tike blog

セキュリティで気になった事をダラダラと。

放棄ドメインの大量取得によるスクリプトの乗っ取りについて

 

 

 

はじめに

 

 

 

既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。

 

ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。

 

閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。
その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。

 

このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。

 

 

 

 

不審な JavaScript

 

 

 

先日、不審な挙動を示す以下のJavaScriptを目にしました。

 

f:id:tiketiketikeke:20190126161720p:plain


Cookieを含むいくつかの情報を king[.]connectioncdn[.]com という外部のサーバにPOSTするというものです。

 

そして、このJavaScriptの呼び出し元は、海外のLinuxユーザのコミュニティサイトである LinuxForums[.]org でした。

f:id:tiketiketikeke:20190126163234p:plain

 

データ送信を行うJavaScriptは、以下のscriptタグで読み込まれます。

 

f:id:tiketiketikeke:20190126163600p:plain

 

JavaScript参照元 (LinuxForums[.]org) と参照先 (3[.]newor[.]net) 、データの送信先 (king[.]connectioncdn[.]com) は、いずれも異なるドメインであり、閲覧者が認識できない形で秘密裏に情報を外部に送信しているように見えます。

 

実際に送信される情報をパケットキャプチャから見てみます。

 

f:id:tiketiketikeke:20190126164732p:plain

 

Cookie以外にも、呼び出し元のサイト名、ページ名、リファラやタイムスタンプ、何らかの意味がありそうなランダムな値なども送信しています。 

 

続いてデータの送信先ホストについて見ていきたいと思います。


 

 

データの送信先から見えるインフラの全体像

 

 

 

データの送信先ホストを確認したところ、サブドメインがいくつか存在することが確認できました。
前述の分も含めると、以下の4件のサブドメインが存在します。

 

f:id:tiketiketikeke:20190126165354p:plain

 

それぞれのDNS Aレコードは以下の通りです。

 

f:id:tiketiketikeke:20190126165526p:plain

 

f:id:tiketiketikeke:20190126165551p:plain

 

f:id:tiketiketikeke:20190126165634p:plain

 

f:id:tiketiketikeke:20190126165704p:plain

 

f:id:tiketiketikeke:20190126165858p:plain

 

hashtagとmars、kingはAS30083(Hosting Solutions International, Inc.)、pressはAS16276 (OVH SAS) の配下にいるようです。

※ 以下、これらのホストをconnectioncdnホストと記載します。

 

次に、外部にデータを送信するスクリプトが設置されたホストのIPアドレスを見てみます。

 

f:id:tiketiketikeke:20190126170235p:plain

 

Aレコードが2件登録されており、hashtagとpressのconnectioncdnホストと同じIPアドレスであることがわかりました。

 

それぞれのIPアドレスに対してスクリプトを取得してみます。

 

まずは 209.126.103[.]59 (hashtag[.]connectioncdn[.]com)に対して。

 

f:id:tiketiketikeke:20190126171318p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171440p:plain

 

データの送信先として、hashtag[.]connectioncdn[.]com が指定されています。

 

次に、147.135.1[.]203 (press[.]connectioncdn[.]com)からスクリプトを取得します。

 

f:id:tiketiketikeke:20190126171720p:plain

 

レスポンスとして返却されるJavaScript(抜粋)は以下の通りでした。

 

f:id:tiketiketikeke:20190126171812p:plain

 

IPアドレスを同一とするconnectioncdnホストに対してデータをPOSTする仕様のようです。

 

更に確認したところ、4台の connectioncdnホストと同じIPアドレスを持つFQDNが2019年1月24日の時点で少なくとも134件存在し、いずれも上記の事例と同様、2台のconnectioncdnホストと同じIPアドレスを持つことが確認できました。

 

一部のFQDNIPアドレスの一覧を以下に記載します。

※134件全件の一覧はIoC情報として文末に記載しています。

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203

 

一部を抜粋して図示すると以下のようになります。

 

f:id:tiketiketikeke:20190126180939p:plain

 

connectioncdnホストの1台に何らかの問題が発生したとしても業務継続(?)が可能となるよう冗長構成がとられています。
また、前述した通り connectioncdnホストは2つのプロバイダ(AS30083とAS16276)にまたがっており、あらゆる事態を想定した堅牢な構成で稼動していると言えます。

 

次に、134件のFQDNを構成する各ドメインの取得時期を見てみたいと思います。
合わせて、これらのドメインが新規に取得されたものなのか、または既存のドメインを流用したものなのかを確認するために、ドメイン削除の記録があればその時期についても確認します。

なお、ドメイン放棄の記録は、domainbigdata.com の [history]項目から抽出しており、表中の[直前のドメイン削除日]は、ドメイン再取得の直前にそのドメインが放棄された日付を示しています。

