LARTHの日記: spam ; 侵入された「さくら」のレンタルサーバ
またカナダ薬局へのリダイレクトが「さくら」のレンタルサーバー (112.78.112.72)に設置されている。後を削ってアクセスして見るとディレクトリリスティング許可(index.html が無い時のデフォルト動作と思う)になっていた。また、要認証ではあるが会員名簿をそのまま放置しているようだった。スパマーは興味が無いだろうから漏らしているという事は無いと思うけど。
関連ファイルは以下の通り。
[TXT] ahead14.html 30-May-2010 03:16 1k
[IMG] ahead14.jpg 30-May-2010 03:16 40k
[TXT] cream86.html 30-May-2010 03:16 1k
[IMG] cream86.jpg 30-May-2010 03:16 42k
[TXT] jaffa64.html 30-May-2010 03:16 1k
[IMG] jaffa64.jpg 30-May-2010 03:16 40k
[TXT] width43.html 30-May-2010 03:16 1k
[IMG] width43.jpg 30-May-2010 03:16 42k
カナダ薬局と偽ブランド時計へのリダイレクトが2つづつ設置されている。スパムメールの発信は 2010年5月30日7:09 なので設置から僅か4時間ということになる。以前調べた時は2~3日経ってから送信していたので最近はサイクルが短くなっているという話が確認できた。また、今回の実サイトのドメイン登録者は珍しくロシア。関連付けされたサーバーは5つで同一。設置場所は FR,SE,GB,NL,GB とこれまた珍しくヨーロッパ。いつもの中国人はどこにいったのやら。
「さくら」は連絡しても無意味なので何もしていない。一応、運営していると思われるとこには連絡しておいた。
追記
112.78.112.76 にも設置されている。
[TXT] barker12.html 27-May-2010 16:07 1k
[IMG] barker12.jpg 27-May-2010 16:07 40k
[TXT] smile53.html 27-May-2010 16:07 1k
[IMG] smile53.jpg 27-May-2010 16:07 42k
リダイレクト先は同じでこちらもxx県のロータリークラブだった。たまたま横の繋がりで見つけただけなのでxx県のロータリークラブが狙われているというわけではないだろう。多分相当数のサーバー×相当数のアカウントに設置されているのだと思う。
双方の運営主は IPv6 対応の新サーバーへ独自 jp ドメインを取得して移行しているようだ。やり方が同じなので実務をやっているとこが共通なのだと思う。旧サイトの個人情報を放置しているとか酷いぞ。
spam ; 侵入された「さくら」のレンタルサーバ More ログイン