フィッシング詐欺サイト情報
Yesterday: 
ClamAVでHTML.Phishing.Pay-106と検知されています。
アドレスは144.167.145.26でアメリカ、逆引きはbayrak.ualr.eduです。クラックされているにはコンピュータサイエンス学科のサーバーですね。
引数によって動作を変えていて、bWFpIHByb3N0のところが一文字でも異なると空白が表示されます。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。ualr.eduにも通知しました。大学の対処速度はどうなんでしょう。
追記:
以下のようにyahoo.comのリダイレクタを使ったspamも来ています。こちらはClamAVでHTML.Phishing.Bank-28として検知されています。
ttp://rds.yahoo.com/_ylt=3DA0LaSV66fNtDg.kAUoJXNyoA;_ylu=X3oDMTE2ZHVuZ3E3BGNvbG8DdwRsA1dTMQRwb3MDMwRzZWMDc3IEdnRpZANGNjU1Xzc1/SIG=3D148vsd1jp/EXP=3D1138544186/**http%3a//0x90.0xa7.0x91.0x1a/.PayPal.com/index.php?bWFpIHByb3N0=3DaWxvciBtYWkgc3VnZXRpIHB1bGEgZnV0dXZhIG1hbWVsZSBpbiBndXRhIGRlIGxhYmFyaSBjZSBzdW50ZXRpIHNpIGRvYm90b2NpIHBpc2VtYX
アドレスは144.167.145.26でアメリカ、逆引きはbayrak.ualr.eduです。クラックされているにはコンピュータサイエンス学科のサーバーですね。
引数によって動作を変えていて、bWFpIHByb3N0のところが一文字でも異なると空白が表示されます。
サーバーの応答はApache/2.0.40 (Red Hat Linux)です。ualr.eduにも通知しました。大学の対処速度はどうなんでしょう。
追記:
以下のようにyahoo.comのリダイレクタを使ったspamも来ています。こちらはClamAVでHTML.Phishing.Bank-28として検知されています。
ttp://rds.yahoo.com/_ylt=3DA0LaSV66fNtDg.kAUoJXNyoA;_ylu=X3oDMTE2ZHVuZ3E3BGNvbG8DdwRsA1dTMQRwb3MDMwRzZWMDc3IEdnRpZANGNjU1Xzc1/SIG=3D148vsd1jp/EXP=3D1138544186/**http%3a//0x90.0xa7.0x91.0x1a/.PayPal.com/index.php?bWFpIHByb3N0=3DaWxvciBtYWkgc3VnZXRpIHB1bGEgZnV0dXZhIG1hbWVsZSBpbiBndXRhIGRlIGxhYmFyaSBjZSBzdW50ZXRpIHNpIGRvYm90b2NpIHBpc2VtYX
● paypal.comの偽サイト ttp://211.114.63.221/~user/.paysk/login.html
ClamAVでHTML.Phishing.Bank-28と検知されています。
アドレス211.114.63.221は韓国で逆引きはありません。トップページを見ると韓国の女子高ですね。サーバーがクラックされています。
サーバーの応答は通常もと違って下のようになります。
Server: Apache -OOPS Development Organization-
P3P: CP='CAO PSA CONi OTR OUR DEM ONL'
X-Powered-By: PHP/4.3.9AnNyung
P3P : CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DE
M CNT STA POL HEA PRE LOC OTC"
アドレス211.114.63.221は韓国で逆引きはありません。トップページを見ると韓国の女子高ですね。サーバーがクラックされています。
サーバーの応答は通常もと違って下のようになります。
Server: Apache -OOPS Development Organization-
P3P: CP='CAO PSA CONi OTR OUR DEM ONL'
X-Powered-By: PHP/4.3.9AnNyung
P3P : CP="ALL CURa ADMa DEVa TAIa OUR BUS IND PHY ONL UNI PUR FIN COM NAV INT DE
M CNT STA POL HEA PRE LOC OTC"
● paypal.comの偽サイト ttp://www.paypal-fast.net/
ClamAVでHTML.Phishing.Auction-28と検知されています。
フレームが切ってあり実際にはttp://200.30.174.66:16080/~prueba/.cgi-bin/us/paypal.com/webscr/ が表示されます。
www.paypal-fast.netについては
アドレス:195.224.48.90、国名:イギリス、逆引:redirect.123-reg.co.uk
サーバー応答:Apache/2.0.53 (Fedora)
200.30.174.66については
国名:グアテマラ、逆引:mail.grupogeo.net
サーバー応答:Apache/1.3.33 (Darwin) mod_jk/1.2.6 mod_ssl/2.8.22 OpenSSL/0.9.7b PHP/4.
3.11
ポート80はまともそうなページが見え、逆引きからも考えてクラックされているようです。
フレームが切ってあり実際にはttp://200.30.174.66:16080/~prueba/.cgi-bin/us/paypal.com/webscr/ が表示されます。
www.paypal-fast.netについては
アドレス:195.224.48.90、国名:イギリス、逆引:redirect.123-reg.co.uk
サーバー応答:Apache/2.0.53 (Fedora)
200.30.174.66については
国名:グアテマラ、逆引:mail.grupogeo.net
サーバー応答:Apache/1.3.33 (Darwin) mod_jk/1.2.6 mod_ssl/2.8.22 OpenSSL/0.9.7b PHP/4.
3.11
ポート80はまともそうなページが見え、逆引きからも考えてクラックされているようです。
— posted by staff @ 09:33AM
| TrackBack(0)