※ここでは一部のドメインのみとし、全件はIoC情報として文末に記載しています。

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com

 

全件を確認したところ、一部の不明なドメインを除く大半のドメインは過去に放棄された経緯があることがわかりました。

放棄された時期と再登録された時期はバラバラですが、第三者が放棄ドメインを取得し、このインフラに組み込んでいるようです。

 

 

 

どのようなスクリプトが公開されているのか

 

 

connectioncdnホストと同一のIPアドレスを持つFQDN群が、本記事の冒頭に示した不審なJavaScriptとほぼ同じ内容のスクリプトを公開していることが確認できました。何れも、Cookieを含む情報をconnectioncdnホストに対して送信するという内容です。可能な範囲で収集したスクリプトのURLを以下に示します。

 ※ここでは一部のURLのみとし、全件はIoC情報として文末に記載しています。

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js

 

これらのスクリプトはPOST先のサーバとkパラメータの値が異なるのみであり、ほぼ全て同じ内容でした。

更に、各サイトのルートディレクトリ、及び存在しないファイルをリクエストしてみます。

先ずはルートディレクトリにアクセスしてみます。

 

f:id:tiketiketikeke:20190126203654p:plain

 

全てのURLで「Temporaily Down for Maintenance.」という文言が表示されることが確認できました。

 

次に、存在しないファイルをリクエストしてみます。

 

f:id:tiketiketikeke:20190126203817p:plain

 

こちらも、全てのURLで同様の文言が表示されました。

 

このことから、特定リソースへのリクエストが来た場合にのみ特別な処理を行うように実装されていると考えられます。

 

 

 

放棄ドメインは本来どのように使われていたのか

 

 

放棄ドメインの本来の用途は様々です。WordPressTumblrのテンプレート、フリーのソースコードサンプル、広告関連、アクセス解析などなど。外部スクリプトとして消されずに残っている可能性のあるものばかりです。

詐欺サイトに誘導するための踏み台として過去にWordPressサイトに不正に埋め込まれたスクリプトが、今ではconnectioncdnホストに情報を送信する目的で使用されているのは特に興味深い点として挙げられます。

 

 

 

まとめ

 

 

 

最後までご覧いただきありがとうございます。

 

私個人のレベルでは、ここまでの調査が限界でした(笑)

このブログをご覧頂いた方の中で「更に深く調査してやろう」という方がもしいらっしゃいましたら、是非とも継続調査をお願いできればと思います。

 

本記事の冒頭「外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しい」と述べましたが、これはあくまで閲覧者の視点での話です。
外部スクリプトが改竄され、コインマイナーが仕込まれたり、カード情報が盗まれたりという話は度々報道されています。

サイト運営者の方々は自サイト上のゴミを極力排除し、更に外部リソースの変化を検知できる仕組みをご検討頂くべきかと思います。
(偉そうなこと言ってスミマセン!)

 

ではでは。

 

 

 

IoC

 

 

 

 connectioncdnホストと同居するFQDN一覧

 

 

