セキュリティ」タグアーカイブ

迷惑メールを色々調べてみた


携帯に何年ぶりかに迷惑メールがきた!
初めてに近い経験なのでこれはチャンスとばかりに色々調べてみた。
良い子は真似しないほうがいいです。

※ アクセスすると何が起こるは調べてないのでアクセスしないようにしてください。
※ もちろん責任はとれませんよ。

届いたメール

BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
BEGIN:VENV
BEGIN:VBODY
Date: Fri, 02 Nov 2012 13:08:44 +0900
From: 当選通知 <kaguya@mixi.jp.gree.atk-gmail.com>
Subject: ご当選のお知らせです。
Reply-To:
To: 携帯のメールアドレス
Cc:
MIME-Version: 1.0
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit

おめでとうございます。

懸賞ちゃんにてご応募いただきました「選べるコース」に見事ご当選されました。

当選手続き後当選商品が確定いたします。コースによっては定数がございますのでお急ぎください。

手続きは下記URLよりお願いいたします。
http://nmcmfnxnwn.info/kenchan/?rf=KM09&c=koKWBl63333FeKlzBKzIn

■このメールは送信専用です。
配信停止は下記アドレスに空メール送信してください
(配信停止には若干お時間をいただく場合がございます。ご了承ください)
kyohi@nmcmfnxnwn.info

END:VBODY
END:VENV
END:VMSG

よくわかんないと mixi.jp.gree.atk-gmail.com と書かれてると mixi とか gree とか google 関係っぽく見えますが無関係です。
届いたらゴミ箱行きか迷惑メールフォルダに突っ込みましょう。
ドメイン拒否する場合は atk-gmail.com で指定しましょう。

ドメインを調べてみる

From にあった atk-gmail.com

本文にある nmcmfnxnwn.info

両方ともAレコードが 122.202.100.236 だねぇ
MXレコードもあるしメールいけるかな?

普通にいけますねぇ
んじゃ yijnhcq.net を調べてみますか

全部同じAレコード。

IPを調べてみる

122.202.100.236 をもうちょっと深掘りしてみる。

普通のWeb+Mailサーバーといったとこだけど… mysqlとNFSが気になるな…

とりあえず上からやってみよう
まずはFTP

vsftpd のデフォルトバナーがこんなんだったような…

続いてssh

うわ、パスワード認証…

smtpはさっきやったからパスしてhttp

怒られてしまった…
普通にブラウザで試しますか。
http://122.202.100.236/

普通…
よくある「あれ」を試してみる
http://122.202.100.236/phpmyadmin/

うわぁ…
まだこんなサーバーあるんだぁ感が…

続いてhttps
https://122.202.100.236/

証明書を見てみたら有効期限、10年前すか…

最後にmysql

応答は帰ってきてるのかな?
これはようわからん。

まとめ

なんというかよくわかんないサーバーだなぁ。と。
apacheの2.2系が入ってるのに証明書は10年前のものだし…
セキュリティ設定もかなりやばいので可能性的には不正利用されたサーバーかなぁ
yijnhcq.net ドメインの登録は2012年になってからだし、whoisの登録名も個人名なので自宅サーバーのセキュリティ設定が甘く不正に利用されている。(whois登録情報はダミーなのかわからないので記載していないです。)
ただ122.202.100.236はフィリピンのIPアドレスなんだよなぁ…
とりあえず我が家のサーバーも気をつけよう。

Pocket