スパム | ～下町物語～

メールサーバreplaceする。

rurineko — Tue, 19 Jun 2018 00:24:50 +0000

この記事を読むおよそ時間 1未満分

いよいよ、もう何年も使ってきたメールサーバですが、過去色々ありましたが、重い腰をあげてreplaceする事にしました。かなり色んな事を実装したメールサーバでした。

ドメイン正当性を保証するドメインキー実装とか良かったですね。アタックされまくりのサーバでしたね。昨日、長い年月に幕を下ろしました。サービスはまだあげてますが、iptablesで外部からのアクセスを遮断しました。DNSも安定してきて、直接くるアクセスはip直うちのアクセスだけです。

自宅の固定GIPから、過去メールが読めればいいので自宅意外を締め込みました。後は、新しいメールサーバがアタックに耐えて頂ければ幸いです。

ただ、一端スパムは減った気がする。今回のスパムフィルターが結構強いのが入っているので、それが効いているのかも知れません。

The post メールサーバreplaceする。 first appeared on ～下町物語～.

またきた！！ランサムウェアメール・・・

rurineko — Sat, 12 Mar 2016 00:50:49 +0000

この記事を読むおよそ時間 2 分

今のトレンドですねぇ。請求書メールに載せてランサムウェアが・・・。
ある意味間違ってはいないんですが、ランサムウェアが実行された後に
請求書が出ますから・・・ｗ

☆subject
FW: Payment 16-03-#65191807

☆本文
Dear rurineko,

We have received this documents from your bank, please review attached documents.

Yours sincerely,

Tabatha Watkins
Account Manager
______________________________________________________________________
This email has been scanned by the Symantec Email Security.cloud service.

☆ヘッダー
Return-Path:
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on mx.hogehoge.com
X-Spam-Level:
X-Spam-Status: No, score=-6.1 required=13.0 tests=BAYES_00, CONTENT_TYPE_PRESENT,NO_RECEIVED,NO_RELAYS autolearn=ham version=3.3.1
X-Original-To: rurineko@hogehoge.com
Delivered-To: rurineko@hogehoge.com
X-Virus-Scanned: amavisd-new at hogehoge.com
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.hogehoge.com B9B0C61A3E0
From: Tabatha Watkins
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 mx.hogehoge.com EE64961A3DF
To: rurineko
Subject: FW: Payment 16-03-#659807
MIME-Version: 1.0
Message-Id: <14915ｄ0022927732.07F1BD06DE@hogehoge.com>
Date: Fri, 11 Mar 2016 11:31:26 +0100
Content-Type: multipart/mixed; boundary=”—-==–bound.320ｄ98.d6551ca5.hogehoge.com”

☆サーバログ　実データ　サーバに入ってデータを引っ張ってきました。
－－－－　検索結果　－－－－
Mar 11 20:31:30 mx postfix/cleanup[13557]: EE6ss4961A3DF: message-id=<1491500229277ss32.07F1BD06DE@higehige.com>
Mar 11 20:31:30 mx postfix/cleanup[13557]: B9B0C61A3E0: message-id=<149150022927732.0ss7F1BD06DE@higehige.com>
Mar 11 20:31:31 mx amavis[12376]: (12376-16) Passed CLEAN {RelayedInbound}, [82.154.1.54] -> , Message-ID: <1491500229277ss32.07F1BD06DE@higehige.com>, mail_id: SmmIguTc12II, Hits: -, size: 6925, queued_as: B9B0C61dsadsaA3E0, 544 ms
Mar 11 20:31:31 mx spamd[450]: spamd: processing message <149150022927s732.s07F1BDs06DE@higehige.com> for rurineko:102
Mar 11 20:31:31 mx spamd[450]: spamd: result: . -6 – BAYES_00,CONTENT_TYPE_PRESENT,NO_RECEIVED,NO_RELAYS scantime=0.5,size=7113,user=rurineko,uid=102,required_score=13.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=38241,mid=<149150022927732.07F1aaBD06DE@higehige.com>,bayes=0.000001,autolearn=ham
－－－－　検索結果終了　－－－－

ランサムウェアは、サーバに入れているウイルス対策ソフトでは、
ヒットしないっぽいです。CLEANってでちゃってますね。

しかも、スパムフィルターも通過してるし
うまくつくってますねぇ。

☆送信ホスト情報
82.154.1.54

送信国ポルトガル　遠路はるばる・・・。

☆プロバイダ－情報
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘82.154.0.0 – 82.154.243.255’