# FQDN IPアドレス
1 1.newor[.]net 147.135.1[.]203, 209.126.103[.]139
2 2.api.viralheadlines[.]net 147.135.1[.]203, 209.126.127[.]231
3 3.newor[.]net 147.135.1[.]203, 209.126.103[.]139
4 a01.u-ad[.]info 209.126.103[.]59, 209.126.127[.]231
5 abtrcking[.]com 147.135.1[.]203, 209.126.103[.]59
6 adrenalinecdn[.]com 147.135.1[.]203, 209.126.103[.]59
7 airjss[.]com 147.135.1[.]203, 209.126.103[.]139
8 api.behavioralmailing[.]com 147.135.1[.]203, 209.126.103[.]59
9 apps.suppressedvoice[.]com 209.126.103[.]139, 147.135.1[.]203
10 b.nwcdn[.]xyz 209.126.103[.]139, 147.135.1[.]203
11 beatchucknorris[.]com 209.126.103[.]59, 147.135.1[.]203
12 blozoo[.]net 147.135.1[.]203, 209.126.103[.]139
13 bolingbroke.werringtonlasborough[.]com 209.126.127[.]231, 209.126.103[.]59
14 bwinpoker24[.]com 147.135.1[.]203, 209.126.103[.]59
15 c.radxcomm[.]com 209.126.103[.]139, 209.126.127[.]231
16 cdn.adpoints[.]media 209.126.103[.]59, 209.126.127[.]231
17 cdn.avrti[.]xyz 147.135.1[.]203, 209.126.103[.]139
18 cdn.botthumb[.]com 147.135.1[.]203, 209.126.127[.]231
19 cdn.echoenabled[.]com 209.126.127[.]231, 209.126.103[.]59
20 cdn[.]inaudium[.]com 209.126.127[.]231, 209.126.103[.]59
21 cdn.muse-widgets[.]ru 209.126.103[.]59, 209.126.127[.]231
22 cdn.owlcdn[.]com 147.135.1[.]203, 209.126.103[.]59
23 cfs.u-ad[.]info 209.126.127[.]231, 147.135.1[.]203
24 chat-client-js.firehoseapp[.]com 147.135.1[.]203, 209.126.127[.]231
25 code.jguery[.]org 209.126.103[.]139, 147.135.1[.]203
26 con1.sometimesfree[.]biz 209.126.103[.]139, 209.126.103[.]59
27 connect.f1call[.]com 209.126.103[.]59, 209.126.103[.]139
28 d0.histats.12mlbe[.]com 209.126.127[.]231, 209.126.103[.]139
29 daljarrock.hurlinesswhitchurch[.]com 209.126.103[.]59, 209.126.103[.]139
30 dcts[.]pw 209.126.103[.]59, 147.135.1[.]203
31 dezaula[.]com 209.126.103[.]59, 147.135.1[.]203
32 dup.baidustatic[.]pw 209.126.103[.]59, 209.126.127[.]231
33 e.e708[.]net 147.135.1[.]203, 209.126.103[.]139
34 earsham.pontypriddcrick[.]com 209.126.103[.]139, 147.135.1[.]203
35 flipdigital[.]ru 209.126.127[.]231, 209.126.103[.]139
36 font4u[.]ga 147.135.1[.]203, 209.126.127[.]231
37 ga87z2o[.]com 147.135.1[.]203, 209.126.103[.]59
38 gamescale.vio[.]rocks 209.126.103[.]139, 209.126.103[.]59
39 getsocialbuttons[.]xyz 147.135.1[.]203, 209.126.103[.]59
40 godstrength[.]org 209.126.103[.]139, 209.126.103[.]59
41 hosted-oswa[.]org 209.126.127[.]231, 147.135.1[.]203
42 i.omeljs[.]info 209.126.103[.]139, 209.126.127[.]231
43 i.rfgdjs[.]info 147.135.1[.]203, 209.126.103[.]59
44 i.selectionlinksjs[.]info 209.126.103[.]139, 209.126.127[.]231
45 i3.putags[.]com 147.135.1[.]203, 209.126.127[.]231
46 ijquery9[.]com 209.126.103[.]59, 209.126.127[.]231
47 infinite-2.tcs3[.]co[.]uk 209.126.103[.]139, 147.135.1[.]203
48 infinite-3.tcs3[.]co[.]uk 209.126.103[.]59, 209.126.127[.]231
49 iplusfree[.]pro 209.126.127[.]231, 209.126.103[.]59
50 java.sometimesfree[.]biz 209.126.103[.]59, 209.126.103[.]139
51 jquery[.]im 209.126.103[.]139, 147.135.1[.]203
52 js.mp3rocketdownloadfiles[.]com 209.126.103[.]59, 209.126.103[.]139
53 js.nster[.]net 209.126.127[.]231, 147.135.1[.]203
54 js.trafficanalytics[.]online 209.126.103[.]139, 209.126.103[.]59
55 js2.sn00[.]net 209.126.103[.]139, 209.126.127[.]231
56 keit.kristofer[.]ga 147.135.1[.]203, 209.126.103[.]59
57 livestats[.]us 209.126.103[.]59, 209.126.103[.]139
58 log.widgetstat[.]net 209.126.103[.]59, 209.126.127[.]231
59 m.free-codes[.]org 209.126.103[.]59, 209.126.103[.]139
60 m.xfanclub[.]ru 209.126.103[.]59, 147.135.1[.]203
61 mediros[.]ru 209.126.127[.]231, 209.126.103[.]139
62 n299adserv[.]com 209.126.103[.]59, 209.126.103[.]139
63 narnia.tcs3[.]co[.]uk 209.126.127[.]231, 209.126.103[.]59
64 nstracking[.]com 147.135.1[.]203, 209.126.103[.]59
65 oasagm82wioi[.]org 209.126.103[.]59, 209.126.103[.]139
66 onlinemarketplace[.]top 209.126.103[.]139, 209.126.127[.]231
67 parts.kuru2jam[.]com 209.126.103[.]59, 209.126.127[.]231
