あれこれ考えるよりも作ってしまった方が早いんじゃね?と思う、ギークなサラリーマンのアジャイルな日々。

【警告】リファラースパムの参照元:lifehacĸer.comに注意!

»

久しぶりにブログ再開&記事を投稿したので、アクセス解析を眺めていたら、記事を全く表示していなかった期間にも微妙にアクセスがある。

どこからのアクセスだあ?とがリファラ取れている参照元のドメインを確認してみたところ、、

lifehacker_spam.png

おろ?lifehackerの米国本家さん??

いやいや、俺もとうとうlifehackerさんに取り上げられるくらいメジャーになったかあ。。

って、そんなわけはあるわけない。

ということで、もう一度よーく見てみると、、

ん?

んん?

あー、、、。

皆さん、以下の二つのドメインをよーくみてください。

lifehacker_spam2.png

わかりますか?

わかりますよね。

lifehacker_spam3.png

そうです。

lifehacerの「」が拡張ラテン文字のクラーの小文字「ĸ」になっているのです。
※ほかにkに近い文字でキリル文字の「к」がある。

画面上、特にアドレスバー上の文字ポイント数だとほとんどわかりません。

というわけで、リファラースパム確定。

はい、WEBサイトの運用者の方、絶対にアクセスしてはいけません!

リファラースパムが何なのか、防ぎ方に関してはWeb担の記事に譲るとして、どんな輩がどんなことをしようとしているのかを少し調べてみました。

まずはドメインから。

日本語ドメインと同じく、従来ドメイン名に許されていたASCII文字以外の文字コードのドメインは、その言語圏の方が分かる表記から、PunycodeというASCII表記に変換されます。

例えば、こんな感じ

正規化後
:
日本語.jp
Punycode
:
xn--wgv71a119e.jp

なので、まずは「lifehacĸer.com」の正引きをすると、PunycodeやAレコードのIPアドレスが分かります。

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
xn--lifehacer-1rb.com
origin = ns1.skyparkcdn.net
mail addr = povitaly.mail.ru
serial = 35
refresh = 1200
retry = 180
expire = 1209600
minimum = 1200
xn--lifehacer-1rb.com nameserver = ns4.skyparkcdn.net.
xn--lifehacer-1rb.com nameserver = ns3.skyparkcdn.net.
xn--lifehacer-1rb.com nameserver = ns2.skyparkcdn.net.
xn--lifehacer-1rb.com nameserver = ns1.skyparkcdn.net.
Name: xn--lifehacer-1rb.com
Address: 78.110.60.230

Authoritative answers can be found from:

Punycode表記は「xn--lifehacer-1rb.com」、IPアドレスは「78.110.60.230」ですね。

次にこのドメインのレジストリ情報、IPアドレスはどこの国のどこのNWに割り当てられているかwhoisで調べます。

調べるときはマルチバイトのドメインだと弾かれたり結果が返らないので、Punycodeで調べます。

▼ドメイン

Domain Name: XN--LIFEHACER-1RB.COM
Registry Domain ID: 2015601284_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.nic.ru
Registrar URL: http://www.nic.ru
Updated Date: 2016-11-25T18:38:35Z
Creation Date: 2016-03-25T07:19:37Z
Registrar Registration Expiration Date: 2018-03-24T21:00:00Z
Registrar: Regional Network Information Center, JSC dba RU-CENTER
Registrar IANA ID: 463
Registrar Abuse Contact Email: tld-abuse@nic.ru
Registrar Abuse Contact Phone: +7.4959944601
Domain Status: clientTransferProhibited
https://icann.org/epp#clientTransferProhibited
Registry Registrant ID: 
Registrant Name: Popov Vitaly
Registrant Organization: Popov Vitaly
Registrant Street: Aurory 70-141
Registrant City: Samara
Registrant State/Province: Samara
Registrant Postal Code: 443070
Registrant Country: RU
Registrant Phone: +7.9608143259
Registrant Phone Ext: 
Registrant E-mail: povitaly@mail.ru
Registry Admin ID: 
Admin Name: Popov Vitaly
Admin Organization: Popov Vitaly
Admin Street: Aurory 70-141
Admin City: Samara
Admin State/Province: Samara
Admin Postal Code: 443070
Admin Country: RU
Admin Phone: +7.9608143259
Admin Phone Ext: 
Admin E-mail: povitaly@mail.ru
Registry Tech ID: 
Tech Name: Popov Vitaly
Tech Organization: Popov Vitaly
Tech Street: Aurory 70-141
Tech City: Samara
Tech State/Province: Samara
Tech Postal Code: 443070
Tech Country: RU
Tech Phone: +7.9608143259
Tech Phone Ext: 
Tech E-mail: povitaly@mail.ru
Name Server: ns1.skyparkcdn.net
Name Server: ns2.skyparkcdn.net
Name Server: ns3.skyparkcdn.net
Name Server: ns4.skyparkcdn.net
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
For more information on Whois status codes, please visit: https://icann.org/epp
>>> Last update of WHOIS database: 2016.12.01T01:49:52Z <<<


