アーカイブ拒否を無視するarchive.isをブロックする

Webサイトを保存するオンラインサービスは幾つもありますが、大抵はrobotsへnoarchive属性を付けておけば保存されません。
それを無視するサービスでも削除要求や「今後一切アーカイブしないでくれ」と行った要求が通るのでちょっと面倒なだけでした。

今回なぜarchive.isを知ってブロックする事になったかと言うと・・
別件で過去3年分のサーバーアクセスログからリンク元一覧を作成していたら「archive.is」からのリンクを発見。
なにかなー?とリンク元をゲットしてみると、対象URLのデータ丸ごとアーカイブされていました。

コードを見てみると、GoogleAnalytics関連は無効化されているので余計なログは残らないしGoogleのポリシーにも違反しないのは良いところだけれど・・・
元ページなんかを示すcanonicalタグは書き換えられていました。
まあどのサイトをキャッシュしたかはキャッシュページに記載されているから「どのサイトかわからない」って事はないけれど、重要なcanonicalを削除するのはひどいなあ。

うちのブログは有料素材も使っているし、なにより自分の死後にデータを残したくないのでarchive.isへ削除要求を送りましたが無視され続けました。
これはもうサーバー側でブロックするしかないって事で、ダミーURLにarchive.isのクローラーを差し向けて色々情報を頂いちゃうことに。
(ブロックに必要なIPアドレスのみ必要な方は記事の最後へ)
専用ページもできました。

まずはアクセスログ。
ちょっと書式を変更してあるので普通とは違うところがありますが、概ねApache標準の書式です。

46.166.139.173 blog.wolfs.jp - [22/Apr/2016:04:18:00 +0900] "GET /XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H HTTP/1.1" 404 49368 "https://www.google.com/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:01 +0900] "GET /optimizer.css?theme_p,hlstring,slimbox2 HTTP/1.1" 200 8345 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:01 +0900] "GET /wp-includes/js/jquery/jquery.js?ver=1.11.3 HTTP/1.1" 200 33267 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:01 +0900] "GET /optimizer.js?theme_p,captcha,slimbox2,lazy-load,jwplayer,jwplayer_after,akismet,attachment HTTP/1.1" 200 52725 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:02 +0900] "GET /themes/kerberos/images/header.jpg HTTP/1.1" 200 75529 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:02 +0900] "GET /themes/kerberos/images/sprite.png HTTP/1.1" 200 8803 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:02 +0900] "GET /themes/kerberos/images/paw.jpg HTTP/1.1" 200 16631 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:02 +0900] "GET /themes/kerberos/images/hidewolf.png HTTP/1.1" 200 5370 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:09 +0900] "GET /plugins/slimbox/css/closelabel.gif HTTP/1.1" 200 971 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.34 (KHTML, like Gecko) PhantomJS/1.5.1 (development) Safari/534.34"
46.166.139.173 sblog.wolfs.jp - [22/Apr/2016:04:18:09 +0900] "GET /plugins/slimbox/css/closelabel.gif HTTP/1.1" 200 971 "http://blog.wolfs.jp/XIHI2TmvFBCoYOL6M4JFZkGfvCLn6Q5H" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"

おっと・・対象URLのコンテンツに対してはリファラー偽装してアクセスしてきています。
こうなるとユーザーエージェントのWindows7とChromeも怪しいところ。

しかし、Slimboxのgifに対してのみPhantomJSのユーザーエージェントが入っていました。
PhantomJSはコンソールベースのブラウザでwebkit系をエミュレートできるようです。
archive.isはこれを使ってデータをアーカイブしているんでしょうね。

次はサーバーのIPアドレスをRIRからいただきます。

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.
% Information related to '46.166.139.0 - 46.166.139.255'
% Abuse contact for '46.166.139.0 - 46.166.139.255' is 'abuse@nforce.com'
inetnum: 46.166.139.0 - 46.166.139.255
netname: NFORCE_ENTERTAINMENT
descr: Serverhosting
org: ORG-NE3-RIPE
country: NL
admin-c: NFAR
tech-c: NFTR
status: ASSIGNED PA
mnt-by: MNT-NFORCE
mnt-lower: MNT-NFORCE
mnt-routes: MNT-NFORCE
created: 2015-06-05T22:10:53Z
last-modified: 2015-06-05T22:10:53Z
source: RIPE # Filtered
remarks: INFRA-AW
organisation: ORG-NE3-RIPE
org-name: NForce Entertainment B.V.
org-type: LIR
address: Postbus 1142
address: 4700BC
address: Roosendaal
address: NETHERLANDS
phone: +31206919299
fax-no: +31206919409
abuse-mailbox: abuse@nforce.com
admin-c: PT3315-RIPE
admin-c: JVDM119-RIPE
admin-c: JH24522-RIPE
admin-c: DI1505-RIPE
admin-c: NFAR
tech-c: NFTR
mnt-ref: MNT-NFORCE
mnt-ref: RIPE-NCC-HM-MNT
mnt-ref: MNT-NFORCE
mnt-by: RIPE-NCC-HM-MNT
abuse-c: NFAB
created: 2007-06-19T08:39:06Z
last-modified: 2015-03-27T11:27:05Z
source: RIPE # Filtered