68 phpadsnew.motoboerse[.]at 147.135.1[.]203, 209.126.103[.]59
69 pipardot[.]com 209.126.127[.]231, 147.135.1[.]203
70 pl105476.putags[.]com 147.135.1[.]203, 209.126.127[.]231
71 place2003.nighter[.]club 147.135.1[.]203, 209.126.103[.]59
72 s1.omnitor[.]ru 209.126.103[.]59, 209.126.127[.]231
73 sbdtds[.]com 209.126.127[.]231, 209.126.103[.]59
74 scorepresshidden[.]info 147.135.1[.]203, 209.126.127[.]231
75 script.affilizr[.]com 209.126.103[.]59, 209.126.103[.]139
76 sdb.dancewithme[.]biz 209.126.103[.]139, 147.135.1[.]203
77 security-service[.]su 209.126.103[.]59, 209.126.127[.]231
78 senderjs[.]net 147.135.1[.]203, 209.126.103[.]139
79 src.dancewithme[.]biz 209.126.127[.]231, 209.126.103[.]139
80 srv1.clk-analytics[.]com 209.126.103[.]139, 147.135.1[.]203
81 st.segpress.io 209.126.103[.]139, 209.126.103[.]59
82 stablemoney[.]ru 209.126.127[.]231, 209.126.103[.]59
83 stat.rolledwil[.]biz 209.126.103[.]59, 209.126.127[.]231
84 static.bh-cdn[.]com 209.126.103[.]139, 209.126.103[.]59
85 tag.imaginaxs[.]com 147.135.1[.]203, 209.126.103[.]59
86 themes.affect[.]lt 209.126.103[.]139, 147.135.1[.]203
87 trafficapi[.]nl 209.126.127[.]231, 209.126.103[.]59
88 traffictrade[.]life 147.135.1[.]203, 209.126.103[.]59
89 upgraderservices[.]cf 147.135.1[.]203, 209.126.127[.]231
90 upskirt-jp[.]net 209.126.103[.]139, 209.126.127[.]231
91 vclicks[.]net 209.126.103[.]59, 147.135.1[.]203
92 vstats[.]co 147.135.1[.]203, 209.126.103[.]59
93 w[.]topage[.]net 147.135.1[.]203, 209.126.103[.]59
94 webeatyouradblocker[.]com 147.135.1[.]203, 209.126.103[.]59
95 webstats.xcellenzy[.]com 209.126.127[.]231, 209.126.103[.]59
96 widgets.wowzio[.]net 209.126.127[.]231, 209.126.103[.]59
97 www.acotemoi[.]com 147.135.1[.]203, 209.126.103[.]139
98 www.adsonflags[.]com 209.126.103[.]59, 209.126.127[.]231
99 www.agrkings[.]com 209.126.103[.]139, 147.135.1[.]203
100 www.apps4shopify[.]com 209.126.127[.]231, 209.126.103[.]59
101 www.auctionaffiliate[.]co 147.135.1[.]203, 209.126.103[.]139
102 www.caphyon-analytics[.]com 209.126.103[.]139, 209.126.103[.]59
103 www.frompariswithhate[.]org 209.126.127[.]231, 147.135.1[.]203
104 www.goodyear-coupons[.]com 209.126.103[.]139, 209.126.127[.]231
105 www.hmailserver[.]in 147.135.1[.]203, 209.126.103[.]139
106 www.kanpianjs[.]top 147.135.1[.]203, 209.126.103[.]59
107 www.ournet-analytics[.]com 209.126.103[.]139, 209.126.127[.]231
108 www.rarstats[.]com 209.126.103[.]139, 209.126.103[.]59
109 www.seo101[.]net 147.135.1[.]203, 209.126.103[.]139
110 www.spartan-ntv[.]com 209.126.103[.]139, 209.126.103[.]59
111 www.takoashi[.]net 147.135.1[.]203, 209.126.103[.]59
112 www.yys1982[.]com 209.126.127[.]231, 147.135.1[.]203
113 your-3[.]com 209.126.103[.]59, 209.126.103[.]139
114 yourmsrp[.]com 209.126.103[.]59, 209.126.103[.]139
115 zirve100[.]com 209.126.127[.]231, 209.126.103[.]139
116 s.orange81safe[.]com 209.126.103[.]139, 147.135.1[.]203
117 n298adserv[.]com 209.126.103[.]59, 209.126.127[.]231
118 stat.botthumb[.]com 147.135.1[.]203, 209.126.103[.]59
119 adblockdetector[.]com 209.126.103[.]59, 147.135.1[.]203
120 cdn.jquery[.]tools 209.126.103[.]59, 209.126.103[.]139
121 js.sn00[.]net 209.126.103[.]139, 209.126.103[.]59
122 cleantds[.]in 209.126.103[.]139, 209.126.127[.]231
123 wp.traffictrade[.]life 209.126.127[.]231, 147.135.1[.]203
124 www.insightio[.]us 209.126.103[.]139, 209.126.103[.]59
125 webto[.]mobi 209.126.103[.]139, 147.135.1[.]203
126 static.hot---jar[.]com 209.126.103[.]59, 209.126.103[.]139
127 appsyt.brightleaf[.]io 209.126.103[.]59, 147.135.1[.]203
128 w5983.lb.wa-track[.]com 209.126.103[.]139, 209.126.127[.]231
129 adrife[.]net 209.126.103[.]59, 209.126.127[.]231
130 www.andrewandjack[.]com 209.126.103[.]59, 209.126.127[.]231
131 da.adsvcs[.]com 209.126.103[.]59, 147.135.1[.]203
132 ssl.cdn.odinkod[.]ru 209.126.103[.]59, 209.126.127[.]231
133 nexutab[.]com 209.126.103[.]139, 209.126.127[.]231
134 st.stadsvc[.]com 209.126.103[.]59, 147.135.1[.]203

