59 |
96 | widgets.wowzio[.]net | 209.126.127[.]231, 209.126.103[.]59 |
97 | www.acotemoi[.]com | 147.135.1[.]203, 209.126.103[.]139 |
98 | www.adsonflags[.]com | 209.126.103[.]59, 209.126.127[.]231 |
99 | www.agrkings[.]com | 209.126.103[.]139, 147.135.1[.]203 |
100 | www.apps4shopify[.]com | 209.126.127[.]231, 209.126.103[.]59 |
101 | www.auctionaffiliate[.]co | 147.135.1[.]203, 209.126.103[.]139 |
102 | www.caphyon-analytics[.]com | 209.126.103[.]139, 209.126.103[.]59 |
103 | www.frompariswithhate[.]org | 209.126.127[.]231, 147.135.1[.]203 |
104 | www.goodyear-coupons[.]com | 209.126.103[.]139, 209.126.127[.]231 |
105 | www.hmailserver[.]in | 147.135.1[.]203, 209.126.103[.]139 |
106 | www.kanpianjs[.]top | 147.135.1[.]203, 209.126.103[.]59 |
107 | www.ournet-analytics[.]com | 209.126.103[.]139, 209.126.127[.]231 |
108 | www.rarstats[.]com | 209.126.103[.]139, 209.126.103[.]59 |
109 | www.seo101[.]net | 147.135.1[.]203, 209.126.103[.]139 |
110 | www.spartan-ntv[.]com | 209.126.103[.]139, 209.126.103[.]59 |
111 | www.takoashi[.]net | 147.135.1[.]203, 209.126.103[.]59 |
112 | www.yys1982[.]com | 209.126.127[.]231, 147.135.1[.]203 |
113 | your-3[.]com | 209.126.103[.]59, 209.126.103[.]139 |
114 | yourmsrp[.]com | 209.126.103[.]59, 209.126.103[.]139 |
115 | zirve100[.]com | 209.126.127[.]231, 209.126.103[.]139 |
116 | s.orange81safe[.]com | 209.126.103[.]139, 147.135.1[.]203 |
117 | n298adserv[.]com | 209.126.103[.]59, 209.126.127[.]231 |
118 | stat.botthumb[.]com | 147.135.1[.]203, 209.126.103[.]59 |
119 | adblockdetector[.]com | 209.126.103[.]59, 147.135.1[.]203 |
120 | cdn.jquery[.]tools | 209.126.103[.]59, 209.126.103[.]139 |
121 | js.sn00[.]net | 209.126.103[.]139, 209.126.103[.]59 |
122 | cleantds[.]in | 209.126.103[.]139, 209.126.127[.]231 |
123 | wp.traffictrade[.]life | 209.126.127[.]231, 147.135.1[.]203 |
124 | www.insightio[.]us | 209.126.103[.]139, 209.126.103[.]59 |
125 | webto[.]mobi | 209.126.103[.]139, 147.135.1[.]203 |
126 | static.hot---jar[.]com | 209.126.103[.]59, 209.126.103[.]139 |
127 | appsyt.brightleaf[.]io | 209.126.103[.]59, 147.135.1[.]203 |
128 | w5983.lb.wa-track[.]com | 209.126.103[.]139, 209.126.127[.]231 |
129 | adrife[.]net | 209.126.103[.]59, 209.126.127[.]231 |
130 | www.andrewandjack[.]com | 209.126.103[.]59, 209.126.127[.]231 |
131 | da.adsvcs[.]com | 209.126.103[.]59, 147.135.1[.]203 |
132 | ssl.cdn.odinkod[.]ru | 209.126.103[.]59, 209.126.127[.]231 |
133 | nexutab[.]com | 209.126.103[.]139, 209.126.127[.]231 |
134 | st.stadsvc[.]com | 209.126.103[.]59, 147.135.1[.]203 |
ドメイン登録日一覧
# | ドメイン名 | 直前のドメイン削除日 | 最新のドメイン登録(移転)日 | 現在のネームサーバ |
1 | newor[.]net | 2018/11/9 | 2018/12/17 | mynameserver1.com |
2 | viralheadlines[.]net | 2018/8/21 | 2018/11/22 | mynameserver1.com |
3 | u-ad[.]info | 2016/4/21 | 2017/6/25 | mynameserver1.com |
4 | abtrcking[.]com | 2018/9/3 | 2018/11/15 | mynameserver1.com |
5 | adrenalinecdn[.]com | 2018/5/26 | 2018/8/3 | mynameserver1.com |
6 | airjss[.]com | 2018/7/23 | 2018/8/31 | mynameserver1.com |
7 | behavioralmailing[.]com | 2018/10/14 | 2018/11/21 | mynameserver1.com |
