ccsetup527.exeへのリクエスト

ここ最近IPアドレス104.42.198.99が意味不明なURLにアクセスしてくる。
URLはこんな感じ。

/5dac7054e2b9487bb7fcbf6b9c9d141d/ccsetup527.exe?ttl=XXXXXXXXXX&token=00169082fc6f86fea31adabb626c9e03
/5dac7054e2b9487bb7fcbf6b9c9d141d/ccsetup527.exe?ttl=XXXXXXXXXX&token=fe4c2ca2978ce6eefecdd4fbafd8b052
/5dac7054e2b9487bb7fcbf6b9c9d141d/ccsetup527.exe?ttl=XXXXXXXXXX&token=1d0c643f96e94743fb11dfd06dede843
/5dac7054e2b9487bb7fcbf6b9c9d141d/ccsetup527.exe?ttl=XXXXXXXXXX&token=e44ebbcee8c690b9bb3b05ceec332664
/5dac7054e2b9487bb7fcbf6b9c9d141d/ccsetup527.exe?ttl=XXXXXXXXXX&token=fe1389843a196ce09f39efcb8df4056e
/5dac7054e2b9487bb7fcbf6b9c9d141d/ccsetup527.exe?ttl=XXXXXXXXXX&token=5bc4043a1a1ece94503b87199ce2b0f5

クエリーのtoken以外は全部同じで、エージェントはMozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)でした。

とりあえずwhoisで照会してみるとMicrosoft Corporationに割り当てられたIPアドレスって事が判明。

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

#
# Query terms are ambiguous. The query is assumed to be:
# "n 104.42.198.99"
#
# Use "?" to get help.
#
#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=104.42.198.99?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#
NetRange: 104.40.0.0 - 104.47.255.255
CIDR: 104.40.0.0/13
NetName: MSFT
NetHandle: NET-104-40-0-0-1
Parent: NET104 (NET-104-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Microsoft Corporation (MSFT)
RegDate: 2014-05-07
Updated: 2014-05-07
Ref: https://whois.arin.net/rest/net/NET-104-40-0-0-1

OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
RegDate: 1998-07-09
Updated: 2017-01-28
Comment: To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to:
Comment: * https://cert.microsoft.com.
Comment:
Comment: For SPAM and other abuse issues, such as Microsoft Accounts, please contact:
Comment: * abuse@microsoft.com.
Comment:
Comment: To report security vulnerabilities in Microsoft products and services, please contact:
Comment: * secure@microsoft.com.
Comment:
Comment: For legal and law enforcement-related requests, please contact:
Comment: * msndcc@microsoft.com
Comment:
Comment: For routing, peering or DNS issues, please
Comment: contact:
Comment: * IOC@microsoft.com
Ref: https://whois.arin.net/rest/org/MSFT

OrgAbuseHandle: MAC74-ARIN
OrgAbuseName: Microsoft Abuse Contact
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@microsoft.com
OrgAbuseRef: https://whois.arin.net/rest/poc/MAC74-ARIN
OrgTechHandle: MRPD-ARIN
OrgTechName: Microsoft Routing, Peering, and DNS
OrgTechPhone: +1-425-882-8080
OrgTechEmail: IOC@microsoft.com
OrgTechRef: https://whois.arin.net/rest/poc/MRPD-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

URLから察するとCCleaner v5.27のインストーラーを落とそうとしているようですが、うちのサーバーにそんなものはない。
クローラーかと思ったけれどユーザーエージェントが違うし・・よくわからない。

とりあえずMicrosoftの公開連絡先へどうなっているのか確認するように連絡を入れて対応待ち。

関連するかもしれない記事



トラックバックURL


スパム対策のためトラックバックURLを動的に生成しています。
生成されるトラックバックURLはコンテンツURLと紐付けされますので、コンテンツURLで指定したサイト以外では使用できませんのでご注意ください。
トラックバックの注意事項などの詳しい説明は About ページを閲覧してください。
「コンテンツURL」を入力し「URL生成」ボタンを押してください。
トラックバックを送る際はあなたの記事やコンテンツにこの記事のURLを書くかリンクしておいてください。
URLがない場合はスパムとして削除され以降の全トラックバックは拒否されます。

コメントを残す

メールアドレスは公開されません、また は必須項目です。
このブログに初めてコメントする方は こちら をご覧ください。


画像認証は待機中です、先にコメント本文を入力して下さい。

コメントを送信しています、しばらくお待ち下さい...
(Akismetスパムデータベース及びブラックリストへの照会を行っています)


キャンセルをした場合でもコメント投稿が完了している場合があります