 

 

 

ドメイン登録日一覧

 

 

# ドメイン 直前のドメイン削除日 最新のドメイン登録(移転)日 現在のネームサーバ
1 newor[.]net 2018/11/9 2018/12/17 mynameserver1.com
2 viralheadlines[.]net 2018/8/21 2018/11/22 mynameserver1.com
3 u-ad[.]info 2016/4/21 2017/6/25 mynameserver1.com
4 abtrcking[.]com 2018/9/3 2018/11/15 mynameserver1.com
5 adrenalinecdn[.]com 2018/5/26 2018/8/3 mynameserver1.com
6 airjss[.]com 2018/7/23 2018/8/31 mynameserver1.com
7 behavioralmailing[.]com 2018/10/14 2018/11/21 mynameserver1.com
8 suppressedvoice[.]com   2018/10/26 mynameserver1.com
9 nwcdn[.]xyz   2018/7/22 mynameserver3.com
10 beatchucknorris[.]com 2018/4/29 2018/8/16 mynameserver1.com
11 blozoo[.]net 2017/1/22 2017/2/28 mynameserver1.com
12 werringtonlasborough[.]com   2018/7/30 mynameserver1.com
13 bwinpoker24[.]com 2018/4/29 2018/8/31 mynameserver1.com
14 radxcomm[.]com 2018/6/24 2018/8/5 mynameserver1.com
15 adpoints.media   1900/1/0  
16 avrti[.]xyz   2018/8/25 mynameserver3.com
17 botthumb[.]com 2018/11/22 2018/11/30 mynameserver1.com
18 echoenabled[.]com 2016/12/15 2017/3/8 mynameserver1.com
19 inaudium[.]com 2017/4/28 2017/6/5 mynameserver1.com
20 muse-widgets[.]ru   2018/10/6  
21 owlcdn[.]com 2018/1/30 2018/3/9 mynameserver1.com
22 firehoseapp[.]com 2018/1/30 2018/3/9 mynameserver1.com
23 jguery[.]org 2018/4/21 2018/6/8 mynameserver1.com
24 sometimesfree[.]biz 2018/10/6 2018/11/10 mynameserver1.com
25 f1call[.]com 2018/5/19 2018/7/5 mynameserver1.com
26 12mlbe[.]com 2017/1/24 2017/2/15 mynameserver1.com
27 hurlinesswhitchurch[.]com 2017/7/1 2017/9/21 mynameserver1.com
28 dcts[.]pw   2016/12/24  
29 dezaula[.]com 2018/3/16 2018/7/18 mynameserver1.com
30 baidustatic[.]pw      
31 e708[.]net 2018/1/10 2018/2/16 mynameserver1.com
32 pontypriddcrick[.]com 2017/7/1 2017/9/21 mynameserver1.com
33 flipdigital[.]ru   2018/12/5  
34 font4u[.]ga      
35 ga87z2o[.]com 2018/3/31 2018/5/8 mynameserver1.com
36 vio[.]rocks      
37 getsocialbuttons[.]xyz 2018/8/15 2018/11/26 mynameserver3.com
38 godstrength[.]org 2018/4/14 2018/7/15 mynameserver1.com
39 hosted-oswa[.]org 2018/9/25 2018/11/9 mynameserver1.com
40 omeljs[.]info 2017/8/7 2017/12/11 mynameserver1.com
41 rfgdjs[.]info 2017/5/28 2017/12/11 mynameserver1.com
42 selectionlinksjs[.]info 2016/7/7 2018/8/16 mynameserver1.com
43 putags[.]com 2017/12/24 2018/1/30 mynameserver1.com
44 ijquery9[.]com 2018/6/30 2018/8/6 mynameserver1.com
45 tcs3[.]co[.]uk      
46 iplusfree[.]pro 2018/7/13 2018/8/21 mynameserver1.com
47 jquery[.]im      
48 mp3rocketdownloadfiles[.]com 2018/12/4 2018/12/5 mynameserver1.com
49 nster[.]net 2018/12/5 2018/12/6 mynameserver1.com
50 trafficanalytics[.]online      
51 sn00[.]net 2018/2/13 2018/5/9 mynameserver1.com
52 kristofer[.]ga      
53 livestats[.]us 2016/7/3 2017/2/16 mynameserver1.com
54 widgetstat[.]net 2018/2/14 2018/8/12 mynameserver1.com
55 free-codes[.]org 2018/1/31    
56 xfanclub[.]ru   2016/8/2  
57 mediros[.]ru   2018/8/12  
58 n299adserv[.]com 2017/11/12 2018/3/30 mynameserver1.com
59 nstracking[.]com 2016/1/2 2017/2/17 mynameserver1.com
60 oasagm82wioi[.]org 2018/1/21 2018/8/25 mynameserver1.com
61 onlinemarketplace[.]top      
62 kuru2jam[.]com 2018/3/2 2018/4/8 mynameserver1.com