8 | suppressedvoice[.]com | 2018/10/26 | mynameserver1.com | |
9 | nwcdn[.]xyz | 2018/7/22 | mynameserver3.com | |
10 | beatchucknorris[.]com | 2018/4/29 | 2018/8/16 | mynameserver1.com |
11 | blozoo[.]net | 2017/1/22 | 2017/2/28 | mynameserver1.com |
12 | werringtonlasborough[.]com | 2018/7/30 | mynameserver1.com | |
13 | bwinpoker24[.]com | 2018/4/29 | 2018/8/31 | mynameserver1.com |
14 | radxcomm[.]com | 2018/6/24 | 2018/8/5 | mynameserver1.com |
15 | adpoints.media | 1900/1/0 | ||
16 | avrti[.]xyz | 2018/8/25 | mynameserver3.com | |
17 | botthumb[.]com | 2018/11/22 | 2018/11/30 | mynameserver1.com |
18 | echoenabled[.]com | 2016/12/15 | 2017/3/8 | mynameserver1.com |
19 | inaudium[.]com | 2017/4/28 | 2017/6/5 | mynameserver1.com |
20 | muse-widgets[.]ru | 2018/10/6 | ||
21 | owlcdn[.]com | 2018/1/30 | 2018/3/9 | mynameserver1.com |
22 | firehoseapp[.]com | 2018/1/30 | 2018/3/9 | mynameserver1.com |
23 | jguery[.]org | 2018/4/21 | 2018/6/8 | mynameserver1.com |
24 | sometimesfree[.]biz | 2018/10/6 | 2018/11/10 | mynameserver1.com |
25 | f1call[.]com | 2018/5/19 | 2018/7/5 | mynameserver1.com |
26 | 12mlbe[.]com | 2017/1/24 | 2017/2/15 | mynameserver1.com |
27 | hurlinesswhitchurch[.]com | 2017/7/1 | 2017/9/21 | mynameserver1.com |
28 | dcts[.]pw | 2016/12/24 | ||
29 | dezaula[.]com | 2018/3/16 | 2018/7/18 | mynameserver1.com |
30 | baidustatic[.]pw | |||
31 | e708[.]net | 2018/1/10 | 2018/2/16 | mynameserver1.com |
32 | pontypriddcrick[.]com | 2017/7/1 | 2017/9/21 | mynameserver1.com |
33 | flipdigital[.]ru | 2018/12/5 | ||
34 | font4u[.]ga | |||
35 | ga87z2o[.]com | 2018/3/31 | 2018/5/8 | mynameserver1.com |
36 | vio[.]rocks | |||
37 | getsocialbuttons[.]xyz | 2018/8/15 | 2018/11/26 | mynameserver3.com |
38 | godstrength[.]org | 2018/4/14 | 2018/7/15 | mynameserver1.com |
39 | hosted-oswa[.]org | 2018/9/25 | 2018/11/9 | mynameserver1.com |
40 | omeljs[.]info | 2017/8/7 | 2017/12/11 | mynameserver1.com |
41 | rfgdjs[.]info | 2017/5/28 | 2017/12/11 | mynameserver1.com |
42 | selectionlinksjs[.]info | 2016/7/7 | 2018/8/16 | mynameserver1.com |
43 | putags[.]com | 2017/12/24 | 2018/1/30 | mynameserver1.com |
44 | ijquery9[.]com | 2018/6/30 | 2018/8/6 | mynameserver1.com |
45 | tcs3[.]co[.]uk | |||
46 | iplusfree[.]pro | 2018/7/13 | 2018/8/21 | mynameserver1.com |
47 | jquery[.]im | |||
48 | mp3rocketdownloadfiles[.]com | 2018/12/4 | 2018/12/5 | mynameserver1.com |
49 | nster[.]net | 2018/12/5 | 2018/12/6 | mynameserver1.com |
50 | trafficanalytics[.]online | |||
51 | sn00[.]net | 2018/2/13 | 2018/5/9 | mynameserver1.com |
52 | kristofer[.]ga | |||
53 | livestats[.]us | 2016/7/3 | 2017/2/16 | mynameserver1.com |
54 | widgetstat[.]net | 2018/2/14 | 2018/8/12 | mynameserver1.com |
55 | free-codes[.]org | 2018/1/31 | ||
56 | xfanclub[.]ru | 2016/8/2 | ||
57 | mediros[.]ru | 2018/8/12 | ||
58 | n299adserv[.]com | 2017/11/12 | 2018/3/30 | mynameserver1.com |
59 | nstracking[.]com | 2016/1/2 | 2017/2/17 | mynameserver1.com |
60 | oasagm82wioi[.]org | 2018/1/21 | 2018/8/25 | mynameserver1.com |
