別のスパム君。

メールサーバーのログを見ていると家族宛のメールアドレスに怪しい所から山ほどメールが届いていました。
送信間隔も短くメールデータのサイズもほぼ一定なのでスパム君からの熱烈アタックでしょうw

ログの一部はこんな感じ

[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: accept:imp004.mail-bfn.net [103.30.74.37])
[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: EHLO:imp004.mail-bfn.net (imp004.mail-bfn.net [103.30.74.37])
[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: Sender <hummmv+err38247@imp014.mag-rfn.net> imp004.mail-bfn.net [103.30.74.37]
[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: Recipient <*@wolfs.jp> imp004.mail-bfn.net [103.30.74.37]
[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: Ok Send data imp004.mail-bfn.net [103.30.74.37]
[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: Message received imp004.mail-bfn.net [103.30.74.37]
[2013/11/28 00:47:00] :SMTP:port=25:mid=20131128004707430000_: imp004.mail-bfn.net [103.30.74.37] Service closing transmission channel

うちのサーバーは一般ISP、携帯、一部信頼するサーバーから送信されてくるメール以外はマスターアカウントにメールデータが複製されるので、ログを見てアヤシイ!と思ったらどんな内容かはすぐにわかります。
 
届いたスパムメールの一例は・・・

件名: 【衝撃】スーパーに行くだけで月数十万稼ぐ、驚くほど簡単な方法

こんにちは。

近年ではネットビジネスが急激に発達し

今では情報が入れ替わる毎日ですね。

アフィリエイト
FX
せどり
オークション
ギャンブル
ブックメーカー
iphoneアプリ作成
プロダクトローンチ

細かく数えるとキリが無いほど、
方法はいっぱいあります。

こんな多くの方法があっても
実践して、実際に稼げる人は1~2割ぐらいと言われています。

その理由としては色々ありますが、多くは

「やってみたけど難しかった」
「思ってたのと違った」
「何もしないで稼げると思った」
「以外とめんどくさい」
「詐欺に近い」
「どうせ稼げない」

と言った理由がほとんどです。

そんな中、最近
身近にあるところを活用して

“簡単に”

かつ

“お金がほとんどかからない”

