| [ 16895 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:XUF7EQLWPPU
本日来たスパムで次のようなものがありました。
−−−−ここから
Received: from dialup-64.99.221.203.acc51-dryb-mel.comindico.com.au
(dialup-64.99.221.203.acc51-dryb-mel.comindico.com.au [203.221.99.64])
by 私のプロバイダのメールサーバ
with SMTP id <xxxxxx@xxxxxxxxxx>; Sat,
03 Apr 2004 05:12:48 +0900 (JST)
Received: from XN64BI24 ([10.2.202.25]) by P78.initiate.email.com with
Microsoft SMTPSVC(5.0.2195.6713); Fri, 02 Apr 2004 18:08:16 -0200
Date: Fri, 02 Apr 2004 21:07:16 +0100
From: erzlesmjrzbux@email.com
Subject: gillette
To: xxxxxx@xxxxxxx
Message-id: <54404y92ko46s$01ty5g2h27$89vui6n@cheerlead.email.com>
MIME-version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-Mailer: Microsoft CDO for Windows 2000
Thread-Index: ORwrdX2SxU7ta6AqF+N87WI212ejHB==
Content-Class: ic:content-classes:message
X-Message-Info: 0ohiyt09948jtZ/vifLHHjxiNWGonxSlMO5Uiye
X-Virus-Status: Scanned by norton
Content-Type: multipart/alternative; boundary="--9027206777840022"
Content-Length: 338
Status:
----9027206777840022
Content-Type: text/plain;
Content-Transfer-Encoding: 7Bit
Montano @
The cablefilterz will allow
you to receive all the channels that
you order with your remote control/
payperviews,aXXXmovies,sport events,special-events%
http://www.8004hosting.com/cable/
chloride,kiriushka! stop this.
----9027206777840022--
−−−−ここまで
spamcopとabuse@comindico.com.auには連絡済み。ついでに
広告先のサイト www.8004hosting.com が属しているプロバイダーにも連絡と思ったのですが,
「す〜ぱ〜もの」ではIPアドレスを引くことができませんし,
自分のところからnslookupをしてみても引くことができません。
ところがブラウザでは表示されます。
このあたりの仕組みを教えていただけないでしょうか。
ID-code:w6SZ3BprNCg
> spamcopとabuse@comindico.com.auには連絡済み。ついでに
> 広告先のサイト www.8004hosting.com が属しているプロバイダーにも連絡と思ったのですが,
> 「す〜ぱ〜もの」ではIPアドレスを引くことができませんし,
> 自分のところからnslookupをしてみても引くことができません。
> ところがブラウザでは表示されます。
> このあたりの仕組みを教えていただけないでしょうか。
当掲示板では初めて聞く事例ですが、
投稿なさったもののリンク先を行くと分かるように、
私のこの投稿時刻現在、ブラウザで繋がりません。
つまり「す〜ぱ〜もの」や
nslookupの結果は正しいと思われます。
すなわち恐縮ですが、さてつ様がブラウザで見えるのが
なにか問題があると思われます。
原因として考えられるものには
1)時間的なタイミングですでに見られなくなった
2)もし今でもさてつ様のブラウザで見える場合には
さてつ様のブラウザのキャッシュに残っているのではないか
3)上のURLはみせかけであり、さてつ様の所にはHTMLメールで
届き、見た目は「http://www.8004hosting.com/cable/」と
書かれているが、
実際には別なサイトがリンクされているのではないか?
それはHTMLメールのソースを見なければ分からない
などが考えられます。調べていただきますよう、お願いいたします。
ID-code:w6SZ3BprNCg
> 3)上のURLはみせかけであり、さてつ様の所にはHTMLメールで
> 届き、見た目は「http://www.8004hosting.com/cable/」と
> 書かれているが、
> 実際には別なサイトがリンクされているのではないか?
> それはHTMLメールのソースを見なければ分からない
ホームページを作っていない方はいまいち上の
原理が分からない可能性がありますので書いておくと
たとえば当掲示板の過去ログ
http://www2g.biglobe.ne.jp/~stakasa/nospam_bbs/past/log/011358.html#11358
を見て下さい。
ここで紹介しているリンクは、見た目は
http://bbs.spamstop.net/
のサイトのものですが、実際にクリックしてジャンプしてみると
http://www2g.biglobe.ne.jp/~stakasa/
の所に繋がります。
最近米国ではフィッシングと呼ばれるspamに伴う被害、
すなわちスパムなのだがあたかも真っ当な企業のURLとみせかけ
実際にはspammer管理のサイトに導き、詐欺をする事例が
多発していると聞きました。もしかするとこの原理を
使っているのでしょうか?