61 | onlinemarketplace[.]top | |||
62 | kuru2jam[.]com | 2018/3/2 | 2018/4/8 | mynameserver1.com |
63 | motoboerse[.]at | |||
64 | pipardot[.]com | 2018/12/18 | 2018/12/26 | mynameserver1.com |
65 | nighter[.]club | 2018/9/29 | 2018/12/19 | mynameserver1.com |
66 | omnitor[.]ru | 2018/8/12 | ||
67 | sbdtds[.]com | 2016/12/2 | 2017/2/15 | mynameserver1.com |
68 | scorepresshidden[.]info | 2018/11/19 | 2018/11/24 | mynameserver1.com |
69 | script.affilizr[.]com | 2017/4/18 | 2017/6/26 | mynameserver1.com |
70 | dancewithme[.]biz | 2018/10/19 | 2018/11/25 | mynameserver1.com |
71 | security-service[.]su | 2018/8/12 | ||
72 | senderjs[.]net | 2018/12/19 | 2018/12/27 | mynameserver1.com |
73 | clk-analytics[.]com | 2018/8/30 | 2018/10/9 | mynameserver1.com |
74 | segpress[.]io | |||
75 | stablemoney[.]ru | 2018/1/10 | ||
76 | rolledwil[.]biz | 2017/5/12 | 2017/7/6 | mynameserver1.com |
77 | bh-cdn[.]com | 2018/9/16 | 2018/10/24 | mynameserver1.com |
78 | imaginaxs[.]com | 2018/6/7 | 2018/8/21 | mynameserver1.com |
79 | affect[.]lt | 2017/12/3 | ||
80 | trafficapi[.]nl | |||
81 | traffictrade[.]life | 2018/8/15 | 2018/9/27 | mynameserver1.com |
82 | upgraderservices[.]cf | |||
83 | upskirt-jp[.]net | 2018/12/19 | 2018/12/27 | mynameserver1.com |
84 | vclicks[.]net | 2018/7/15 | 2018/8/24 | mynameserver1.com |
85 | vstats[.]co | 2017/8/1 | 2017/8/3 | cloudflare.com |
86 | topage[.]net | 2018/11/19 | 2018/11/25 | mynameserver1.com |
87 | webeatyouradblocker[.]com | 2017/2/23 | 2017/5/15 | mynameserver1.com |
88 | xcellenzy[.]com | 2017/11/11 | 2018/2/14 | mynameserver1.com |
89 | wowzio[.]net | 2018/1/29 | 2018/1/30 | mynameserver1.com |
90 | acotemoi[.]com | 2018/12/11 | mynameserver1.com | |
91 | adsonflags[.]com | 2018/9/1 | 2018/10/9 | mynameserver1.com |
92 | agrkings[.]com | 2017/2/10 | 2017/4/4 | mynameserver1.com |
93 | apps4shopify[.]com | 2018/9/24 | 2018/11/9 | mynameserver1.com |
94 | auctionaffiliate[.]co | 2016/4/1 | 2017/2/17 | mynameserver1.com |
95 | caphyon-analytics[.]com | 2018/3/21 | 2018/8/16 | mynameserver1.com |
96 | frompariswithhate[.]org | 2018/1/31 | ||
97 | goodyear-coupons[.]com | 2017/1/10 | 2017/4/4 | mynameserver1.com |
98 | hmailserver[.]in | 2015/1/24 | ||
99 | kanpianjs[.]top | |||
100 | ournet-analytics[.]com | 2016/6/11 | 2018/8/16 | mynameserver1.com |
101 | rarstats[.]com | 2018/10/6 | 2018/11/21 | mynameserver1.com |
102 | seo101[.]net | 2018/1/31 | 2018/3/10 | mynameserver1.com |
103 | spartan-ntv[.]com | 2018/1/27 | 2018/3/6 | mynameserver1.com |
104 | takoashi[.]net | 2018/6/15 | 2018/7/22 | mynameserver1.com |
105 | yys1982[.]com | 2018/8/22 | 2018/10/6 | mynameserver1.com |
106 | your-3[.]com | 2018/11/21 | mynameserver1.com | |
107 | yourmsrp[.]com | 2018/7/14 | 2018/8/21 | mynameserver1.com |
108 | zirve100[.]com | 2016/12/24 | 2017/2/15 | mynameserver1.com |
109 | orange81safe[.]com | 2018/9/20 | 2018/10/28 | mynameserver1.com |
110 | n298adserv[.]com | 2018/11/12 | 2018/12/26 | mynameserver1.com |
111 | adblockdetector[.]com | 2016/12/1 | 2017/2/13 | mynameserver1.com |