63 motoboerse[.]at      
64 pipardot[.]com 2018/12/18 2018/12/26 mynameserver1.com
65 nighter[.]club 2018/9/29 2018/12/19 mynameserver1.com
66 omnitor[.]ru   2018/8/12  
67 sbdtds[.]com 2016/12/2 2017/2/15 mynameserver1.com
68 scorepresshidden[.]info 2018/11/19 2018/11/24 mynameserver1.com
69 script.affilizr[.]com 2017/4/18 2017/6/26 mynameserver1.com
70 dancewithme[.]biz 2018/10/19 2018/11/25 mynameserver1.com
71 security-service[.]su   2018/8/12  
72 senderjs[.]net 2018/12/19 2018/12/27 mynameserver1.com
73 clk-analytics[.]com 2018/8/30 2018/10/9 mynameserver1.com
74 segpress[.]io      
75 stablemoney[.]ru   2018/1/10  
76 rolledwil[.]biz 2017/5/12 2017/7/6 mynameserver1.com
77 bh-cdn[.]com 2018/9/16 2018/10/24 mynameserver1.com
78 imaginaxs[.]com 2018/6/7 2018/8/21 mynameserver1.com
79 affect[.]lt   2017/12/3  
80 trafficapi[.]nl      
81 traffictrade[.]life 2018/8/15 2018/9/27 mynameserver1.com
82 upgraderservices[.]cf      
83 upskirt-jp[.]net 2018/12/19 2018/12/27 mynameserver1.com
84 vclicks[.]net 2018/7/15 2018/8/24 mynameserver1.com
85 vstats[.]co 2017/8/1 2017/8/3 cloudflare.com
86 topage[.]net 2018/11/19 2018/11/25 mynameserver1.com
87 webeatyouradblocker[.]com 2017/2/23 2017/5/15 mynameserver1.com
88 xcellenzy[.]com 2017/11/11 2018/2/14 mynameserver1.com
89 wowzio[.]net 2018/1/29 2018/1/30 mynameserver1.com
90 acotemoi[.]com   2018/12/11 mynameserver1.com
91 adsonflags[.]com 2018/9/1 2018/10/9 mynameserver1.com
92 agrkings[.]com 2017/2/10 2017/4/4 mynameserver1.com
93 apps4shopify[.]com 2018/9/24 2018/11/9 mynameserver1.com
94 auctionaffiliate[.]co 2016/4/1 2017/2/17 mynameserver1.com
95 caphyon-analytics[.]com 2018/3/21 2018/8/16 mynameserver1.com
96 frompariswithhate[.]org 2018/1/31    
97 goodyear-coupons[.]com 2017/1/10 2017/4/4 mynameserver1.com
98 hmailserver[.]in   2015/1/24  
99 kanpianjs[.]top      
100 ournet-analytics[.]com 2016/6/11 2018/8/16 mynameserver1.com
101 rarstats[.]com 2018/10/6 2018/11/21 mynameserver1.com
102 seo101[.]net 2018/1/31 2018/3/10 mynameserver1.com
103 spartan-ntv[.]com 2018/1/27 2018/3/6 mynameserver1.com
104 takoashi[.]net 2018/6/15 2018/7/22 mynameserver1.com
105 yys1982[.]com 2018/8/22 2018/10/6 mynameserver1.com
106 your-3[.]com   2018/11/21 mynameserver1.com
107 yourmsrp[.]com 2018/7/14 2018/8/21 mynameserver1.com
108 zirve100[.]com 2016/12/24 2017/2/15 mynameserver1.com
109 orange81safe[.]com 2018/9/20 2018/10/28 mynameserver1.com
110 n298adserv[.]com 2018/11/12 2018/12/26 mynameserver1.com
111 adblockdetector[.]com 2016/12/1 2017/2/13 mynameserver1.com
112 jquery[.]tools      
113 cleantds[.]in   2016/4/27  
114 insightio.us 2017/7/8 2017/8/13 mynameserver1.com
115 webto[.]mobi   2016/9/1  
116 hot---jar[.]com   2018/11/18 mynameserver1.com
117 brightleaf[.]io   2018/8/24  
118 wa-track[.]com 2018/6/8 2018/6/14 mynameserver1.com
119 adrife[.]net 2017/8/3 2018/3/18 mynameserver1.com
120 andrewandjack[.]com 2018/10/10 2018/11/21 mynameserver1.com
121 adsvcs[.]com 2018/10/8 2018/11/21 mynameserver1.com
122 odinkod[.]ru   2017/4/3  
123 nexutab[.]com 2018/5/5 2018/7/8 mynameserver1.com
124 stadsvc[.]com 2018/10/8 2018/11/18 mynameserver1.com