% Abuse contact for ‘82.154.0.0 – 82.154.243.255’ is ‘abuse@mail.telepac.pt’

inetnum: 82.154.0.0 – 82.154.243.255
netname: MEO-BROADBAND
descr: PT Comunicacoes S.A.
descr: Dynamic Address Range
country: PT
remarks: NCC #2004061957
admin-c: TP3302-RIPE
tech-c: TP3302-RIPE
status: ASSIGNED PA
mnt-by: TELEPAC-MNT
mnt-routes: TELEPAC-MNT
created: 2004-06-17T15:23:31Z
last-modified: 2016-02-05T17:37:06Z
source: RIPE # Filtered

role: MEO-RESIDENCIAL
org: ORG-TCIS1-RIPE
address: Local Internet Registry Management
address: MEO – SERVICOS DE COMUNICACOES E MULTIMEDIA S.A.
address: Av. Fontes Pereira de Melo, 40 – 3 Bl A
address: Forum Picoas – 1069-300 Lisboa
address: Portugal
phone: +351-215000000
admin-c: LL1052-RIPE
admin-c: MCN5-RIPE
admin-c: HCR20-RIPE
admin-c: NPM17-RIPE
admin-c: DPM37-RIPE
admin-c: LAS102-RIPE
admin-c: TPM7-RIPE
tech-c: RTM15-RIPE
tech-c: FSG53-RIPE
tech-c: JCO39-RIPE
tech-c: PPB29-RIPE
tech-c: HAC24-RIPE
tech-c: HCO6-RIPE
tech-c: AA2895-RIPE
tech-c: PG259-RIPE
nic-hdl: TP3302-RIPE
abuse-mailbox: abuse@mail.telepac.pt
mnt-by: TELEPAC-MNT
created: 2002-08-12T09:57:20Z
last-modified: 2015-06-05T10:59:42Z
source: RIPE # Filtered

% Information related to ‘82.154.0.0/15AS3243’

route: 82.154.0.0/15
descr: PT Comunicacoes S.A.
origin: AS3243
mnt-by: TELEPAC-MNT
created: 2003-11-20T15:22:56Z
last-modified: 2014-01-31T16:21:38Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.85.1 (DB-2)

とまぁ、２通ランサムウェアが入っていましたので
くれぐれも、こういうたぐいのメールが来ても開かないようにご注意ください。

☆興味深い記事がでていた！Macだから大丈夫だよね？　危ないですねぇ。
[blogcard url=”http://www.itmedia.co.jp/enterprise/articles/1603/07/news068.html”]

The post またきた！！ランサムウェアメール・・・ first appeared on ～下町物語～.

フィッシングメールというより、ウイルスメールきたぁ！！！・・・。

rurineko — Thu, 10 Mar 2016 12:33:23 +0000

この記事を読むおよそ時間 2 分

久しぶりにウイルスメールがきたので！早速晒してみようと思います。
今回は、英語で書かれたメールです。

メール送信元ホスト
broadband.iol.cz

国チェコ　からはるばると！大変ですなぁ。
下記がそれを持っている会社になります。

inetnum: 160.218.0.0 – 160.218.255.255
netname: EUROTEL
descr: Address block of Eurotel Praha
country: CZ
admin-c: ETHM1-RIPE
tech-c: ETHM1-RIPE
status: LEGACY
remarks: For information on “status:” attribute read https://www.ripe.net/data-tools/db/faq/faq-status-values-legacy-resources
mnt-by: CZ-EUROTEL-MNT
created: 1970-01-01T00:00:00Z
last-modified: 2015-05-05T01:40:57Z
source: RIPE

role: Eurotel Praha Hostmasters
address: Eurotel Praha, spol. s r.o.
address: Vyskocilova 1442/1b, P.O.Box 70
address: 140 21 Prague 4
address: Czech Republic
abuse-mailbox: abuse@o2.cz
admin-c: PS88-RIPE
tech-c: PS88-RIPE
nic-hdl: ETHM1-RIPE
mnt-by: CZ-EUROTEL-MNT
created: 2004-10-25T14:28:13Z
last-modified: 2016-02-22T07:43:22Z
source: RIPE # Filtered

% Information related to ‘160.218.0.0/16AS5610’

route: 160.218.0.0/16
descr: Route object of Eurotel Praha
origin: AS5610
mnt-by: CZ-EUROTEL-MNT
mnt-by: AS5610-MTN
created: 2015-05-21T11:19:42Z
last-modified: 2015-05-25T12:12:53Z
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.85.1 (DB-1)

チェコからウイルスメールを送るやからって・・・。
そして、多分このアドレスがどこからか流れて流出していると思われる。
そろそろアドレス複雑化して削除しようとかな。