112 | jquery[.]tools | |||
113 | cleantds[.]in | 2016/4/27 | ||
114 | insightio.us | 2017/7/8 | 2017/8/13 | mynameserver1.com |
115 | webto[.]mobi | 2016/9/1 | ||
116 | hot---jar[.]com | 2018/11/18 | mynameserver1.com | |
117 | brightleaf[.]io | 2018/8/24 | ||
118 | wa-track[.]com | 2018/6/8 | 2018/6/14 | mynameserver1.com |
119 | adrife[.]net | 2017/8/3 | 2018/3/18 | mynameserver1.com |
120 | andrewandjack[.]com | 2018/10/10 | 2018/11/21 | mynameserver1.com |
121 | adsvcs[.]com | 2018/10/8 | 2018/11/21 | mynameserver1.com |
122 | odinkod[.]ru | 2017/4/3 | ||
123 | nexutab[.]com | 2018/5/5 | 2018/7/8 | mynameserver1.com |
124 | stadsvc[.]com | 2018/10/8 | 2018/11/18 | mynameserver1.com |
不審スクリプトURL一覧
# | 不審スクリプトのURL |
1 | hxxp://1.newor[.]net/www/delivery/delivery3.js |
2 | hxxp://2.api.viralheadlines[.]net/js/mass |
3 | hxxp://3.newor[.]net/www/delivery/delivery3.js |
4 | hxxp://a01.u-ad[.]info/page/JS.php |
5 | hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js |
6 | hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js |
7 | hxxp://airjss[.]com/data-uri.js |
8 | hxxp://api.behavioralmailing[.]com/js/data.js |
9 | hxxp://b.nwcdn[.]xyz/placement.js |
10 | hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js |
11 | hxxp://blozoo[.]net/js/ranktool/analyze.js |
12 | hxxp://bwinpoker24[.]com/door.js |
13 | hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267 |
14 | hxxp://cdn.adpoints[.]media/production/ads/652.js |
15 | hxxp://cdn.avrti[.]xyz/s.js |
16 | hxxp://cdn.inaudium[.]com/js/adtctr.js |
17 | hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js |
18 | hxxp://cdn.inaudium[.]com/js/adtctr.js |
19 | hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js |
20 | hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js |
21 | hxxp://cfs.u-ad[.]info/cfspushadsv2/request |
22 | hxxp://chat-client-js.firehoseapp[.]com/chat-min.js |
23 | hxxp://code.jguery[.]org/jquery-2.2.1.min.js |
24 | hxxp://con1.sometimesfree[.]biz/c.js |
25 | hxxp://connect.f1call[.]com/static/api.js |
26 | hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi |
27 | hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js |
28 | hxxp://dcts[.]pw/dictus.js |
29 | hxxp://dezaula[.]com/dezaula.js |
30 | hxxp://dup.baidustatic[.]pw/js/ds.js |
31 | hxxp://e.e708[.]net/cpc/index.php |
32 | hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref= |
33 | hxxp://flipdigital[.]ru/bcRX/src.js |
34 | hxxp://gamescale.vio[.]rocks/app/embed/ |
35 | hxxp://getsocialbuttons[.]xyz/get-social.js |
36 | hxxp://hosted-oswa[.]org/piwik/piwik.js |
37 | hxxp://i.omeljs[.]info/omel/javascript.js |
38 | hxxp://i.rfgdjs[.]info/opt_content.js |
39 | hxxp://i.selectionlinksjs[.]info/obfy/javascript.js |
40 | hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js |
41 | hxxp://ijquery9[.]com/common.js |
42 | hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js |
43 | hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js |
44 | hxxp://java.sometimesfree[.]biz/counter.js |
45 | hxxp://jquery[.]im/jquery.geo.js |
