こういうコメントスパムがこの日記に着た。基本的にこの日記のコメントは、POSTする際に、APNICからJPへ割当のされた空間からしか、書き込みが出来ず、それ以外のものについては、BASIC認証で、test / test と入力しないと、POST出来ないように設定している。そんななか、次のIPアドレスからコメントスパムがきたので、ちょっと晒す。
456789 8018 root 1400730515 機械式時計 機械式時計
http://xxxx/product/p1/index.html 8.35.201.45
機械式時計、それは主に認定されたスイスの天文台を介して行われますでの時計のデザインに
統合され..
IPアドレスは、8.35.201.45 で、このIPを調べたところ、
Google Comupute Engine: Google Cloud Platformということ。WHOISの情報では次のようになっている。
NetRange: 8.35.200.0 - 8.35.207.255
CIDR: 8.35.200.0/21
OriginAS:
NetName: LVLT-GOOGL-2-8-35-200
RegDate: 2012-06-12
Updated: 2012-06-12
Ref: http://whois.arin.net/rest/net/NET-8-35-200-0-1
OrgName: Google Inc.
OrgId: GOOGL-2
Comment: *** The IP addresses under this Org-ID are in use by Google Cloud customers ***
Comment: Please direct all abuse and legal complaints regarding these addresses to the
Comment: GC Abuse desk (google-cloud-compliance@google.com). Complaints sent to
なぜ、このspam botが引っかかったのかわからないが、アクセスログを見たときに、大量に引っかかったので前後の一部について切り出してみる。
8.35.201.53 - - [22/May/2014:12:48:15 +0900] "POST /diary/board.cgi HTTP/1.1" 401 1328
"http://tomocha.net/diary/board.cgi?act=write"
"Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/34.0.1847.137 Safari/537.36 AppEngine-Google;
(+http://code.google.com/appengine; appid: s~dotaeryanyong)"
8.35.201.48 - - [22/May/2014:12:48:20 +0900] "POST /diary/board.cgi HTTP/1.1" 401 1328
"http://tomocha.net/diary/board.cgi?act=write"
8.35.201.52 - - [22/May/2014:12:48:32 +0900] "POST /diary/board.cgi HTTP/1.1" 401 1328
"http://tomocha.net/diary/board.cgi?act=write"
8.35.201.45 - test [22/May/2014:12:48:34 +0900] "POST /diary/board.cgi HTTP/1.1" 200 2328
"http://tomocha.net/diary/board.cgi?act=write"
URI以降はすべて同じだったので、割愛した。
明らかに、認証というトラップを通過して、コメントスパムを行っている。
とりあえず、初めて着たのでネタにしたが、Googleへabuseを送っておこう。
特価コムに登録していたアドレスに新たなフィッシングメールが来た。
前回、
情報漏洩、流出したと書いたのは、昨年の12/25。指摘しても尚、通販などのサイトの閉鎖などは無く、継続していたが、翌年(今年2014年)の1/31にプレスリリースを出した。
今までは、スクエニなどのフィッシングが主だったが、今回はクレジットカードのvpassを奪い取ろうとするフィッシングメール。だんだんエスカレートしている。責任を取って特価コムはつぶれるべきだ。ろくな対応もしなかったためだ、こういう会社は害でしかない。
届いたメールのヘッダを含む全文
*1
は次の通り。
Return-Path: <www-data@nnaweb3.nemetschek.net>
X-Original-To: xxxx-tokka@example.jp
Delivered-To: xxxx@example.jp
Received: from mx1.example.jp (mx6.example.jp [IPv6:2001:db8:1:1000::25])
by mail.example.jp (Postfix) with ESMTP id 54B665C81F
for <example-tokka@example.jp>; Wed, 21 May 2014 19:55:43 +0900 (JST)
Received: by mx1.example.jp (Postfix, from userid 99)
id 1AB217281E9; Wed, 21 May 2014 19:55:43 +0900 (JST)
Received: from Mx.Vectorworks.Net (mx.vectorworks.net [207.10.60.91])
