フィッシングサイト再び

少し前に正規スクエニから登録確認メールがわんさか来ていましたが、スクエニが使用しているサーバーへアビューズ報告をしてからメールが来なくなりました。
サーバー運営をしているところから何か言われたのでしょうw

しかし、昨日「スクウェア·エニックスアカウント...」って件名のメールが届いていました。
またか!と思ってコードを見てみるとHTML形式メールでした。

HTMLをテキストにパースしてみてみると・・・

件名: スクウェア·エニックスアカウントーー安全確認

お客様

株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。
ログイン地点 ログインIP ログイン時間 大阪 61.204.255.255 2013-10-06 02:06

ご本人によるログインでなければ、アカウントの安全に問題があると考えられます。
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってアカウントを保護してください。
http://secure.square-enix.jp.xzl.cn.com/account/app/svc/Login.htm?cont=account
(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください)

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。
ご意見やご要望
スクウェア·エニックス会社
2013年10月07日

うは、これはヒドイ日本語www

しかも今度のメールサーバーは送信元メールアドレスをyahoo.co.jpに偽造では無く、正規のyahoo.co.jpサーバーから送信されてきています。
通りでメールサーバーでのシグネチャ検証に引っかからなかった訳ね・・・
メールはyahoo japanへアビューズ報告をして終了。
 
フィッシングサイトの方のコードを落として見てみると・・・なんと自動解析が可能な簡単なコードでした。
なので成功したときのメッセージと失敗したときのメッセージを獲得して、自動でPOSTしまくるjavaを組みました。
スクエニのフィッシングへ嫌がらせ
1ms前後の間隔で適当なユーザー名とパスワードをPOSTしまくるjavaを3つ実行してみました。

大体どれも200リクエスト前後で相手サーバーに接続を終了され以後のレスポンスを一切返さなくなります。
レスポンスを返さないだけでIP層へのコネクション自体は成功するので、恐らく攻撃検知かF5アタック検知の類いでhttpdサーバー側でブロックしているのでしょう。

IPBANなのでIPを変えればいいや!って事で・・・
公開プロキシリストが載っているサイトから一覧をゲットしてきて、タイムアウトが3回続いた場合プロキシを自動変更してリトライするようにしました。
これを大体30分ぐらい走らせて飽きたので終了しましたw

しかし、キャプチャがないとOCRする必要がないので楽ですねー。
 
チナミニ、送信間隔10ms~20ms前後だとカナリの確率で即BANされましたw
25ms~だとプロキシによっては300リクエストを超えましたが、やはり即BANされる確率が結構高いですね。
100ms~が安定のよう。

Web/サーバー管理者を狙ったスパム

久々にブログのアクセスログを見てみると、404エラーが4482件ありましたw
内訳はリファラー無しが867件、外部リンクが3266件、内部リンクが349件でした。

一部の外部リンクはこちらのサーバーへのリクエストが脆弱性を狙ったものでした。

脆弱性を狙ったリクエストの一例
/vtigercrm/modules/com_vtiger_workflow/sortfieldsjson.php?module_name=../../../../../../../..//etc/amportal.conf
/vtigercrm/graph.php?current_language=../../../../../../../..//etc/elastix.conf&module=Accounts&action

 
どこからリンクされているのか確認してみたところ・・・ドメイン名が.infoや.uk等よくスパムやフィッシングに使われているヤツでした。

いきなりブラウザでアクセスするのはマズイので、仮想PCを立ち上げ、通信は海外プロキシを使ってcurlでリクエストを飛ばしてみました。
ゲットしたソースには、iflame、javascript、広告と思われる画像、トラッキング用と思われるPHP等へのリンクが満載でした。

恐らくリンク元を確かめようとした管理者のPCへウィルス等を仕込む為のサイトでしょう。
 
私は、元々リンク元なんてチェックはしていませんでしたが、チェックしている方は注意した方がよさそうです。

MSNフィッシングキター!

こんばんは、夜遅くまで起きているれいまです((

今日ちょっと写真の加工をしていたらいきなりメッセでアドレスが飛んできたのです・w・
それはマビのフレのMSNアドレスからで何を書いても応答なし。
(こんなの)
MSNメッセンジャー フィッシング IM

そのメッセのアドレスが飛んでくる前に、その人がログイン>ログイン>ログインとしていたので
多分本人とフィッシングした方とでログイン合戦をしたのでしょう・・・

で、セキュリティとファイアーウォールを強化して送られてきたサイトにアクセスしてみたのです(*´ー`)

続きを読む