ドメインはルーマニアですがアドレスは66.230.157.75でアメリカです。OSはUnix。トップページが初期状態のままなので犯人がレンタルサーバーを借りてそこに開設している模様です。出鱈目のIDとパスワードでログインを試みようとするとエラーとなって本物のebay.comのサイトに飛ばされるので裏でその情報を使って認証をしているようです。ebayとlx.roそれに上位のネットワークのisprime.comに通報しました。
ttp://www.lx.ro/s.htm を見ると顧客リストが出てきます。その中にsigninというユーザーがいてそいつが開設しているわけです。レンタルサーバーのページwww.lx.roを見るとルーマニア語なんでしょうか、それが理解できて加入しているのと、spamが送られたのが176.135.181.81.ads-unassigned.vl.roであることと考えて犯人はルーマニア在住と思われます。

25日朝見たら消えていました。アメリカは危機管理の進んだ国だから対応が速いのかな。関係ないけどこんなこともありました。