 

 

 

不審スクリプトURL一覧

 

 

# 不審スクリプトのURL
1 hxxp://1.newor[.]net/www/delivery/delivery3.js
2 hxxp://2.api.viralheadlines[.]net/js/mass
3 hxxp://3.newor[.]net/www/delivery/delivery3.js
4 hxxp://a01.u-ad[.]info/page/JS.php
5 hxxp://abtrcking[.]com/a610b2befbce9062/analytics.js
6 hxxp://adrenalinecdn[.]com/bolavip/creatives/breaking_ad/aDlne.js
7 hxxp://airjss[.]com/data-uri.js
8 hxxp://api.behavioralmailing[.]com/js/data.js
9 hxxp://b.nwcdn[.]xyz/placement.js
10 hxxp://beatchucknorris[.]com/scripts/25845e853781d28cd3cc44046f2717a5.min.js
11 hxxp://blozoo[.]net/js/ranktool/analyze.js
12 hxxp://bwinpoker24[.]com/door.js
13 hxxp://c.radxcomm[.]com/AdvWindow/getWin/ed839af81cb935b63b6110da3a9af267
14 hxxp://cdn.adpoints[.]media/production/ads/652.js
15 hxxp://cdn.avrti[.]xyz/s.js
16 hxxp://cdn.inaudium[.]com/js/adtctr.js
17 hxxp://cdn.echoenabled[.]com/clientapps/v2/backplane.js
18 hxxp://cdn.inaudium[.]com/js/adtctr.js
19 hxxp://cdn.muse-widgets[.]ru/mwsuperanimate.js
20 hxxp://cdn.owlcdn[.]com/google/analytics/analytics.js
21 hxxp://cfs.u-ad[.]info/cfspushadsv2/request
22 hxxp://chat-client-js.firehoseapp[.]com/chat-min.js
23 hxxp://code.jguery[.]org/jquery-2.2.1.min.js
24 hxxp://con1.sometimesfree[.]biz/c.js
25 hxxp://connect.f1call[.]com/static/api.js
26 hxxp://d0.histats.12mlbe[.]com/cgi-bin/mle.cgi
27 hxxp://daljarrock.hurlinesswhitchurch[.]com/blest.js
28 hxxp://dcts[.]pw/dictus.js
29 hxxp://dezaula[.]com/dezaula.js
30 hxxp://dup.baidustatic[.]pw/js/ds.js
31 hxxp://e.e708[.]net/cpc/index.php
32 hxxp://earsham.pontypriddcrick[.]com/embroiders.js?ref=
33 hxxp://flipdigital[.]ru/bcRX/src.js
34 hxxp://gamescale.vio[.]rocks/app/embed/
35 hxxp://getsocialbuttons[.]xyz/get-social.js
36 hxxp://hosted-oswa[.]org/piwik/piwik.js
37 hxxp://i.omeljs[.]info/omel/javascript.js
38 hxxp://i.rfgdjs[.]info/opt_content.js
39 hxxp://i.selectionlinksjs[.]info/obfy/javascript.js
40 hxxp://i3.putags[.]com/c4/5a/d0/c45ad0245f5cbeaaf368ef6bbfddb41c.js
41 hxxp://ijquery9[.]com/common.js
42 hxxp://infinite-2.tcs3[.]co[.]uk/Themes/InfiniteV2/jquery.js
43 hxxp://infinite-3.tcs3[.]co[.]uk/themes/infinitev3/totop.js
44 hxxp://java.sometimesfree[.]biz/counter.js
45 hxxp://jquery[.]im/jquery.geo.js
46 hxxp://js.nster[.]net/00/12/69.js
47 hxxp://js.trafficanalytics[.]online/js/js.js
48 hxxp://js2.sn00[.]net/00/37/20.js
49 hxxp://keit.kristofer[.]ga/71HXRp
50 hxxp://livestats[.]us/812X
51 hxxp://log.widgetstat[.]net/event.php
52 hxxp://m.free-codes[.]org/gh.php
53 hxxp://m.xfanclub[.]ru/c/45558.js
54 hxxp://mediros[.]ru/get2.php