ID-code:XUF7EQLWPPU
現在の実験結果です。なおブラウザはNetscape7.1です。
java scriptは切っています。
いま,改めてブラウザのアドレスに直接打ち込んで実験したものです。
http://www.8001hosting.com/cable/
http://www.8002hosting.com/cable/
http://www.8004hosting.com/cable/
http://www.8005hosting.com/cable/
http://www.8006hosting.com/cable/
は同様にcable filter(スパマーの商品広告)が表示される。
http://www.8003hosting.com/cable/
http://www.8007hosting.com/cable/
http://www.8008hosting.com/cable/
は見つからない(DNSの解決ができない)。
なお,http://www.8004hosting.com/cable/や
http://www.8001hosting.com/cable/はページが表示されますが,
http://www.8004hosting.com/cable/index.htmlや
http://www.8001hosting.com/cable/index.htmlは
text-html; charset=gb2312のキャラクターセットで
HTTP 404のエラーページが表示されます。
いずれにせよ,広告サイトは
www.8001hosting.com(202.102.249.103)にありそうなことはわかるのですが,
依然として,なぜwww.8004hosting.comが見えるのか不思議です。
ID-code:XUF7EQLWPPU
追加です。
Internet Explorerで
http://www.8004hosting.com/cable/
に行こうとすると,「確かにサーバーが見つかりません」と出ました。
#ネスケでは,いまリロードしても表示されるのに。
ID-code:w6SZ3BprNCg
> 追加です。
> Internet Explorerで
> http://www.8004hosting.com/cable/
> に行こうとすると,「確かにサーバーが見つかりません」と出ました。
> #ネスケでは,いまリロードしても表示されるのに。
ネスケ7.1で試しましたが表示されません。キャッシュを
クリアしましたでしょうか?
ID-code:XUF7EQLWPPU
ご返事遅くなりました。
実は,キャッシュはクリアしているのですが,
今でも見えてしまいます。不思議です。
まあ,このbannedCDというspammerからは何ヶ月にもわたり
spamが来ていますので,ゆっくりと検証してみます。
ありがとうございました。
ID-code:UlA5wqhE/wI
> > 追加です。
> > Internet Explorerで
> > http://www.8004hosting.com/cable/
> > に行こうとすると,「確かにサーバーが見つかりません」と出ました。
> > #ネスケでは,いまリロードしても表示されるのに。
>
> ネスケ7.1で試しましたが表示されません。キャッシュを
> クリアしましたでしょうか?
ご無沙汰してます。
IEエンジンのブラウザですが見れます。ケーブルのフィルターの宣伝?ですかね。。
↑のハイパ^−リンクをクリックして見えて、コピペでも見れます。
ご参考までに
ID-code:ieesJ23XcJc(本記事は投稿者自身により04/04-06:04に修正されました)
普通にwhoisかけてみて分かった範囲の情報ですが、
Domain Name ..................... 8004hosting.com
Name Server ..................... ns2.9t5.net
ns3.i4k.net
Registrant ID ................... hs21302190-cn
Registrant Name ................. longcao
Registrant Organization ......... long cao
Registrant Address .............. beijing
Registrant City ................. beijing
Registrant Province/State ....... beijing
Registrant Postal Code .......... 100022
Registrant Country Code ......... CN
Registrant Phone Number ......... +86.01064945577 -
Registrant Fax .................. +86.01064945577 -
Registrant Email ................ frant334@hotmail.com
Technical ID .................... hs21302190-cn
Technical Name .................. longcao
Technical Organization .......... long cao
Technical Address ............... beijing
Technical City .................. beijing
Technical Province/State ........ beijing
Technical Postal Code ........... 100022
Technical Country Code .......... CN
Technical Phone Number .......... +86.01064945577 -
Technical Fax ................... +86.01064945577 -
Technical Email ................. frant334@hotmail.com
Administrative ID ............... hs21302190-cn
Administrative Name ............. longcao
Administrative Organization ..... long cao
Administrative Address .......... beijing
Administrative City ............. beijing
Administrative Province/State ... beijing
Administrative Postal Code ...... 100022
Administrative Country Code ..... CN
Administrative Phone Number ..... +86.01064945577 -
Administrative Fax .............. +86.01064945577 -
Administrative Email ............ frant334@hotmail.com
Billing ID ...................... hs21302190-cn
Billing Name .................... longcao
Billing Organization ............ long cao
Billing Address ................. beijing
Billing City .................... beijing
Billing Province/State .......... beijing
Billing Postal Code ............. 100022
Billing Country Code ............ CN
Billing Phone Number ............ +86.01064945577 -
Billing Fax ..................... +86.01064945577 -
Billing Email ................... frant334@hotmail.com
Expiration Date ................. 2005-03-15 06:26:07
どうせwhois通せば調べられる情報なんでそのまま記載。
もしまずかったらご連絡or削除の方向で。
んで、このName Serverにある9t5.netやi4k.netってのは
どっかで見たことあるような・・・(汗)
#うろ覚えだけど、確かこのサーバーって
#奴らの自前だったと聞いたことあるような?