person: NFOrce Entertainment BV - Administrative role account
address: Postbus 1142
address: 4700BC Roosendaal
address: The Netherlands
phone: +31 (0)206919299
fax-no: +31 (0)206919409
abuse-mailbox: abuse@nforce.com
nic-hdl: NFAR
mnt-by: MNT-NFORCE
created: 2010-11-13T14:42:50Z
last-modified: 2013-05-15T07:49:25Z
source: RIPE # Filtered

person: NFOrce Entertainment BV - Technical role account
address: Postbus 1142
address: 4700BC Roosendaal
address: The Netherlands
phone: +31 (0)206919299
fax-no: +31 (0)206919409
abuse-mailbox: abuse@nforce.com
nic-hdl: NFTR
mnt-by: MNT-NFORCE
created: 2010-11-13T14:43:05Z
last-modified: 2013-05-15T07:50:27Z
source: RIPE # Filtered

% Information related to '46.166.136.0/21AS43350'
route: 46.166.136.0/21
descr: NFOrce Entertainment BV - route 46.166.136.0/21
origin: AS43350
mnt-by: MNT-NFORCE
created: 2014-10-10T12:35:38Z
last-modified: 2014-10-10T12:35:38Z
source: RIPE
% This query was served by the RIPE Database Query Service version 1.86 (DB-2)

サーバーはオランダにあるNForce Entertainment B.V.って会社のようです。
サーバー自体は普通のホスティングサーバーなのでアビューズ報告もダメでしょうし、archive.isに割り当てられたIP一覧も答えてくれないでしょう。

とりあえず今回はarchive.isのIPアドレスを含む46.166.136.0/21をブロックする事に。
NForce Entertainment B.V.の全IPアドレスはこちら:http://ipinfo.io/AS43350

続きを読む

祝wolfs.jpドメイン、スパム業界ブラックリスト入り

ここ数ヶ月スパムメールが全然来なかったのですが、22日23日とハニーポット用のアドレスにスパムが来ました。
送信元サーバーは金沢ケーブルテレビネット(KANAZAWA CABLE TELEVISION NET CO.,LTD.)でした。

inetnum: 27.131.232.0 - 27.131.235.255
netname: SPACELAN
descr: KANAZAWA CABLE TELEVISION NET CO.,LTD.
country: JP
admin-c: TN6148JP
tech-c: TN6148JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20110418
source: JPNIC

いつも通りアビューズ報告をしようとしたところ送信失敗。
gmailから資料請求メールを送信したら正常に送信できたので、今度はwolfs.jpからメールを送ろうとしたら失敗。
どうやらwolfs.jpはブラックリストに入っているよう。

メールがダメなら電話!と言うことで電話したらコール後に即切断。
184発信したらちゃんと繋がったのでwolfs.jpドメインと連絡に使っていた電話番号はブラックリストとして出回っているのかもしれません。
いやーある意味うれしいw

と言うことで、現状の金沢ケーブルテレビネットはスパムメールの送信を手助けしているプロバイダーだと言えます。

103以外からのスパム

最近は第1オクテットが103の所のスパムが来なくなってきて良い感じだったけれど、ちょっとサーバーログから目を離すと家族宛のアカウントにスパムがきていました。
そして今度のスパム内容は怪しいバイトやアフィリエイトで儲ける等の内容。
そして日本語が不自由を通り越して幼稚

Subject: にっきゅうごまんえん

嘘はつきません。
今日から5万の収入が得られます。
絶対に当たる宝くじの様なものだと思ってください。

信じられないと思いますが、こちらをご覧ください。
http://...

☆詳細はこちら http://...
Subject: あなたが落としたのはどの財布??

☆普通の
 財布
http://...

★魔法の
 財布
http://...

------------------------
ボーナス支給します
⇒http://...

≪配信停止≫
http://...
※1 8 才 未 満 利 用 不 可※
Subject: いつやるんですか?

→今でしょ!
→なにを?
http://...
------------------------------------------------------------

●ボーナス支給します http://...

配信停止は
ここをクリック http://...

ここに載せたのは見やすいように改行を削除しているけれど、いつも通り空の改行が多くて見にくいメールでした。
前回までと大きく変わったのはやっぱり送信元のIP。
いつもの103...はどうしたんでしょうねー。

とにかくこれからは45も注意した方が良いかもしれないなあ

と言うことで、スパムメール送信元一覧にも追加しておきました。

45.122.224.0 - 45.122.227.255
GREENCABLELLC-JP
Green Cable, LLC

かなり久々のスパム

いやー、本当に久々にスパムメールがきました。
以前は出会い系やBSカード販売だったけれど、今日は競馬とキャッシングでした。

メール内容は・・・

週末って色々とお金が要りますよね。

そんな人こそ賢く使ってください。

50万円借りても月々の金利はわずか3600円。

必要な時に必要な金額を上手に利用して下さい。

もちろん急なピンチの時にも当社がお力になります。

学生・主婦・金融ブラックどんな方でも大丈夫です。
http://...

