アドレス203.115.97.161はインドです。逆引きはありません。

トップページはApacheインストール直後の画面ですがディレクトリ名から考えてクラックされたものです。ttp://203.115.97.161/wordtrans/ には翻訳ページもあります。

サーバーの応答はApache/2.0.40 (Red Hat Linux)です。cyota.comに通報しました。

いきなりカード番号詐取画面です。

なぜか暗証番号だけまた聞いてきます。

全部入れ終わった画面。まだ詐欺サイトにいます。

ClamAVでHTML.Phishing.Auction-49として検知されました。

1075126735は64.21.33.207と同じでアメリカです。逆引きはありません。SMTPでわかるホスト名はtriton.voxee.comです。triton.voxee.comの正引きは64.247.49.112です。

httpでわかるwwwサーバー名はwww.onefusion.comですが正引きは64.247.49.113なのでなんだか混乱していますがクラックされていることは確かです。

サーバの応答は Apache/1.3.33 (Unix) mod_layout/3.2.1 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.10 FrontPage/5.0.2.2635 です。

何を入れてもログインでき次の画面になります。

カード番号詐取画面です。（上部）

（下部）

Not Foundになります。クラックされていて気がついて消したのでしょう。

アドレスは216.220.128.3でアメリカです。現在のサーバーの応答はApache/1.3.33 (Unix) PHP/4.2.1です。

昨日発見されたものが生き返りました。アドレスバーが偽装されています

アドレスは72.9.240.12でアメリカ、逆引きはecho4.fast-servers.netです。

googleのリダイレクタを使ってttp://bgdf.com/catalog/account/index.phpに飛ばしています。

ドメインbgdf.comはttp://bgdf.com/catalog/で普通のサイトが見えます。ドメインも2002年9月取得なのでサーバーがクラックされたものです。

サーバーの応答はApache/1.3.33 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.22 OpenSSL/0.9.7a PHP-CGI/0.1b です。

フォームがあったのでbgdf.comに通報しました。

移動したということでクリックすると下のサイトに移動します。

窓を最大にして偽サイトが表示されます。アドレスバーにはSSLである https:// となっていますが鍵アイコンが無いのに注意。タイトルバーにはbgdf.comとなっています。アドレスバーが偽装されていますが今迄は日本語ブラウザでは位置がずれて表示されたのですが今回は完全に同じ位置に表示されています。実際に接続しているのは ttp://bgdf.com/catalog/account/primapagina.htm です。

瞬間、認証しているふりの画面が出ます。

カード番号詐取画面です。実際には ttp://bgdf.com/catalog/account/protect.php が表示されます。

入れ終わると本物のサイトに飛ばされます。上の画面は本物のサイトです。

Firefoxだとアドレスバーが消えて表示されます。

10進のアドレス表記になっていますが ttp://64.141.115.150/?u=http://feedback.ebay.com/ws/eBayISAPI.dll?ResolveDispute がよく見る表記のURLです。

こういう10進表記の場合簡単にアドレスを調べる方法はTelnetでつないでみることです。
$ telnet 1083011990 80
Trying 64.141.115.150...
Connected to 64-141-115-150.dns77.com.
Escape character is '^]'.

ということでアドレスは64.141.115.150でカナダ、逆引きは64-141-115-150.dns77.comです。

?u= のあとに別のURLを入れても同じものが表示されるのでリダイレクトでは無く、feedback.ebay.comにみせかけただけです。

サーバーの応答はApache/1.3.33 (Unix) PHP/5.0.4 mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.22 OpenSSL/0.9.7a です。

今までの経験でやたらオプションがあるのはレンタルサーバーです。ドメインdns77.comはかなり古い時期に取得されているので犯人とは無関係です。犯人が加入したのかそれともクラックされたのか。

ebay.comに通報しました。

どうもログインできません。

このようにエラーになります。IDとパスワードの詐取だけなのかもしれません。

googleのリダイレクタを使ってttp://bgdf.com/catalog/account/index.phpに飛ばそうとしていますがbgdf.comのIPアドレスはすでにDNSから消えています。

ドメインbgdf.comは2002年9月取得なのでサーバーがクラックされたものです。

アドレスバーが偽装されています。

しつこいですね。ClamAVにはIPアドレスだけでなくパターンとしても登録されているようで、新しいIPアドレスであっても同じHTML.Phishing.Bank-1として検知されています。

サーバーの応答はApache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7a PHP/4.4.2 mod_perl/1.29 FrontPage/5.0.2.2510ですがそれは偽装で、Windowsのようです。

ポート780も開いているので ttp://218.28.165.168:780/rock/e/ としてつなげてみると同じ画面になります。

アドレス218.28.165.168は中国で逆引きはありません。

アドレスバーが偽装されています。何を入れてもログインできます。

これもアドレスバーが偽装されています。カード番号詐取画面です。

サイトは既に消えていました。

/rock/e/というのは過去に3回観察されています。ポート番号が普通と違うところも同じです。

このアドレスはペルー、逆引きはmail.pesquerasantarosa.com.peです。

アドレスは72.34.38.5でアメリカです。逆引きはserver1.solid-hosting.orgでレンタルサーバーです。

ここにつなぐとttp://chaseonline.chase.com.webssl-auth.tmsn.tkに転送されます（二枚目以降の画像参照）。

ttp://72.34.38.5/ のトップページはApache is functioning normallyというメッセージが出ます。

そうこうしているうちにページは抹消されたようでトップページにThis Account Has Been Suspendedというメッセージが出るようになりました。