▼IPアドレス

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '78.110.56.0 - 78.110.63.255'

% Abuse contact for '78.110.56.0 - 78.110.63.255' is 'abuse@ht-systems.ru'

inetnum: 78.110.56.0 - 78.110.63.255
netname: RU-HT-SYSTEMS-BIS
descr: Hosting Telesystems network
remarks: =========================================================
remarks: Feel free to contact HTS NOC to resolve
remarks: networking problems related to HTS
remarks: =========================================================
remarks:
remarks: User support, general questions: support@hts.ru
remarks: Spam questions and abuse : abuse@hts.ru
remarks: Routing, peering, security: : ipnoc@hts.ru
remarks: DNS & PTR questions : dns@hts.ru
remarks:
remarks: =========================================================
country: RU
admin-c: AO312-RIPE
admin-c: RE3421-RIPE
tech-c: AO312-RIPE
tech-c: RE3421-RIPE
status: ASSIGNED PA
mnt-by: HT-SYSTEMS-MNT-RIPE
mnt-lower: HT-SYSTEMS-MNT-RIPE
remarks: INFRA-AW
created: 2009-03-08T21:50:11Z
last-modified: 2016-09-21T07:29:34Z
source: RIPE

person: Alexander Orlov
address: Russia, Moscow.
phone: +7 903 1334271
nic-hdl: AO312-RIPE
mnt-by: TECHCEN-MNT
created: 2002-05-24T13:33:35Z
last-modified: 2016-09-21T07:33:15Z
source: RIPE # Filtered

person: Oleg Sinitsyn
address: 115093, Russia, Moscow, Pavlovskaya 27/29
phone: +74953633310
nic-hdl: RE3421-RIPE
mnt-by: HT-SYSTEMS-MNT-RIPE
created: 2015-07-06T16:43:29Z
last-modified: 2015-07-06T16:44:08Z
source: RIPE # Filtered

% Information related to '78.110.48.0/20AS31240'

route: 78.110.48.0/20
descr: JSC Hosting Telesystems route object
origin: AS31240
mnt-by: HT-SYSTEMS-MNT-RIPE
created: 2007-08-13T07:45:34Z
last-modified: 2007-08-13T07:45:34Z
source: RIPE

% This query was served by the RIPE Database Query Service version 1.88 (BLAARKOP)

安定の恐ロシアからです。後述のHTMLソースのヘッダーを見るとどうも結構前から「iLoveVitaly prOject」という名称でリファラースパムを繰り返しているようです。

ちなみに、ドメインに登録してあった住所サマラは、モスクワから東南東に約500キロくらいの都市のようで、Googleアースで見ると意外に街でした。

lifehacke_spam_samara2.png

lifehacke_spam_samara.png

さて、大体の相手の正体が見えてきたのですが、アクセスするのは怖いので、

まずはGoogle PageSpeedさんに代わりにアクセスしてもらいましょう。

lifehacker_spam_pc.pnglifehacker_spam_sp.png

む。。うちのサイトよりも全然スコアいいし、レスポンシブル対応でなんか綺麗に出来てるじゃねえか。。

まあ、見た目はどうでもいいので、シェルでソースを取ってきて見てみます。

% wget -debug "xn--lifehacer-1rb.com"
wget: Invalid --execute command 'bug'
% wget -d "xn--lifehacer-1rb.com"
DEBUG output created by Wget 1.16.3 on freebsd9.1.

--2016-12-01 10:10:14-- http://xn--lifehacer-1rb.com/
Resolving xn--lifehacer-1rb.com... 78.110.60.230
Caching xn--lifehacer-1rb.com => 78.110.60.230
Connecting to xn--lifehacer-1rb.com|78.110.60.230|:80... connected.
Created socket 3.
Releasing 0x0000000802019100 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.16.3 (freebsd9.1)
Accept: */*
Accept-Encoding: identity
Host: xn--lifehacer-1rb.com
Connection: Keep-Alive

---request end---
HTTP request sent, awaiting response...
---response begin---
HTTP/1.1 200 OK
Server: nginx/0.8.53
Date: Thu, 01 Dec 2016 01:10:15 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
X-Powered-By: PHP/5.2.11
Vary: Accept-Encoding

---response end---
200 OK
Registered socket 3 for persistent reuse.
Length: unspecified [text/html]
Saving to: 'index.html'

index.html [ <=> ] 169.64K 85.3KB/s in 2.0s

2016-12-01 10:10:17 (85.3 KB/s) - 'index.html' saved [173711]