55 hxxps://n299adserv[.]com/js/show_ads_supp.js
56 hxxp://narnia.tcs3[.]co[.]uk/themes/narnia/narnia.1/getjs.asp
57 hxxp://nstracking[.]com/js/TrackingV2.js
58 hxxp://oasagm82wioi[.]org/css/js/style.php
59 hxxp://onlinemarketplace[.]top/client.js
60 hxxp://parts.kuru2jam[.]com/js/wind_chime.js
61 hxxp://pipardot[.]com/pd.js
62 hxxp://s1.omnitor[.]ru/1fed79f0c2c92588b739f9e9f3be7bc6.js
63 hxxp://sbdtds[.]com/acounter.js
64 hxxp://script.affilizr[.]com/js/affilizr.js
65 hxxp://sdb.dancewithme[.]biz/db.js
66 hxxps://security-service[.]su/src/hirschs.co.za.js
67 hxxp://src.dancewithme[.]biz/src.js
68 hxxp://srv1.clk-analytics[.]com/i/
69 hxxp://st.segpress[.]io/segpress/focus/1.js
70 hxxp://stablemoney[.]ru/113962.js
71 hxxp://stat.rolledwil[.]biz/stat.php
72 hxxp://static.bh-cdn[.]com/msf/loader.js
73 hxxp://tag.imaginaxs[.]com/script/14567725196/preload.js
74 hxxp://themes.affect[.]lt/bodega/wp-content/themes/bodega/js/jquery.nivo.slider.pack.js
75 hxxp://trafficapi[.]nl/static/main.js
76 hxxp://traffictrade[.]life/scripts.js
77 hxxp://upgraderservices[.]cf/drupal.js
78 hxxp://upskirt-jp[.]net/piwik/piwik.js
79 hxxps://w.topage[.]net/box.js
80 hxxp://webstats.xcellenzy[.]com/piwik.js
81 hxxp://widgets.wowzio[.]net/widgets/jscript
82 hxxps://www.adsonflags[.]com/js/show_ads_ecpmband.js
83 hxxp://www.agrkings[.]com/ads-api
84 hxxps://www.apps4shopify[.]com/header-notification-bar/assets/js/countdown.js
85 hxxp://www.caphyon-analytics[.]com/aws.js
86 hxxp://www.frompariswithhate[.]org/t.js
87 hxxp://www.hmailserver[.]in/iser/
88 hxxp://www.kanpianjs[.]top/dy/home.js
89 hxxp://www.ournet-analytics[.]com/top20md.js
90 hxxp://www.rarstats[.]com/piwik.js
91 hxxp://www.seo101[.]net/apntrack.js
92 hxxp://www.spartan-ntv[.]com/tag/pera/nat.js
93 hxxp://www.takoashi[.]net/js/ConvertTree.js
94 hxxp://www.takoashi[.]net/js/CreateCommentsTree.js
95 hxxp://www.takoashi[.]net/js/CreateTrackBacksTree.js
96 hxxp://www.takoashi[.]net/js/CreateCategoryTree.js
97 hxxp://www.yys1982[.]com/468.js
98 hxxp://yourmsrp[.]com/piwik//piwik.js
99 hxxp://zirve100[.]com/CounterV4.js
100 hxxp://s.orange81safe[.]com/scr1_wrp.js
101 hxxp://stat.botthumb[.]com/piwik.js
102 hxxp://cdn.jquery[.]tools/latest.min.js
103 hxxp://js.sn00[.]net/00/17/93.js
104 hxxp://cleantds[.]in/coupe.php
105 hxxp://w5983.lb.wa-track[.]com/wa.js
106 hxxp://www.andrewandjack[.]com/untitledthemes/kinley/lite.js
107 hxxp://da.adsvcs[.]com/adsvcs/adsvcs.js
108 hxxp://st.stadsvc[.]com/stadsvc/stadsvc.js

 

以上 

 

 

更新履歴
2019年1月26日 初版作成