サーバーの応答はApacheとだけわかります。cyota.comに通報しました。

何を入れてもログインできます。

認証しているふりをしています。

口座情報詐取画面です。

全部入れ終わるとこの画面になり、続いて本物のサイトに飛ばされます。

ClamAVでHTML.Phishing.Auction-47として検出されています。

アメリカyahoo.comのビジネスサービスを使って犯人自身が偽サイトを立ち上げています。
アドレスは多数あります。

ドメインssl32.comは犯人が取得したもので1月19日に登録され期限が1年です。

何を入れてもログインできます。

カード番号詐取画面です。桁数と番号のルールをチェックしているのでこれ以上先に進めません。クレジットカードの番号詐取画面がこのあとにありそうです。

また下と同じものが来ました。ここも現在つながりません。同じ犯人が短時間につないでは切断をくりかえしているのでしょうか。

このアドレスは韓国です。逆引きはありません。

サイトは既に消えていました。

/rock/e/というのは過去に二回ほど観察されています。ポート番号が普通と違うところも同じです。

このアドレスは韓国です。逆引きは211-232-40-160.nexg.netです。

アドレスは70.85.116.53でアメリカ、逆引きは53.70-85-116.reverse.theplanet.comです。

トップページにつなぐとopenhost.usという販売サイトが見えるのでここがクラックされているようです。しかしながらそのリンクをクリックするとほとんどがNot Foundなのでこれ自体偽装である可能性もあります。

サーバーの応答はApache/1.3.33 (Unix) mod_ssl/2.8.22 OpenSSL/0.9.7d VDB/1.1.1です。paypal.comと100webspace.comに通報しました。

IDとパスワードを入れるとすぐに本物のサイトに飛ばされます。カード番号を詐取するのわけではないようです。

追記：当日100webspace.comからThank you very muchと返事が来ました。url.rbl.jpから削除済み。

このアドレスはイスラエルです。逆引きはbzq-231-217.red.bezeqint.netです。トップページがFedora CoreでApacheを入れた初期画面なのでクラックされたのかどうか不明です。ディレクトリ名からはクラックされたものとも考えられますが。

サーバーの応答はApache/2.0.54 (Fedora)です。ebay.comに通報しました。

でたらめをいれてみると下の画面になります。

いろいろでたらめを入れてみても次に進みません。

ディレクトリ丸見えなのでリストをしてみるとメールで送るような感じです。単にIDとパスワードだけを送っているのかもしれません。

ClamAVでHTML.Phishing.Bank-41として検知されています。

アドレスは217.76.132.17でスペインです。

トップページはNot Foundとなります。usc-ch.comのドメインはどうもフィッシングのために取得したようで1月17日に取得で、1年の期限になっています。

サーバーの応答からはApacheとだけしかわかりません。

何を入れても下の画面になります。

一旦間違えた画面になります。ここでは何を入れても下に移ります。

認証しているふりをしている画面です。数秒して下の画面になります。

あなたのアカウントは制限されているとおどろかせます。びっくくりしてGo To My Accountのボタンを押すと次の画面になります。

カード番号詐取画面です。

ClamAVでHTML.Phishing.Pay-50として検知されています。

アドレスは193.227.1.9でエジプトです。トップページはドメインに一致するSmart ITという企業のページなのでクラックされています。

サーバーの応答はApache/2.0.50 (Win32)、PHP/4.3.8です。

何を入れても下の画面になります。

パスワードが間違っていると表示されます。また入れると下に移ります。何か処理をしているようで単にでたらめいれてもだめでそれらしいものを入れると大丈夫でした。

認証しているふりをしている画面です。

よくあるクレジットカード宣伝画面です。下の方のGo To My Accountのボタンを押すと次の画面になります。

カード番号詐取画面です。クレジットカードと銀行口座の両方を入れるようになっています。根こそぎということですね。

ClamAVでHTML.Phishing.Pay-4として検知されています。

アドレスは211.20.19.61で台湾です。

トップページを見るとレンタルバーバーのようです。cynux.com.twのサブドメインとして開設されていますがそのサブドメインとして登録されているので犯人自身が加入しているのではないでしょうか。

サーバーの応答はApache/2.0.52 (FreeBSD) PHP/4.3.10です。

右側のログイン窓に何か適当なものを入れるとログインできます。

カード番号詐取画面です。

ClamAVでHTML.Phishing.Pay-16と検知されました。

アドレスは217.76.132.17でスペインです。逆引きはflgb270.serveursdns.netです。

ドメインusa-pp.comは1月9日に1年の期限で取得されています。恐らくこの詐欺のために取得したものです。

サーバーの応答はApacheとだけ返ります。

何を入れてもエラーになり下の画面が出ます。

今度は何を入れても下の画面になります。

認証しているふりをしています。

確認画面です。

カード番号詐取画面です。

clamavでHTML.Phishing.Pay-43というウイルスとして検出されています。

アドレスは62.33.164.7でロシアです。逆引きはns.jar.ruです。

トップページは空白です。ttp://www.jar.ru/ もNot Foundとなりますがレンタルサーバーのようです。

サーバーの応答は Apache-AdvancedExtranetServer/2.0.48 (Mandrake Linux/6.7.100mdk)mod_perl/1.99_11 Perl/v5.8.3 mod_ssl/2.0.48 OpenSSL/0.9.7c PHP/4.3.4です。

何を入れてもログインできます。

認証しているふりをしている画面です。

カード番号詐取画面です。