さて、本文をみてみよう。

☆subject
FW: Invoice 2016-M#51136598

なんだって？請求書だよ!2016年のと書いている
ただし、チェコで契約しているサービスなんておもいつかねーし。
そもそも、ＦＷって転送してきてるの意味じゃね？

請求書を転送で送ってきてるのね！ｗｗｗｗ
転送で！！！もーえーわ

ヘッダーは、特に偽装なく直で来ているかと思われる。
流石にリターンパスは違うと思うけど。
ただ、このチェコのＭＸサーバがオープンリレーなのかもしれない。

☆ヘッダー
Return-Path:
X-Spam-Checker-Version: SpamAssassin 13.13.11 (2016-03-16) on mx.hogehoge.com
X-Spam-Level:
X-Spam-Status: No, score=0.7 required=13.0 tests=BAYES_50,CONTENT_TYPE_PRESENT, NO_RECEIVED,NO_RELAYS autolearn=ham version=3.3.1
X-Original-To: rurineko@hogehoge.com
Delivered-To: rurineko@hogehoge.com
X-Virus-Scanned: amavisd-new at hogehoge.com
X-DomainKeys: Sendmail DomainKeys Filter v9.10.11 mx.hogehoge.com 70A62C61A3E0
From: Mildred Vasquez
X-DomainKeys: Sendmail DomainKeys Filter v9.10.11 mx.hogehoge.com 93044612A3DF
To: rurineko
Subject: FW: Invoice 2016-M#536598
MIME-Version: 1.0
Message-Id: <2147945s18072491.88aF122EB08@hogehoge.com>
Date: Wed, 09 Mar 2016 18:18:27 +0200
Content-Type: multipart/mixed; boundary=”—-==–bound.69007.360b28dc.hogehoge.com”

本文ですよ！本文

☆本文
Dear rurineko,

親愛なるるりねこ

Please find attached 2 invoices for processing.
２つの請求書があるから、みつけて処理してください。

Yours sincerely,
敬具

Mildred Vasquez
Financial CEO
金融最高経営責任者

たしかに、添付ファイルには２つのトロイの木馬がついておった！！！
２つの請求書ね

Payment_2016_March_536598.zip > ZIP > watch.741428276.js – JS/TrojanDownloader.Nemucod.IM トロイの木馬
まぁ、あらがち間違いじゃいない

ランサムウェアだわぁ
これを実行されると、暗号可されてお金を払ったらファイルを復元してあげるよ
どうする？となるわけだ！！

今回のはこういうメッセージがでるようだ

↓にくいねー！！
この添付ファイルは、シマンテック　Ｅメールセキュリティによって検査しているから
安心だから開いてねって事が書いてある！
______________________________________________________________________
This email has been scanned by the Symantec Email Security.cloud service.

まぁ、そんな感じでありますので
気軽に開かずに捨てて締まってくださいね。

The post フィッシングメールというより、ウイルスメールきたぁ！！！・・・。 first appeared on ～下町物語～.

じぶん銀行のフィッシングサイトを丸裸

rurineko — Mon, 28 Dec 2015 00:00:39 +0000

この記事を読むおよそ時間 2 分

あるソフトウェアを使う為に、ＴＷの送信国をあけたとたん、
じぶん銀行のフィッシングサイトへの勧誘メールが届く様になってしまった。

色々めんどくさいので、メールをまずは来なくする為に調べ始めるのである。

Step1.フィッシングメールでまずＨＴＭＬでリンク先を偽装して下記の様なＷｅｂサイトへ勧誘する
ttp://www.xtshanzha.com/css/>ttps://bk02.jibunbank.co.jp/ibretail/RetailLogin.html?2014091300

Step2.下記サイトは①は②にリダイレクト
①ttp://www.xtshanzha.com/css/
②ttp://bk02.jibunbank.co.jp.arra.cn.com/ibretail/RetailLogin.html?2014091300

そこで下記画像を出してフィッシングする

※くれぐれもこれに入力する事の無いようにご注意ください。
　この画像は、中国にあるサーバが出力しているので、入れるともはやそのカードは
　誰によって何されるか分かりません・・・。
　至急じぶん銀行のカスタマーサービスに連絡し、カード自体の再発行などを実施する必要があると思います。
　自分銀行によると、カード裏面に書かれて居る５桁・５桁の番号を入力させる場面はないそうです。

○諸々の情報
該当Ｗｅｂサーバで複数サイトが運営されている
[フィッシングサイト]bk02.jibunbank.co.jp.iiken.link
[おそらくその一部] bk02.jibunbank.co.jp.kiin.cn.com