by mx1.example.jp (Postfix) with ESMTP id 7A0FE7281E4
for <xxxx-tokka@example.jp>; Wed, 21 May 2014 19:55:40 +0900 (JST)
X-Envelope-From: www-data@nnaweb3.nemetschek.net
X-Envelope-To: xxxx-tokka@example.jp
Received: From nnaweb3.nemetschek.net (207.10.60.85) by Mx.Vectorworks.Net
(MAILFOUNDRY) id zNNo9uDVEeOGrQAl for xxxx-tokka@example.jp;
Wed, 21 May 2014 10:55:12 -0000 (GMT)
Received: from www-data by NNAWeb3 with local (Exim 4.72)
(envelope-from <www-data@nemetschek.net>)
id 1Wn09R-0003HQ-2j
for xxxx-tokka@example.jp; Wed, 21 May 2014 02:37:21 -0400
Date: Wed, 21 May 2014 02:37:21 -0400
Message-Id: <E1Wn09R-0003HQ-2j@NNAWeb3>
To: xxxx-tokka@example.jp
Subject: =?UTF-8?B?5LiJ5LqV5L2P5Y+L44Kr44O844OJ44CQ6YeN?=
=?UTF-8?B?6KaB44CR?=
X-PHP-Originating-Script: 33:mails.php
From: welcome@vpass.ne.jp <welcome@vpass.ne.jp>
Content-Type: text/html; charset=utf-8
Mime-Version: 1.0
Content-Transfer-Encoding: BASE64
X-URIRBL: No, test=check_uri.pl, version=1.50
CQk8cD7ph43opoHjgarjgYrnn6XjgonjgZs8L3A+DQoNCgkJPHA+5pio5LuK44CB5LiA6YOo44Gu4
4K744Kt44Ol44Oq44OG44Kj44Gu44Gc44GE5byx44Gq44ON44OD44OI44K344On44OD44OX44Gq44
Gp44KI44KK44Kv44Os44K444OD44OI5oOF5aCx44KE44OR44K544Ov44O844OJ44Gq44Gp44GM5ry
P44GI44GE44GZ44KL5LqL5Lu244GM55m655Sf44GX44Gm44GK44KK44G+44GZ44CCPGJyIC8+DQoJ
VnBhc3NJROOBiuOCiOOBs+ODkeOCueODr+ODvOODieOCkuS7luOBruOCteOCpOODiOOBqOS9teeUq
OOBl+OBpuOBhOOCi+WgtOWQiOOBq+OBr+OAgea8j+OBiOOBhOOBl+OBn+aDheWgseOCiOOCiuOAge
aCquaEj+OBruOBguOCi+esrOS4ieiAheOBq+OCiOOCi+ODjeODg+ODiOOCt+ODp+ODg+ODlOODs+O
CsOOBp+OBruaCqueUqOOBruWPr+iDveaAp+OCguOBlOOBluOBhOOBvuOBmeOAgjxiciAvPg0KCVZw
YXNzSUTjgYrjgojjgbPjg5Hjgrnjg6/jg7zjg4njga/ku5bjga7jgrXjgqTjg4jjgafjga/kvb/nl
KjjgZvjgZrjgavjgIHlrprmnJ/nmoTjgavjgZTlpInmm7TjgYTjgZ/jgaDjgY3jgb7jgZnjgojjgY
bjgYrpoZjjgYTjgYTjgZ/jgZfjgb7jgZnjgII8YnIgLz4NCglWcGFzc0lE44O744OR44K544Ov44O
844OJ44Gu44GU5aSJ5pu044Gv44GT44Gh44KJ44KS44GU6Kan44GP44Gg44GV44GE44CCPC9wPjxi
ciAvPg0KDQoJCTxwPjxhIGhyZWY9Ind3dy5wYW5rby5jb20udHcvSW1hZ2UvY3NzLyN4eHh4LXRva
2thQGV4YW1wbGUuanAiPuKGklZwYXNz5oOF5aCx54Wn5Lya44O75aSJ5pu0PC9hPjwvcD4NCg0KCQk=
BASE64をdecodeすると、次の通り。
<p>重要なお知らせ</p>
<p>昨今、一部のセキュリティのぜい弱なネットショップなどより
クレジット情報やパスワードなどが漏えいする事件が発生しており
ます。<br />
VpassIDおよびパスワードを他のサイトと併用している場合には、漏えいした
情報より、悪意のある第三者によるネットショッピングでの悪用の可能性も
ございます。<br />
VpassIDおよびパスワードは他のサイトでは使用せずに、定期的にご変更いた
だきますようお願いいたします。<br />
VpassID・パスワードのご変更はこちらをご覧ください。</p><br />
<p><a href="www.panko.com.tw/Image/css/#xxxx-tokka@example.jp">
→Vpass情報照会・変更</a></p>
おまえなぁ…よく言うよという内容…。
*1:
BASE64に含まれるメールアドレス及び、ヘッダ上の固有の情報の一部はマスクしています