Mail Bombか?(続)
一昨日起こった出来事の続きです。結局約2,500通程度の宛先不在の返信メールや宛先が「席を外している」って趣旨の不在メールで済みました。今でも残り火で1〜2通/時間で来ていますが、ほぼ収束したと考えています。ちょこっと落ちついたので今回の事を検証してみましょう。
まぁ2,500通もあると全部目を通すのには時間がかかるのでいくつかサンプリングして見てみましたが、その全てが同じIP「80.78.129.42」からのものでコレはクェートのサーバでした。しかも、必ずその一つ手前が「hakim」と名のるサーバ(IPは任意)でそこからの中継を騙っています。そしてむかつく事に「From:」や「Reply-To:」のアドレスはうちのアドレスを騙っています。
どうせ自動で書き出しているだけなので、あんまり意味がないかも知れませんが騙っているメーラーは何かと見てみますと
- Microsoft Outlook Express 6.00.2900.3028
- QUALCOMM Windows Eudora Version 7.1.0.9
- Thunderbird 1.5.0.10 (Windows/20070221)
- Microsoft Outlook, Build 10.0.6626
コレは種類が多いのでいくつか見繕って題名と本文を載せてみます。HTMLメールはやっかいなのでテキストの部分だけ拾ってみます。
Subject: ttyknaja Hello **** Tired of being just average? http://www.wigirl.net/ --------------------------------------------------------------------------- Subject: tuhottua Hello **** Low self-esteem, do something about it http://www.whatsnu.net/ --------------------------------------------------------------------------- Subject: tulivatp http://www.wizybiz.com/ Hello **** want to fit into extra large condoms? --------------------------------------------------------------------------- Subject: tuduoj http://www.winnone.com Hello **** Tired of being just average? --------------------------------------------------------------------------- Subject: tusinaoh http://www.whatsnu.net/ Hello **** Just imagine huge dick in ur pants! Its real! :-) --------------------------------------------------------------------------- Subject: tubolari http://www.wetpusdy.com/ Hello **** How big is your penis? these pills will make it bigger! and bigger!
まぁ少数を抜き出しただけなので何とも言えないけど、題名が「t(u)」から始まるのが多い事と、必ずURLと「Hello 宛名」と一行だけの本文。上手い事これでフィルタのパターンを作れないものかな。それはそうとURLのドメイン名が「w」始まりなのはたまたまなのかな?今回は相手のアドレス(@の前)が最初「a_team」「a_tech」とかからの返信から始まったので《エ〜zまであるのかな〜》と思っていたのですが、後半は遅延と重なっているのかあやふやでした。
最後に各メールサーバの返信内容の比較も行ってみます。うちはPostfixを使っているのでその返信内容の比較を見てみましょう。
まずはデフォルトのパターン
This is the Postfix program at host fogefoge.com. I'm sorry to have to inform you that your message could not be be delivered to one or more recipients. It's attached below. For further assistance, please send mail toIf you do so, please include this problem report. You can delete your own text from the attached returned message. The Postfix program
Postfixベースのメール・ファイヤウォール(かな?)
This is the Firewall Mailer Daemon program at host fogefoge.com. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail toIf you do so, please include this problem report. You can delete your own text from the message returned below. The Firewall Mailer Daemon program
上記同様に、「The Postfix program」の部分が「The scanmail program」や「The mail system」「The SMTP Server program」ってのもありました。
OCNさんのは非常に分かりやすいです
This is the Postfix program at host fogefoge.com. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please contact <管理者アドレス> If you do so, please include this problem report. You can delete your own text from the message returned below. The following sentences are Japanese. このメールと共に返信されているメールは一つ以上の宛先に対 して配信できませんでした。 エラーメッセージの原因や対処法については下記のサイトで ご案内しております。 <サポートページのURL> 上記のサイトでも解決できない場合は、<管理者アドレス> へご連絡ください。 ご連絡の際には、この障害レポートを一緒にお送りください。 このメールに添付されているお客様の元のメールは削除しても 構いません。
上記のようになっていて、他のサーバではpostmasterで済ましている部分に管理者のメールアドレスも示してあり、また不明な人へのサポートページまで誘導しています。更に日本語での解説までやっぱり立派なプロバイダは違いますね。
今回の一件で、改めてネットの怖さを感じました。当初は「Postfixに関してのバグを突いてのオーバーフロー狙いか」とかサーバに対しての二次攻撃の為の第一波かと思いましたが、意外とあっさり収束したので単なる語りのスパマーかなと思います。しかし、安心しきると怖いのでしばらくは注視していようと思っています。
コメントする