というある方法で月数十万稼ぐことが出来たので
ご紹介させて頂きます。

何処にでもある

スーパーやデパート。
~~~~~~~~~~~~~~~~~~~~

そこの直ぐそばにあるLOTO6販売店があると思いますので
下記ページから情報を取得して、発信された通りの番号を記入して
購入して下さい。

■ロト6の情報を取得するにはこちら
→ http://...(削除)...

ロト6の券は一口200円です。

これを週に2回程度実践するだけで
月数十万稼ぐことが出来ます。

以外すぎて怪しいと思うかもしれませんが
残念ながら本当なんです。

サイトへの登録も無料なので
実際にかかる費用はほとんど券を買う費用のみ。


後はスーパーへ向かう交通費ぐらいです。

どんなに忙しい人でも
これだけ簡単なことであれば実践出来るのではないでしょうか?


是非募集期間が終了する前にお申込下さい。


■ロト6の情報を取得するにはこちら
→ http://...(削除)...

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■発行者:勝ち組ニート
■メール:...(削除)...@yahoo.co.jp
■解除URL:http://goo.gl/...(削除)...

※商品等の内容については、商品の紹介ページにお願いします。
当メルマガはプレゼント企画にご応募頂いた方へお送りしております。
もし、ご応募に覚えのない場合は大変申し訳ございません。
他の方がご応募した際の入力ミスの可能性があります。
お手数ですが、解除URLより手続きをお願い致します。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

メールを見た感じ詐欺系のスパムで、ちょっと日本語や改行が不自然。(原文はもっと改行が多く読みにくい物でした)
Receivedヘッダーには送信元のIPアドレスは記載されていませんでした。
 
この手のメールは解除URLから解除申請をするとそのアドレスにスパムが来る仕組みだろうけど、念のためページをみてみる。
URLはGoogleのURL短縮サービスを使用しているので、APIを使ってリダイレクト先を確認しようとした所、未使用のURLでした。

連絡先のメールアドレスはYahoo JAPANのメールアドレスなのでYahooのメールサーバーにtoリクエストを投げてみたところ見事に存在しないアドレスでした。
 
スパムメールを見て笑ってやるのも面白いけれど、スパムなんかに1バイトでも通信領域を使いたくない!

普通はアプリケーション層でポートを判別してからドロップするんだけれど・・・
事前に調べた情報によると、相手のサーバー/IPアドレスはスパムメール送信専用のネットワークを計画的に構成してあるようなので、相手ネットワークからのパケットをネットワーク層でドロップしてやることにしました。
 
サーバーに残っていた送信元サーバーのIPアドレスの第3オクテットを±10ほどしてAPNICへ照会したところ、以下のIP範囲が該当しました。
・[]の前はサーバーに通知されたホスト名。
・[]内は逆引きしたときに表示されたホスト名とAPNICへ照会したときに出てきたネットワーク名又は会社名

mag-rfn.net [mag-rfn.net, ENGINENET*]
 103.20.8.0 - 103.20.11.255

mag-rfn.net [grnt.ne.jp, GreenNet Co.,Ltd.]
 103.23.248.0 - 103.23.251.255

mag-rfn.net [mail-bfn.net, FLUSHNET*]
 103.30.72.0 - 103.30.75.255

うーん、結構な数のIPアドレスを割り当てられているみたい。
これはうちに来たスパム君の一部なので片っ端から調べれば他にもあるでしょうー。

こんなスパムの苗床にこれだけIPを割り振らずに他に回せば枯渇もいくらかマシになるでしょうに・・・
 
しかし・・解除URLとかが無かったのが残念。
あったらイタズラして存在しないドメインを使用したアドレスで解除申請送りまくってあげたのになあー('-'*)

Notify_user_ifilterとか

ふとログを見てみると2013/11/06~今日までにホスト名がrakuten.co.jpのユーザーからの404エラーのリクエストがありました。
14日にカテゴリーとタグの整理をしたので、カテゴリーとタグ関連で404エラーが出ているのは判るのですがそれではない。

リクエストURLは
 /accepted-Notify_user_ifilter?(Base64)
 /verify-Notify_user_ifilter?(Base64)
 /notify-Notify_user_ifilter?(Base64)
(Base64)の所は対象ページのURLをBase64でエンコードした値でした。

httpdとwordpressのログを追ってみると今年の2月からちらほらとありました。
念のためIPをAPNICへ照会して本物の楽天であることを確認。

202.7.107.76 ip076.rakuten.co.jp

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '202.7.96.0 - 202.7.111.255'
inetnum: 202.7.96.0 - 202.7.111.255
netname: KVH
descr: KVH Telecom Co.,Ltd.
descr: Shiohama Bldg.
descr: 2-20 Shiohama, Kouto-ku, Tokyo 135-0043
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints : abuse@kvh.ne.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20031016
