投稿日:2002年04月30日 作成鷹の巣

No.2756 掲示板荒らしを初体験。



掲示板荒らしを初体験。

No.2756 投稿時間:2002年04月30日(Tue) 02:04 投稿者名:鷹の巣 URL:http://sakaguch.com/

「鷹の巣」のご訪問客帳(ゲストブック)
http://sakaguch.com/cgi/fantasy/
が、初めて荒らされました。(C言語のCGIと思ったんでしょうか。えらく文字数が多いです。)


IP Address: 209.137.***.*** で、このローカルIPアドレス(グローバルIPアドレス)を管理している
KDDI America JapanNet(http://www.kdd.net/)さんのサポートに以下の警告メールを発送しました。

-------------------------------------------------------------------------------------------
宛先:support@kdd.net <support@kdd.net>
表題:この時間帯にアクセスした人物の住所・氏名・電話番号等を公開し、ご連絡願います。

メールの内容
「鷹の巣」の自宅サーバーの管理人の鷹の巣です。

2002年4月29日AM 5時21分 ジャパンネットさんの管理下のホスト名:********.kdd.net(209.137.***.***)より、
http://sakaguch.com/cgi/fantasy/
のCGIへ下記の悪質な書き込みがありました。

書き込んだ内容
195<>2002/04/29(Mon) 05:21<>adgfvwhoighroighawejuborghb.ojkhsnd kslghet<>ikwhrgvoihanol,uijmhfowrugjhbuojsadlnvjohfdligehtiposrhnkilp;hsv ikdf;hbr<>地球外<>pig.gif<><>nfdigshroigenlksvgjwirekjgmpietkmjgbn;ksdm;kl njglhasnkf;mv skhbgnetk;,jms;hvnjftknhiyoeuy08werhwnbt3k5jhoisdnf kglrehgnklshfgo;etjh:oe<br>fhketopljhpoidhrnt;hopjsf8iyg54ekijhpisfrgjoljgbpoidfyhgoerjhgpieyghiperknhglkidfhbgrdpithjprojoudfghke;hgougtrlswihfourehbtljehskednf;krfghtenk;hjsfkgrnf;khjne;lkjs;dglvjfgs;klfghent;khnojdnrtfgnmtkotfninxichusgdhedihewrljbgfljgawefnljwegfy43toinvwiohiwyevc or3iehgneirophuoewgfhbiptjhpehurjgtip4608yehr4gjnipjhgesrkgnp;ojhdfngrikphn bd.oihdrtpoyhjpirhthnml:;jfdgnihbnriohnldk;fhnb;kshegt395iubljoerbfgvljsbgvljfdhguoiehnelkrhgoithnerjgeroghnihowhrgeothnkrtpjh9u7rujgkvnuibsufqq;lmc@w@pojgnxbzaiosh93wr7th-0q3urjgmiofhngojfewnr;<><>dfvhwirhoighswjfbeloitghpinwsrgnheflgoihoiwehf.chink*.mank*.com<>********.kdd.net<><>

この様な「chink*.mank*」文字列もございますので、刑事罰の適用を考慮の上、是非、この時間帯にアクセスした人物の
住所・氏名・電話番号等を公開し、ご連絡願います。