WEBサーバーはnginx/0.8.53、PHPは5.2.11ですね。

ちょっと古い(2009-2010くらい?)ですね。脆弱性をつけそうなので、ムカついた方は自己責任で挑戦してみてください。

ソースもちょろっとみてみましたが、1000行超のJavaScriptでなにやらごにょごにょしているようです。

この辺の記述が興味深い(ちゃんと日本版のGoogleも入っている)。

var amem3 = ['Add','add','<C9><A2>Analytics','https://analytics.google.com/analytics/web/','<C9><A2>Original','http://www.google.com/search?q=','<C9><A2>100','http:/
/www.google.com/search?num=100&q=','<C9><A2>mail','https://mail.google.com','AliExpress','http://www.aliexpress.com/wholesale?SortType=total_tranpro_desc&isRtl=yes&Se
archText=','Ebay','http://search.ebay.com/vifind','Amazon','http://www.amazon.com/gp/search?tag=ilovevitaly-20&keywords=','Shopping','http://shopping.ilovevitaly.com/
?s=','Travel','http://o-o-7-o-o.com/?s=','Bing','http://www.bing.com/search?q=','YahoO','http://search.yahoo.com/search?p=','DuckDuckGo','http://duckduckgo.com/?q=','Wikipedia','http://en.wikipedia.org/wiki/?search=','Booking','http://www.booking.com/searchresults.html?src=searchresults&aid=355472&si=ai%2Cco%2Cci%2Cre%2Cdi&radius=5&ss=','PirateBay','http://thepiratebay.cr/search/vifind/0/7/0','ExtraTorrent','http://extratorrent.cc/search/?search=','Whois','https://www.nic.ru/whois/?query=','Satellite','http://satellite.maps.ilovevitaly.com/?a=','Maps','http://maps.ilovevitaly.com/?a=','Domains','https://domains.google.com/registrar?s=','Adwords','https://adwords.google.com/o/Targeting/Explorer?__c=1000000000&__u=1000000000&ideaRequestType=KEYWORD_IDEAS','Trends','http://www.google.com/trends/explore#q=','Spaces','https://spaces.google.com','Twitter','http://twitter.com/search/vifind','TwiPost','http://twitter.com/home/?status=','Alexa','http://www.alexa.com/search?q=','SimilarWeb','http://www.similarweb.com/website/vifind','Code','http://www.google.com/search?q=vifind+site%3Astackoverflow.com','Bing','http://www.bing.com/search?q=','GoogleRus','http://www.google.com/search?num=30&cr=countryRU&hl=ru&q=','GoogleUSA','http://www.google.com/search?num=30&cr=countryUS&q=','GoogleEs','http://www.google.com/search?num=30&cr=countryES&hl=es&q=','GoogleJp','http://www.google.com/search?num=30&cr=countryJA&hl=ja&q=','Google50','http://www.google.com/search?num=50&q=','Google100','http://www.google.com/search?num=100&q=','YahoO','http://search.yahoo.com/search?p=','Ask','http://ask.com/web?q=','Google Stat','http://www.google.com/trends/explore#q=','Google Adwords','https://adwords.google.com/o/Targeting/Explorer?__c=1000000000&__u=1000000000&ideaRequestType=KEYWORD_IDEAS','Ebay','http://search.ebay.com/vifind','Amazon','http://www.amazon.com/gp/search?keywords=','Walmart','http://www.walmart.com/search/search-ng.do?search_query=','Alibaba','http://www.alibaba.com/trade/search?SearchText=','TaobaO','http://search.taobao.com/search?q=','Tmall','http://list.tmall.com/search_product.htm?q=','GoOgle Shopping','http://www.google.com/search?tbm=shop&q=','YahoO Shopping','http://shopping.yahoo.com/search?p=','Yelp','http://www.yelp.com/search?find_desc=','Nextag','http://www.nextag.com/vifind','BizRate','http://www.bizrate.com/vifind','Best Ali','http://alibestsale.com/','Dramatica','http://encyclopediadramatica.se/index.php?title=Special%3ASearch&go=Go&search=','TorrentinO','http://go.mail.ru/search_site?fr=main&aux=D841cB&p=1&q=','TorrentCrazy','http://torrentcrazy.com/s/vifind','Calc','http://o-o-5-o-o.com/?finput=','Edit','http://o-o-4-o-o.com/?finput=','BestBuy','http:///site/olspage.jsp?_dyncharset=ISO-8859-1&_dynSessConf=5133416406019798664&id=pcat17071&type=page&st=vifind&sc=Global&cp=1&nrp=15&usc=960','Digg','http://digg.com/','Craigslist','http://www.craigslist.org','Beautiful Places','http://maps.ilovevitaly.com/places','Money','http://maps.ilovevitaly.com/make-money','prO','http://ilovevitaly.pro/?s=','newTab','about:newtab',]

ソースを見て何をやっているのか解析するのはこんど時間があったらやってみますが、とりあえず、注意喚起ってことで、今日はこの辺で。

あと、サイト運用者(アクセス解析担当者)だけじゃなく、メール等で来るフィッシング詐欺にも使われそうなので、kやらgやらvが入っているドメインをお持ちの企業・団体・サービスの方、一般のユーザーの方もお気を付けくださいね。

例えば、以下のようなドメインを悪い人に取られて、au Walletポイントあげるよ!だから、電話番号と暗証番号入れてね!なんてメール来たら、絶対にひっかかっちゃいますよね。

http://au.ĸddi.com/

というわけで、スパム系はスルーが基本ですが、重ねて言いますがお気を付けあれー。

Comment(0)

コメント

コメントを投稿する