で、人によって見られる見られないが分かれる可能性を考えてみたんですが、もしかするとIPブロックによる制限をかけてるのかも知れませんね。
すんごい突拍子もない想像になっちまいますが。
例えば反スパム活動で有名な人(高崎氏など)が利用しているプロバイダをHPなどから類推して、そのIPブロックからは閲覧できない、とか。
ただし英氏のような事例があるとなると、ちと想像ハズレかも。
それでも無理に理由をつけるとするなら、上記の制限のほかに1つのIPからは1回のセッションしか通さないようにしてるとか。
・・・ってそんなことできるのかどうか試したこともないんでなんとも拙いったらありゃしない。
ちなみに僕も様々なブラウザに化けてみましたがやはり閲覧できませんでした。
以上、お目汚しにて失礼をば。
#sage
ID-code:BF3Xm2kOVIo
手元のPCで nslookup をしてみたのですが、
一回目は取れて、二回目がだめでした。
C:\>nslookup www.8004hosting.com
Server: xxx
Address: xxx.xxx.xxx.xxx
Non-authoritative answer:
Name: www.8004hosting.com
Address: 202.102.249.103
C:\>nslookup www.8004hosting.com
Server: xxx
Address: xxx.xxx.xxx.xxx
*** xxx.xxx.xxx.xxx can't find www.8004hosting.com: Non-existent domain
こちらのIPアドレスを変えると、また一回だけ取得できるので
DNSで細工してるんでしょうか。
TTLが短くてDNSキャッシュされない?
#sage
ID-code:tOjIOMCGlOo
> http://www.8004hosting.com/cable/
本当にこの通りのURLになってますか?
メーラーの画面からコピペしただけでは正確にコピーしていない
場合があります。
(Outlookなんかだと正確なコピーは不可能だったかもしれない)
URL中にコントロールコードなどの不可視文字を入れて
クレーマーを錯乱する、大昔から使われている手口があります。
もちろんそういう腐った設定が可能なドメイン屋を利用する必要あり。
spammerが自分でNSを立ち上げていることも多し。
#sage
ID-code:XUF7EQLWPPU(本記事は投稿者自身により04/04-08:47に修正されました)
www.8004hosting.comについては,
http://groups.google.co.jp/groups?q=%22%2Bwww.8004hosting.%2Bcom%22&hl=ja&lr=&ie=UTF-8&oe=UTF-8&selm=200403251740.i2PHeEl5017570%40technotopia.com&rnum=4
# googleのグループ検索でnetnewsを検索すると,同様のspam reportが
# たくさん見つかります。
にあるように,202.102.249.103で間違いなさそうですね。
ただ,なぜ名前が解決できないのかは,わかりません。
同じく最近よく来るspamで
spamvertized siteが
http://xxxxxxxxx.homebuilding.indiscoverable.sadden.humidistat.allen.brainy.xxxxxxxxxx.getitrightnowwholesale.com/h/index.php?AFF_ID=h2
# 一部編集済み
なんてものがあります。
ずっと省略して
http://getitrightnowwholesale.com/h/index.php
としてspamvertized siteにアクセスすると,ページの左上に
"Couldn't find Username"と表示されます。
この表示の意図はわかりませんが,spammerがDNSの解決の部分で,
誰がアクセスしてきたのかデータをとることができるようになってるようですね。
www.8004hosting.comについては,また何か別な理由(別にspammerが
わざとやっているものではないかもしれませんが)がありそうです。
(追加)
いまhttp://www.8004hosting.com/cable/に同様につなごうとしたら,
名前が解決できないとすぐ撥ねられました。
自分が使っているプロバイダのDNSキャッシュに残っていたのか?
それともNetscape7.1では通常のキャッシュのほか,DNSキャッシュを持っていたりするのか?
spammerのDNSサーバーも多少くせがあるようですが,
いずれにせよ,今回の件は,なんだかまだわかりませんが,
自分の環境によるところが大きいようです。
お騒がせしました。
ID-code:XOOTGUqUwQA
すでに解決済みのようですが(^^;
> いまhttp://www.8004hosting.com/cable/に同様につなごうとしたら,
> 名前が解決できないとすぐ撥ねられました。
> 自分が使っているプロバイダのDNSキャッシュに残っていたのか?
> それともNetscape7.1では通常のキャッシュのほか,DNSキャッシュを持っていたりするのか?
Mozilla系ブラウザは、自身でDNSキャッシュを持っているようです。
私はMozilla1.6を使っていますが、ブラウザを完全に再起動するとキャッシュがクリアされるようです。
> spammerのDNSサーバーも多少くせがあるようですが,
ネットワーク的に遠いか、サーバの性能が低いのが理由で、リクエストがタイムアウトしているだけではないかと思います。
#sage
ID-code:XUF7EQLWPPU
> Mozilla系ブラウザは、自身でDNSキャッシュを持っているようです。
> 私はMozilla1.6を使っていますが、ブラウザを完全に再起動するとキャッシュがクリアされるようです。
> > spammerのDNSサーバーも多少くせがあるようですが,
> ネットワーク的に遠いか、サーバの性能が低いのが理由で、リクエストがタイムアウトしているだけではないかと思います。
やはりブラウザがキャッシュを持っているんですね。
ありがとうございました。
#sage