アクセスログ(Windows XP Microsoft Internet Explore 6により、アクセスされました。)
209.137.***.*** - - [29/Apr/2002:05:15:50 +0900] "GET /VDmappings.html HTTP/1.1" 200 14215
209.137.***.*** - - [29/Apr/2002:05:15:52 +0900] "GET /img/common/backg157.jpg HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:16:42 +0900] "GET /cgi/count/dayx.cgi?gif HTTP/1.1" 200 2839
209.137.***.*** - - [29/Apr/2002:05:16:40 +0900] "GET / HTTP/1.1" 200 25801
209.137.***.*** - - [29/Apr/2002:05:16:42 +0900] "GET /cgi/count/dayx.cgi?yes HTTP/1.1" 200 1068
209.137.***.*** - - [29/Apr/2002:05:16:40 +0900] "GET /cgi/count/dayx.cgi?today HTTP/1.1" 200 1073
209.137.***.*** - - [29/Apr/2002:05:16:40 +0900] "GET /img/bnr/dpo_banner_s.gif HTTP/1.1" 200 2251
209.137.***.*** - - [29/Apr/2002:05:16:40 +0900] "GET /cgi/linkvp/bnr_skrwatch.gif HTTP/1.1" 200 1126
209.137.***.*** - - [29/Apr/2002:05:16:42 +0900] "GET /cgi/report/report.cgi HTTP/1.1" 200 70
209.137.***.*** - - [29/Apr/2002:05:16:51 +0900] "GET /top.html HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:16:52 +0900] "GET /img/common/yaj011.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/ HTTP/1.1" 200 15803
209.137.***.*** - - [29/Apr/2002:05:17:49 +0900] "GET /cgi/fantasy/img/seinen.gif HTTP/1.1" 200 324
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/img/wh1.gif HTTP/1.1" 200 156
209.137.***.*** - - [29/Apr/2002:05:17:49 +0900] "GET /cgi/fantasy/img/wh2.gif HTTP/1.1" 200 158
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/img/wh5.gif HTTP/1.1" 200 157
209.137.***.*** - - [29/Apr/2002:05:17:49 +0900] "GET /cgi/fantasy/img/wh4.gif HTTP/1.1" 200 158
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/img/wh3.gif HTTP/1.1" 200 157
209.137.***.*** - - [29/Apr/2002:05:17:49 +0900] "GET /cgi/fantasy/img/master.gif HTTP/1.1" 200 374
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/img/wh6.gif HTTP/1.1" 200 109
209.137.***.*** - - [29/Apr/2002:05:17:49 +0900] "GET /cgi/fantasy/img/china.gif HTTP/1.1" 200 1766
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/img/boy1.gif HTTP/1.1" 200 1446
209.137.***.*** - - [29/Apr/2002:05:17:49 +0900] "GET /cgi/fantasy/img/home.gif HTTP/1.1" 200 1699
209.137.***.*** - - [29/Apr/2002:05:17:46 +0900] "GET /cgi/fantasy/img/hiyoko.gif HTTP/1.1" 200 2705
209.137.***.*** - - [29/Apr/2002:05:18:15 +0900] "GET /cgi/fantasy/?mode=image HTTP/1.1" 200 2160
209.137.***.*** - - [29/Apr/2002:05:18:35 +0900] "GET /cgi/fantasy/img/boy2.gif HTTP/1.1" 200 979
209.137.***.*** - - [29/Apr/2002:05:18:35 +0900] "GET /cgi/fantasy/img/boy1.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:18:35 +0900] "GET /cgi/fantasy/img/girl2.gif HTTP/1.1" 200 1066
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/girl1.gif HTTP/1.1" 200 1422
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/ol1.gif HTTP/1.1" 200 1900
209.137.***.*** - - [29/Apr/2002:05:18:35 +0900] "GET /cgi/fantasy/img/ol2.gif HTTP/1.1" 200 1919
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/ol3.gif HTTP/1.1" 200 1985
209.137.***.*** - - [29/Apr/2002:05:18:35 +0900] "GET /cgi/fantasy/img/china.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/cook.gif HTTP/1.1" 200 1849
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/dog.gif HTTP/1.1" 200 1906
209.137.***.*** - - [29/Apr/2002:05:18:39 +0900] "GET /cgi/fantasy/img/piero.gif HTTP/1.1" 200 3197
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/cat.gif HTTP/1.1" 200 2217
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/mouse.gif HTTP/1.1" 200 1861
209.137.***.*** - - [29/Apr/2002:05:18:39 +0900] "GET /cgi/fantasy/img/pig.gif HTTP/1.1" 200 1728
209.137.***.*** - - [29/Apr/2002:05:18:36 +0900] "GET /cgi/fantasy/img/hiyoko.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:18:39 +0900] "GET /cgi/fantasy/img/flog.gif HTTP/1.1" 200 1990
209.137.***.*** - - [29/Apr/2002:05:18:41 +0900] "GET /cgi/fantasy/img/seinen.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:06 +0900] "GET /cgi/fantasy/ HTTP/1.1" 200 15803
209.137.***.*** - - [29/Apr/2002:05:20:13 +0900] "GET /cgi/fantasy/img/wh1.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:06 +0900] "GET /cgi/fantasy/img/wh2.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:14 +0900] "GET /cgi/fantasy/img/wh5.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:14 +0900] "GET /cgi/fantasy/img/wh4.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:15 +0900] "GET /cgi/fantasy/img/wh3.gif HTTP/1.1" 304 0###
209.137.***.*** - - [29/Apr/2002:05:20:15 +0900] "GET /cgi/fantasy/img/master.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:15 +0900] "GET /cgi/fantasy/img/wh6.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:20:16 +0900] "GET /cgi/fantasy/img/home.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:21:42 +0900] "POST /cgi/fantasy/ HTTP/1.1" 200 16437 <---「POST」書き込み
209.137.***.*** - - [29/Apr/2002:05:22:31 +0900] "GET /top.html HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:22:32 +0900] "GET /img/common/backg157.jpg HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:22:32 +0900] "GET /img/common/yaj011.gif HTTP/1.1" 304 0
209.137.***.*** - - [29/Apr/2002:05:23:10 +0900] "GET /SetminiDNSjp.html HTTP/1.1" 200 73581
209.137.***.*** - - [29/Apr/2002:05:23:14 +0900] "GET /img/SetminiDNS/online_led.gif HTTP/1.1" 200 851
209.137.***.*** - - [29/Apr/2002:05:23:14 +0900] "GET /img/SetminiDNS/offline_led.gif HTTP/1.1" 200 84