▼ ただ今期間限定の低金利キャンペーン実施中
http://...

▼ 誰でも簡単に継続して稼げます【未経験者OK)<br>
  http://...

▽ 来店不要・低金利・即日融資が可能です。
http://... 申し込みはコチラから

※配信停止は http://...
Return-Path: <tzqvctzt+err50233s1215@se2.sweofiawiok.xyz>
Received: from 103.50.22.52([103.50.22.52])
 by wolfs.jp([127.0.0.1])
 with ESMTP for <...>;
 Sun, 18 Oct 2015 04:14:52 +0900 (Asia/Tokyo)
Received:
 by ha5etjt (Postfix, from userid 1002) id 80A30157A336;
 Sun, 18 Oct 2015 04:13:51 +0900 (JST)
Received: from localhost (unknown [10.109.155.172])
 by localhost (Postfix)
 with ESMTP id 6A6D41048CA8 for <...>;
 Sun, 18 Oct 2015 04:13:50 +0900 (JST)
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="=_0126db24de70e3f13a7dd9bf467dcadd"
To: ...
From: bvcfdsf@se2.taodwao.com
Subject: お客様を信頼して50万円までは無審査!
Message-Id: <20151018041350@caw.pfpnxjm>
Date: Sun, 18 Oct 2015 04:13:50 +0900 (JST)

サイトには東京都知事と日本貸金業協会会員の記載がありますが、どちらも存在しない物でした。
ヤミ金ですねー

以前の不正BSカード販売メールは警察が欲しがっていたので情報提供をしましたが、今回はヤミ金。
とりあえず、警察のサイトでヤミ金関係の何かがないかなー?と見ていると・・・「ヤミ金融業者の撲滅を目指して!」ってページを発見。
担当部署へ連絡したところ、ヤミ金の情報は欲しいと言うことでした。

撲滅を目指してるだけあって情報はかなり欲しいみたいです。
不正BSカードと違うね・・w

なので県警のメールアドレスにデータを添付して送信。

あとは何かしてくれると面白いんだけどなあー

スパムメール発信元 IPアドレス一覧ページにも今回のIPアドレスを追加してあるので必要ならどうぞ

eo光電話を契約

来年からKDDIの固定電話アナログ通信のサービスが終了するみたいでネット回線契約の通知が届いてました。
電話だけ利用する場合、新たに光回線を引く工事をして利用するしかないようです。

しかも以前より基本料金も値上がり・・・今使っているeo光の光電話に契約した方が安く工事費も必要ないのでeo光電話に契約することにしました。
そして・・・eo光電話には悪魔の機器、eo多機能ルーターの使用が必須となりました。

なんでこんなにも多機能ルーターを嫌がるか・・と言うと、うちの環境がちょっと特殊だから。
今は eo終端装置 ⇒ 個人サーバー ⇒ ハブ ⇒ 各PC って感じで私のサーバーがルーターの役割の状態。
それにマルチセッションサービスで、サーバーが使用するグローバルIPと各PCが使用するグローバルIPを1つずつ、計2つもらっているのです。

で、eo光電話を契約すると eo終端装置 ⇒ eo多機能ルーター ⇒ 個人サーバー ⇒ ハブ ⇒ 各PC となり余計な物が追加されます。
契約時に「eo光電話アダプター」を要求すれば「ルーター機能をOFF」にした「eo多機能ルーター」を送ってもらえるのですが、どのみち設置が必要。
今まで通りのスループットを発揮すれば良いのだけど・・・取りあえずルーターの到着待ち。

そして・・契約変更の電話をしてから2日後にルーターが到着。
eo光電話 - 説明書など eo光電話 - ルーター箱
説明書や規約の紙とルーターが入った箱。
eo多機能ルーターのメーカーは「Sumitomo Electric NetworksInc.」なので住友電気工業のよう。

ルーターのセット内用は・・・
eo光電話 - eo多機能ルーター セット内用
 ・eo多機能ルーター ×1
 ・ルータースタンド ×1
 ・電源アダプター ×1
 ・電源アダプター用ACコード ×1
 ・cat6LANケーブル ×1
 ・モジュラーケーブル ×2
 ・壁掛け用ビス ×2
 ・説明書 ×1
 ・wi-fi 設定情報シート ×1
 ・製造番号シール ×2
でした。

ルーターの裏と端子を見てみると・・・
eo光電話 - eo多機能ルーター 裏 eo光電話 - eo多機能ルーター端子
あーあ・・きたMAID IN CHINA。
これが嫌だからIntelのLANボードや家庭用ルーターは国産かアメリカ産のやつを高い金だして買ってるのに大元がこれじゃ全く意味が無い

そして端子の安いこと・・全くシールドがない。
わざわざシールドとアースに対応したcat7を使っている意味もなくなるし、サーバー本体とルーターに付けてあるアースの意味なくなる。

ことごとく安い糞な仕様である。
パケットの仕様さえ判ればハードを作って単純な電話とLANの分離機が作れるのになあ・・・