46 | hxxp://js.nster[.]net/00/12/69.js |
47 | hxxp://js.trafficanalytics[.]online/js/js.js |
48 | hxxp://js2.sn00[.]net/00/37/20.js |
49 | hxxp://keit.kristofer[.]ga/71HXRp |
50 | hxxp://livestats[.]us/812X |
51 | hxxp://log.widgetstat[.]net/event.php |
52 | hxxp://m.free-codes[.]org/gh.php |
53 | hxxp://m.xfanclub[.]ru/c/45558.js |
54 | hxxp://mediros[.]ru/get2.php |
55 | hxxps://n299adserv[.]com/js/show_ads_supp.js |
56 | hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp |
57 | hxxp://nstracking[.]com/js/TrackingV2.js |
58 | hxxp://oasagm82wioi[.]org/css/js/style.php |
59 | hxxp://onlinemarketplace[.]top/client.js |
60 | hxxp://parts.kuru2jam[.]com/js/wind_chime.js |
61 | hxxp://pipardot[.]com/pd.js |
62 | hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js |
63 | hxxp://sbdtds[.]com/acounter.js |
64 | hxxp://script.affilizr[.]com/js/affilizr.js |
65 | hxxp://sdb.dancewithme[.]biz/db.js |
66 | hxxps://security-service[.]su/src/hirschs.co.za.js |
67 | hxxp://src.dancewithme[.]biz/src.js |
68 | hxxp://srv1.clk-analytics[.]com/i/ |
69 | hxxp://st.segpress[.]io/segpress/focus/1.js |
70 | hxxp://stablemoney[.]ru/113962.js |
71 | hxxp://stat.rolledwil[.]biz/stat.php |
72 | hxxp://static.bh-cdn[.]com/msf/loader.js |
73 | hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js |
74 | hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js |
75 | hxxp://trafficapi[.]nl/static/main.js |
76 | hxxp://traffictrade[.]life/scripts.js |
77 | hxxp://upgraderservices[.]cf/drupal.js |
78 | hxxp://upskirt-jp[.]net/piwik/piwik.js |
79 | hxxps://w.topage[.]net/box.js |
80 | hxxp://webstats.xcellenzy[.]com/piwik.js |
81 | hxxp://widgets.wowzio[.]net/widgets/jscript |
82 | hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js |
83 | hxxp://www.agrkings[.]com/ads-api |
84 | hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js |
85 | hxxp://www.caphyon-analytics[.]com/aws.js |
86 | hxxp://www.frompariswithhate[.]org/t.js |
87 | hxxp://www.hmailserver[.]in/iser/ |
88 | hxxp://www.kanpianjs[.]top/dy/home.js |
89 | hxxp://www.ournet-analytics[.]com/top20md.js |
90 | hxxp://www.rarstats[.]com/piwik.js |
91 | hxxp://www.seo101[.]net/apntrack.js |
92 | hxxp://www.spartan-ntv[.]com/tag/pera/nat.js |
93 | hxxp://www.takoashi[.]net/js/ConvertTree.js |
94 | hxxp://www.takoashi[.]net/js/CreateCommentsTree.js |
95 | hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js |
96 | hxxp://www.takoashi[.]net/js/CreateCategoryTree.js |
97 | hxxp://www.yys1982[.]com/468.js |
98 | hxxp://yourmsrp[.]com/piwik//piwik.js |
99 | hxxp://zirve100[.]com/CounterV4.js |
100 | hxxp://s.orange81safe[.]com/scr1_wrp.js |
101 | hxxp://stat.botthumb[.]com/piwik.js |
102 | hxxp://cdn.jquery[.]tools/latest.min.js |
103 | hxxp://js.sn00[.]net/00/17/93.js |
104 | hxxp://cleantds[.]in/coupe.php |
105 | hxxp://w5983.lb.wa-track[.]com/wa.js |
106 | hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js |
107 | hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js |
108 | hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js |
以上
更新履歴
2019年1月26日 | 初版作成 |