--------------------------------
鷹の巣
E-mail: webmaster@sakaguch.com
URL: http://sakaguch.com/
--------------------------------


掲示板荒らしの犯人像。

No.2760 投稿時間:2002年04月30日(Tue) 08:10 投稿者名:鷹の巣 URL:http://sakaguch.com/

> 「鷹の巣」のご訪問客帳(ゲストブック)
> http://sakaguch.com/cgi/fantasy/
> が、初めて荒らされました。(C言語のCGIと思ったんでしょうか。えらく文字数が多いです。)
>
>
> IP Address: 209.137.***.*** で、このローカルIPアドレス(グローバルIPアドレス)を管理している
> KDDI America JapanNet(http://www.kdd.net/)さんのサポートに以下の警告メールを発送しました。


今回の様な掲示板荒らしを行った人物は、必ず書き込み内容がどのようになっているか必ず、確認に訪れるものです。
第二オクテットまで一致するIPアドレスをhttpdのログファイルから、抽出する為、
UNIXのgrepコマンドのwindows用GUI版の「ぐれっぷ君」を使用して、そのIPアドレスを有する訪問者の足取りを詳細に調べてみました。

# ちょっとこの「ぐれっぷ君」
# http://www.vector.co.jp/vpack/filearea/win95/util/text/find/index.html
# 何故か使いづらいので、途中から、windows2000のコマンドプロンプト画面で、
# C:\>find "209.137." httpd.log > 209137.txt
# という風にやってしまう様になってしまいました。


犯人は、windows XPのリモートデスクトップを使用している可能性もあるので、接続元のIPアドレスが209.137.***.***の方全員に
ポートスキャンを実施しました。(失礼しました。ごめんなさい。)

生ログファイルを解析して分かったことは、
1.犯人は、リモートデスクトップを使用していない。(209.137.***.***は、犯人の操作端末である。)
2.犯人は、非固定IPアドレスである。犯行後、2回IPアドレスを変えて訪問している。
3.犯人の接続元は、ニューヨークだが、犯人は、日本語が書ける。(日本人かどうかは、不明。)
4.犯行を隠蔽するために*******をしている。(全く、お粗末な行動です。)

4番目は、今のところ書けません。プロバイダの対応次第では、書けるかも知れません。


tracertコマンドのGUIとも言える「NeoTrace Express」(フリーフェア)
http://www.neoworx.com/download/default.asp
で、IP Address: 209.137.***.***がニューヨークからのアクセスであったことが分かりました。
このツールでは、下記の内容のネットワークを管理しているプロバイダのデータまで分かります。
--------------------------------------------------------------------
NETWORK:

KDD America, Inc. (NETBLK-KDDA-145)
375 Park Avenue 7th Floor
New York, NY 10152
US

Netname: KDDA-145
Netblock: 209.137.145.0 - 209.137.145.255

Coordinator:
KDD America, Inc. (IK25-ARIN) dns-admin@KDD.NET
212-702-3720

Record last updated on 03-May-2000.
Database last updated on 28-Apr-2002 19:58:33 EDT.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.
--------------------------------------------------------------------

Registrant:
KDD Internet Providing Project (KDD2-DOM)
375 Park Avenue, 7th Floor
NEW YORK, NY 10152
US

Domain Name: KDD.NET

Administrative Contact, Technical Contact:
KDDI America DNS Administrator (KA674-ORG) dns-admin@KDD.NET
KDDI America, Inc.
375 Park Avenue, 7th Floor
New York, NY 10152
US
888-533-2477
Fax- 212-702-3765

Record expires on 01-Mar-2003.
Record created on 28-Feb-1995.
Database last updated on 29-Apr-2002 16:56:41 EDT.

Domain servers in listed order:

EVA07.KDD.NET 209.137.136.3
EVA13.KDD.NET 209.137.146.2
EVA08.KDD.NET 209.137.136.4
--------------------------------------------------------------------


|目次|掲示板|過去ログ目次|▲頁先頭|