changed: ip-apnic@nic.ad.jp 20100810
source: APNIC
role: Japan Network Information Center
address: Urbannet-Kanda Bldg 4F
address: 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047,Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
changed: ip-apnic@nic.ad.jp 20120828
source: APNIC
% Information related to '202.7.107.76 - 202.7.107.79'
inetnum: 202.7.107.76 - 202.7.107.79
netname: RAKUTEN-MIS
descr: Rakuten, Inc
country: JP
admin-c: KS21459JP
tech-c: NI5582JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20101215
source: JPNIC
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)

 
なんじゃこれは・・・と言うことで検索してみると以下のサイトがヒット。
notify-Notify_user_ifilter? - TERRAZI
どうやら楽天の社内フィルターのようで、

notify-Notify_user_ifilter?は監視で利用される事が多く、「楽天市場で詐欺にあった」「楽天の対応が悪い」など、楽天に対して不利益な事を書くと、監視の為にこのリファラーから楽天の中の人の訪問が多くなります。

と言うことらしいです。
 
通りで、楽天関係の記事にアクセスしているわけね・・w

上記サイトでは社内プロキシがそのURLにリダイレクトされているようです。
セキュリティソフトとかで「危険なサイト」とでて「危険を承知で閲覧する」ってリンクが出るようなヤツと仕組みは同じですね。
しかし、そのリダイレクト先のURLもこちらへリクエストが飛ばされているのでパケットをドロップできていないよう。
 
うちのブログは404エラーが発生した場合、全記事を検索し似た記事があればそちらにリダイレクトするようにしてあるので404エラーが発生した場合はコストかかります。
URLの打ち間違い、カテゴリーやタグの変更の場合はそれで良いのですが、相手の社内の都合でおかしなURLをリクエストされて案内をだすコストが惜しい。
なので/accepted-Notify_user_ifilter、/verify-Notify_user_ifilter、/notify-Notify_user_ifilterから始まるURLをブロックする事にしました。
 
暫く様子をみて続くようなら楽天管轄のIPを丸ごとブロックしてやろうと思います。
なんたって楽天だしどうでもいい。

スパム君に情報が漏れまくりだよー

すこし前にもスパム君?に目を付けられて登録確認のメールアドレスを送られまくったのですが・・・
今日はDataHotel Co.,Ltd.との連絡専用のアドレスにスパムメールが届くようになりました。

と言ってもDataHotel Co.,Ltd.へ連絡したのは2013/07/16以降は全くしていない。
なので、DataHotel Co.,Ltd.側から漏れたか売られたのだと思います。
 

件名: 業界最高級人気ブ ランドコピー品 【313369】

はブランド商品通販を運営する総合ショッピングサイトで、ルイヴィトン、グッチ、コーチ、エルメス、ブルガリ、ロレックスなどブランドのバッグ、財布 、腕時計等激安販売します。
2013年新作,毎日激安ブランドを通販します。
注文特恵中-新作入荷!-価格比較.送料無料!
★主要取扱商品:ブランドバッグ、ブランド財布、ブランド腕時計、ブランドサングラス、ブランドベルト !
★全国送料一律無料
★売店、卸売りと小売りの第一選択のブランドの店。
★信用第一、良い品質、低価格は 私達の勝ち残りの切り札です。
★当社の商品は絶対の自信が御座います。
以上 宜しくお願い致します。(^0^)
広大な客を歓迎して買います!
HP: http://...(略)...

メール配信解除:...(略)...

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■本メールの送kqn信アドレスは送mnlz信専用となっております。返yrj信メールでのお問い
合わせは承りかねますので、あらかじめご了承願います。
上の指定するメールボックスを使って下さい:注xc文.

おお・・超怪しい日本語。
翻訳サービスを使ったのがモロばれですねw
 
送信元は、219.117.215.82(sds.sd-service.co.jp)
SDサービス?知らない名前だなーと思ってAPNICへ照会してみる。

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '219.96.0.0 - 219.127.255.255'
inetnum: 219.96.0.0 - 219.127.255.255
netname: JPNIC-NET-JP
descr: Japan Network Information Center
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-JPNIC
changed: hostmaster@apnic.net 20020307
status: ALLOCATED PORTABLE
source: APNIC
role: Japan Network Information Center
address: Urbannet-Kanda Bldg 4F