Webサイトを設置している場所は中国である
そのサーバを管理している団体は下記の通りである。
この犯行に絡んで居るか、色々提供している可能性有り。

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to ‘61.155.0.0 – 61.155.255.255’

inetnum: 61.155.0.0 – 61.155.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
mnt-by: MAINT-CHINANET
mnt-lower: MAINT-CHINANET-JS
mnt-routes: maint-chinanet-js
changed: hostmaster@ns.chinanet.cn.net 20020209
changed: hostmaster@ns.chinanet.cn.net 20030306
status: ALLOCATED non-PORTABLE
source: APNIC

role: CHINANET JIANGSU
address: 260 Zhongyang Road,Nanjing 210037
country: CN
phone: +86-25-86588231
phone: +86-25-86588745
fax-no: +86-25-86588104
e-mail: ip@jsinfo.net
remarks: send anti-spam reports to spam@jsinfo.net
remarks: send abuse reports to abuse@jsinfo.net
remarks: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: ip@jsinfo.net
mnt-by: MAINT-CHINANET-JS
changed: dns@jsinfo.net 20090831
changed: ip@jsinfo.net 20090831
changed: hm-changed@apnic.net 20090901
source: APNIC
changed: hm-changed@apnic.net 20111114

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
changed: zhengzm@gsta.com 20140227
mnt-by: MAINT-CHINANET
source: APNIC

% Information related to ‘61.155.0.0/16AS23650’

route: 61.155.0.0/16
descr: CHINANET jiangsu province network
country: CN
origin: AS23650
mnt-by: MAINT-CHINANET-JS
changed: ip@jsinfo.net 20030414
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

——————————————————————————
フィッシングサイトへ勧誘するメールサーバは台湾サーバが置かれている
下記が管理者である。

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to ‘1.160.0.0 – 1.175.255.255’

inetnum: 1.160.0.0 – 1.175.255.255
netname: HINET-NET
descr: Data Communication Business Group,
descr: Chunghwa Telecom Co.,Ltd.
descr: No.21, Sec.1, Xinyi Rd., Taipei City
descr: 10048, Taiwan
country: TW
admin-c: HN27-AP
tech-c: HN27-AP
mnt-by: MAINT-TW-TWNIC
mnt-irt: IRT-TWNIC-AP
changed: hostmaster@twnic.net.tw 20131203
status: ALLOCATED PORTABLE
source: APNIC

irt: IRT-TWNIC-AP
address: Taipei, Taiwan, 100
e-mail: hostmaster@twnic.net.tw
abuse-mailbox: hostmaster@twnic.net.tw
admin-c: TWA2-AP
tech-c: TWA2-AP
auth: # Filtered
remarks: Please note that TWNIC is not an ISP and is not empowered
remarks: to investigate complaints of network abuse.
mnt-by: MAINT-TW-TWNIC
changed: hostmaster@twnic.net.tw 20101108
source: APNIC

person: HINET Network-Adm
address: CHTD, Chunghwa Telecom Co., Ltd.
address: No. 21, Sec. 21, Hsin-Yi Rd.,
address: Taipei Taiwan 100
country: TW
phone: +886 2 2322 3495
phone: +886 2 2322 3442
phone: +886 2 2344 3007
fax-no: +886 2 2344 2513
fax-no: +886 2 2395 5671
e-mail: network-adm@hinet.net
nic-hdl: HN27-AP
remarks: same as TWNIC nic-handle HN184-TW
mnt-by: MAINT-TW-TWNIC
changed: hostmaster@twnic.net 20110822
source: APNIC

% Information related to ‘1.161.0.0 – 1.161.255.255’

inetnum: 1.161.0.0 – 1.161.255.255
netname: HINET-NET
descr: Taipei Taiwan
country: TW
admin-c: HN184-TW
tech-c: HN184-TW
mnt-by: MAINT-TW-TWNIC
remarks: This information has been partially mirrored by APNIC from
remarks: TWNIC. To obtain more specific information, please use the
remarks: TWNIC whois server at whois.twnic.net.
changed: network-adm@hinet.net 20100506
status: ASSIGNED NON-PORTABLE
source: TWNIC

person: HINET
address: Taipei Taiwan
country: TW
e-mail: network-adm@hinet.net
nic-hdl: HN184-TW
changed: hostmaster@twnic.net.tw 20130307
source: TWNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)

—————————————————————————————
めんどくさいなぁ。

The post じぶん銀行のフィッシングサイトを丸裸 first appeared on ～下町物語～.