フィリピンのサーバーがクラックされました。ピザ屋さんでしょうか。OSはUnix系、Apache/1.3.33 、PHP/4.3.10です。かなり新しいOS/ソフトでもクラックされるので気をつけましょう。といってもどの脆弱性から侵入されるんでしょうかね。sshという話も濃厚ですが先日はそうでもなかったし。

本件は通報されたものです。ありがとうございました。しばらく使っていなかったメールアドレスを久しぶりに見たら届いていたそうです。

出先で見つけたので保存しておいたのですが帰宅したらサイトは消えていました。アドレスも不明です。ドメインebay-loginpage.comは4月22日アメリカのtimothy boehmという個人名義で取得され一年です。取得して7日後に詐欺を働いたことになります、DNSも同じドメインが登録されていてこのアドレスも不明です。ドメインを登録したyesnic.comは韓国のレジストラです。これが届いたspamです。

筆者の京ポンにて保存した画面

サイトはシンガポールにあります。OSはUnix系、Apache/2.0.54、PHP/4.3.11。逆引きが無くトップページも空白なのでクラックされたのか犯人自身が立ち上げているのかは不明です。starhub.comとpaypal.comに通報しました。

ロシアの企業のサイトがクラックされました。OSはMandrake Linux、Apache/2.0.48、PHP/4.3.4、OpenSSL/0.9.7cです。rustelephone.ruのフォームから通報済み。

同じspam中に ttp://200.87.56.134/icons/.signin.ebay.com/ws/eBayISAPIdllSignIn.php
のURLもあったのですがこちらはすでに消えていました。サイトはボリビアです。

サイトはアメリカにあります。偶然ですが同じcharter.comというCATV会社の回線上に立ち上がっています。OSはRed Hat Linux、Apache/2.0.46です。トップページが空白なのとポートが85番と普通でないことから考えわざわざこのためにApacheを立ち上げたようで犯人自身の仕業かもしれません。cyota.comに通報しました。

同じ日の09:30に消えたことを確認しました。

サイトはアメリカにあります。個人のホームページ内の1アカウントとしてできているので恐らくクラックされてユーザーアカウントを1つ作られたのでしょう。ttp://207.254.214.186/~nick/ としてつないでも詐欺ページに移動します。OSはUnix系、Apache/2.0.47、DAV/2 PHP/4.3.3です。オーナーとshreve.netそれにcyota.comに通報しました。

朝見つけて14:52には消えているのを確認しました。さすがにいつもアメリカは消えるのが速い。

台湾の企業サイトがクラックされました。OSはRed Hat Linux、Apache/2.0.40、PHP/4.2.2です。digit.com.twとso-net.net.twに通報しました。so-net.net.twは日本語でのメールを受け付けるアドレスを発見し届いたのですがdigit.com.tw宛はエラーで戻ってきます。

今までの経験では（インターネット野放し状態の韓国や中国とは違って）台湾にあるサイトはすぐつぶしてくれるはずです。プロバイダの管理体制がしっかりしているせいでしょうか。逆引きがあるので直接連絡できるプロバイダがすぐわかるところもいい点です。

それにしても14日の韓国にあるebay.comの偽サイトはまだ立ち上がっていますね。いくらなんでも立ち上がってから最低13日経過しているので何件も情報は入っていると思うのですがebay.comはこういうサイトをつぶすのにあまり熱心では無いようです。paypal.comは連絡をくれたりしているので比較的動いているようです。

28日09:36 ちょうど見ているところでサイトが消えました。丸一日ですか。まあまあかな。14日の韓国の偽ebay.comはまだあります。韓国はどうしようもないですね。

中国のWebmailのサーバーがクラックされました。OSはUnix系、Apache/1.3.20、PHP/4.0.6で、あいかわらず逆引きはありません。spamが発信されたときの対応状況から見てChinanetには処理する意思と能力が無いとわかっているのでcyota.comだけに通報しました。

(Chinanetだから）普通は応答が無い中国にあるサイトであってもさすがにcyota.comはやってくれます。27日の09:37には閉鎖されていました。cyota.comはメールだけでなく電話も使ってサイト閉鎖のアクションを起こしてくれるので銀行系フィッシングだったらここに情報提供するのが一番。

台湾のサイトがクラックされた模様です。spamが届いたときにはコンテンツは消されていました。現在のOSはRed Hat Linux、Apache/2.0.40、PHP/4.2.2です。台湾はちゃんと逆引きがありますね。

アドレスは220.68.134.16で（また）韓国です。OSはWindows、Microsoft-IIS/5.0です。ドメイン名はVanCity Credit Unionという実在の組織名で今月の4日に登録されていますがもちろん嘘です。登録者のメールアドレスはhotmail.comが使われていて、ドメインの期間もお約束の1年です。出鱈目のIDでもログインできATM番号入力画面となります。 ttp://secure.charter-bank.net/detarame.htmlなどと存在しないページを指定してもログイン画面に飛ばされます。secure.charter-bank.netのトップページにつないでも同じ詐欺ページにとばされます。220.68.134.16のトップページは ttp://220.68.134.16/_ezaid/EZIntro.php に飛ばされ韓国語のページが表示されるのでクラックされた模様です。監視会社のCyota.comとDNSを担当しているverio.comとrapidsite.netに通報しました。韓国は例によって逆引きがありません。

上の画面でIDとパスワードを入れると以下の画面となります。2つのアドレスから何回か接続してsuccess 0 すなわちログインに失敗しているというメッセージが出ます。最後の行にはアカウントは臨時的に閉鎖されているとなっています。ログインした人をあわてさせて急いでパスワードを更新しないといけないという気にさせるためでしょう。

赤い字で表示されるアドレスと失敗の回数は何回つないでも同じものが表示され、ログイン名だけがそのとき使ったIDになっています。

23:28 Verioから「DNSから消した、Thank you」と連絡が来ました。DNSから消えてもキャッシュされているため本当に消えるにはさらに時間がかかる場合があります。