address: 3-6-2 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047,Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
changed: ip-apnic@nic.ad.jp 20120828
source: APNIC
% Information related to '219.117.215.80 - 219.117.215.95'
inetnum: 219.117.215.80 - 219.117.215.95
netname: IL00064687
descr: System Development Service Cp.,Ltd.
country: JP
admin-c: JP00006345
tech-c: JP00006354
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: http://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20060509
source: JPNIC
% This query was served by the APNIC Whois Service version 1.68 (UNDEFINED)

ふむ、System Development Service Cp.,Ltd.。
会社のWebサイトにアクセスしてもよく解らんところ。
なので割り当て範囲を照会し直したところ、上流回線は「INTERLINK Co.,LTD」。
ああ・・またINTERLINKか・・_| ̄|○
 
相手のサーバーで追加されたReceivedヘッダーを見てみると送信元は「171.107.42.120」で中国でした。
通りでおかしな日本語だったわけねー。
 
(有)SDサービスもよくわからんし、取りあえずINTERLINKへアビューズ報告をして終了。
INTERLINKだし対応は・・・期待できないなー。
 
序でに、相手のWebサイトへ嫌がらせしてやろうとサイトのコードを落としてみると幾つかコメントフォームがありました。
しかし・・・動的に反映されるところは全部キャプチャが付いて面倒。
でもショボイ物なので簡単に解析はできましたが手動承認式のようで動的に反映されなかった。

まあ相手の手間を取られる・・っていうので取りあえずメッセージを3000件ほど送っておきました。
正常に送信されてるといいなあ・・・(*´p`)

KDDIがアビューズ対応をした!

今まで30回以上スパム報告をしたにも関わらず一切の連絡がなかったKDDI。

最近アビューズ報告をした内容への報告のメールがきているではないですか!

件名: [xxx] [nsc-auone-net:メールを利用した迷惑行為に関するお問い合わせ]

お世話になっております。
KDDIお客さまセンターでございます。

まずは、返信が大変遅くなりましたことを、深くお詫び申し上げます。
誠に、申し訳ございませんでした。

このたびは、迷惑メールに関する情報をご提供いただきましてありがとう
ございます。

今回ご提供いただきました情報を確認したしましたところ、弊社契約者に
よる、弊社契約約款に違反する行為があった事実が確認されました。
よって、弊社の規約に則り、対処いたしましたことをご報告申し上げます。

弊社ネットワーク利用者より送信されたメールにより、ご迷惑をお掛け
いたしまして、大変遺憾でございます。

しばらく様子を見ていただき、同様の行為が繰返された場合は、お手数では
ございますが、最新の情報を添えてご連絡くださいますよう、お願いいたし
ます。

以上、ご回答とさせていただきます。

=========================================================================
KDDIお客さまセンター

すぱっとスパムが止まって報告のメールが来る。。
送信元はKDDIに契約している一般ユーザーからのスパムではなく、今まで通りKDDI回線を使ったlinodeからのスパム。

どうしちゃったのKDDI。

明日は嵐になるんじゃないだろうか。
吹雪になるんじゃないだろうか。
もしかしたら槍が降ってくるんじゃないだろうか。
 
でも、すこし見直しちゃったよ。
それでも自分の中でのランクは「最低」の中の「上」って所ですけど・・w
 
これからもこの対応が続くと楽でいいんですけどねー。

言語が中国語、韓国語のユーザーをブロックする

うちのサーバーは中国、韓国のIPアドレスをブロックしていますが、プロキシやVPNでアクセスされコメントが投稿されたりしています。

普通のコメントなら別に問題はないのですが、「日本は~」だの「独島~」だの記事内容に全く関係ないことを書かれるのは迷惑。

なのでブラウザから送られてくるヘッダーAccept-Languageを参照してフィルタリングをしてみました。

Apacheの設定に以下を追加してrestartすれば完了。

<IfModule setenvif_module>
	<Location />
		SetEnvIf Accept-Language ^zh.* langFilter
		SetEnvIf Accept-Language ^ko.* langFilter
		Order Deny,Allow
		Deny from env=langFilter
	</Location>
</IfModule>

この設定ではAccept-Languageで順位が一番高い言語にzh(中国語)またはko(韓国語)が入っている場合はステータスコード403を返して接続が終了されます。
もっと感度を上げたい場合は、先頭一致を無くしてzhとkoが含まれていたらブロックされるようにすればOK。
 
Accept-Languageヘッダーを変更されたりしたら意味はないけれど、普通にブラウザを使っているだけの人にはわからない事だろうからひとまず様子見としようかな。