10月 20

この記事をブックマークする : このページをはてなブックマークに追加 このページをLivedoorクリップ! このページをニフティクリップに登録 newsing it! このページをdel.icio.usに登録 このページをBuzzurlにブックマーク

タガヤっす。

今日、ケータイに4通もスパムメールを送られて気分悪いです。
ちょいとおしおきしてやろうと調査してみた。


BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-NEC-STATUS:
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
BEGIN:VCARD
VERSION:2.1
N:
TEL:
END:VCARD
BEGIN:VENV
BEGIN:VCARD
VERSION:2.1
N:
TEL:
END:VCARD
BEGIN:VENV
BEGIN:VBODY
From: in-the-mix@lobemixxmbga.jp
To:
Cc:
Subject: =?SHIFT_JIS?B?gZ2BnW1peHmDUoN+g4WDaoNlg0KPtZHSj/OBnYGd?=
X-Keywords: FR0/TO
X-NEC-Res: ;;;;
X-NEC-From: OK
Date: Mon, 20 Oct 2008 17:42:00 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary=”mimemk00″

–mimemk00
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit

mixyコミュニティより招待状が届いています。
URLにアクセスして承認手続きをしてね!
(ログインキー有効期限は12時間以内です)

http://mix20.net/mb-mi/

~~お知らせ~~
おかげ様でmixy会員300万人突破!

(ログインキー有効期限は12時間以内です)
http://mix20.net/mb-mi/
–mimemk00–

END:VBODY
END:VENV
END:VENV
END:VMSG


ケータイのフィルタをかいくぐる方法が!!

in-the-mix@lobemixxmbga.jp

このメアドがミソ。

ボクはPCからのメールを受信してません。
それで不便な場合、別途ドメインを書いて許可しています。

モバゲーはケータイサイトとして成功しているサイトなので、研究用に登録していました。そのときに許可した設定が生きています。

で、このフィルタの設定が、大抵「後方一致」なわけです。

後方一致とは、後方から文字列が一致すればOKってことです。
つまり、

ボクが許可したドメイン
「mbga.jp」

今回スパム送信業者が語ったメアド
「in-the-mix@lobemixxmbga.jp」

後ろから見ると、確かに
「mbga.jp」
が書いてあります。つまり、この送信元はOKと判断されてしまったわけです。

ちなみに、こんなドメインは登録されてるわけないのでスルーです。

サーバをトレースします。

フィリピンの業者が持ってるIPを使っています。
つまりサーバはフィリピンで管理されている可能性が高いです。

さらに、
21番、22番、80番ポートが開いてますので、FTPポートに対するブルートフォース攻撃で、このサーバを無効化できると思います。さらに、FTPからバックドアを仕掛けてroo(ry

おっと。
ここまでやってしまったら、ボクが犯罪者になってしまいますので。

このサーバで動いてるドキュメントを調べたら、サブディレクトリにたくさんのサイトが動いてました。そこでは、空メールを送らせるためのメールアドレスが仕込まれています。そのドメインを調べると、イギリスのドメインで、でもIP調べるとINFOWEBだったりして、結局東京にサーバがあるみたいですネ。

他にもたくさんの空メールの送信先であるメアドを発見しましたが、いちいち調べてられません(汗)



男性諸君!

エロい気持ちで簡単に空メールを送るのはやめよう(汗)


あと、実況しながら事務所でトレース作業をしてたんですけど、



「そんなこともわかるんですか!? スゲーーー!」とか言わないで(汗)

み、みんな知ってることだと思ってたボクが恥ずかしくなるじゃないかっ!!

ドメインからIPアドレスを見つける
IPアドレスがドコのか調べる
→ これで所有者と場所が特定できる(上位回線)

具体的にIPアドレスの使われ方を調べる
→ サーバに合法的にブラウザでアクセスする
→ このときにトレースルートしておく

これだけやれば、大抵の情報を得られる。

あと、適当なサブディレクトリを入力してみる。
→ エラー内容で環境が推測できる

これで、攻撃手法を特定できる(・∀・)
いや、しないんだけどネ。

今日見たサイトは素人が作ったしょぼいサイトだったし、どーやらそういう類の人たちが使うサーバみたいなので、攻撃しても楽しいことは一切ないと判断したので、もう放置ですネ。

ボクのケータイから「mbga.jp」を受信許可を削除して、この一件は終了でーす。



余談:

世界中のサーバには、 root kit と呼ばれるツールが仕込まれてるものがあります。 普段は静かに設置者の意図に合った仕事をしてるのですが、root kit を仕込んだクラッカーがひとたび行動を起こすと、そのサーバたちから一斉に攻撃対象へ向けて、いろんなパケットを送信したり、ブルートフォースしたりするという、大変 便利な 怖い 仕組みがあります。

日本人は総称して「田代砲」と呼ぶこともありますw

クラッカーは、ECサイトじゃなくスパマーを相手にいたずらすればいいんだよ。 だって向こうも簡単に被害届けとか出せないから、やりたい放題だとオレは思うんだ(・∀・)

この記事をブックマークする : このページをはてなブックマークに追加 このページをLivedoorクリップ! このページをニフティクリップに登録 newsing it! このページをdel.icio.usに登録 このページをBuzzurlにブックマーク

Comments are closed.