笑うに足りないこと

最近の admin には馬鹿が増えているのか?をご覧いただくと、何やら瑣末事に食いついて粘着的な書き込みをしている Ryu なる人物がいることが分かるだろう。こいつが、とんでもない輩だったのだ。

mixi のとあるトピックで僕が書き込んだのを見たらしく、この馬鹿丸出しの書き込みをしてきたのだが、この(現時点までにこちらでログが確認できる)3つの書き込みの時刻は、

  • 2009/10/14(Wed) 20:40:17
  • 2009/10/15(Thu) 23:54:31
  • 2009/10/16(Fri) 23:41:34
である。当然であるけれど、この時刻が NTP によって管理された、秒単位未満まで日本標準時に同調したものであることに、まずはご注意いただきたい。

この書き込みに対応する、fugenji.org の web のログを抜き出すと、こうなる。
  • y116174.ppp.asahi-net.or.jp - - [14/Oct/2009:20:40:17 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.6) Gecko/2009020407 Iceweasel/3.0.6 (Debian-3.0.6-1)"
  • y116174.ppp.asahi-net.or.jp - - [15/Oct/2009:23:54:31 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.14) Gecko/2009091008 Iceweasel/3.0.6 (Debian-3.0.6-3)"
  • y116174.ppp.asahi-net.or.jp - - [16/Oct/2009:23:41:34 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.14) Gecko/2009091008 Iceweasel/3.0.6 (Debian-3.0.6-3)"
当然、こちらの方もNTP によって管理された、秒単位未満まで日本標準時に同調したものである。

さて、この時点で、Ryu なる人物を y116174.ppp.asahi-net.or.jp で特定できることがわかる。何故かというと、朝日ネットは Yahoo!BB 等と同じく、ユーザ側のネットワークへの再手続きがない限りは強制的再接続処理を行わないプロバイダ(つまり、常時接続していると DHCP 接続をしていても、DNS 上での端末名や IP address が固定される)だからだ。ちなみにこれは直接朝日ネットに電話してその旨確認してある。

で、今日の昼ごろだったか…… fugenji の僕のメールアドレスに、とんでもない数のメールが送信されていることに気づいた。その数 5012 通。まぁ僕の MUA (Mail User Agent) は Mew というテキストベースのものなので、これ位来たからといって整理できないことはないし、いずれもテキストメールだったので、とりあえず保存して、ヘッダを見てみると……タイムスタンプや id 以外は同じこれが頭に付いている。

Received: from vulture.run.sh (y116174.ppp.asahi-net.or.jp [118.243.116.174]) by www1.inetd.co.jp (8.13.8/3.7W09101512) with ESMTP id n9GL09aJ097837 for <thomas@fugenji.org>; Sat, 17 Oct 2009 06:00:09 +0900 (JST)
Received: from ryu by vulture.run.sh with local (Exim 4.69) (envelope-from <ryu@run.sh>) id 1MytuA-0000Ix-6G; Sat, 17 Oct 2009 06:00:06 +0900

(傍線:by Thomas)

あのさぁ……IP spoofing も知らない奴が mail bomb なんて百年早いっつーの。自分の分を弁えろっての。まさに裸の王様である。

あまりの程度の低さに絶句しているうちにも、同様のメールは次々と送られてくる。その数五千数百通。まぁ機械的処理と思えばたいした事もない話だ。あまり早くやると、自分のプロバイダに検知されちゃうから、そう高速にも送れないというのに、ご苦労なことだ。

まぁ阿呆らしいとはいえ、これは立派な犯罪行為である。とりあえず朝日ネットに電話を入れて、DoS attack を受けていること、相手の発信元が y116174.ppp.asahi-net.or.jp = vulture.run.sh = 118.243.116.174 であること。local の MTA (Mail Transfer Agent)……しかし Exim4 使ってるというそのセンスがイマイチ分からないなぁ、要するに Debian GNU/Linux のデフォをそのまんま使っているだけなんだろうけど……を叩いて送っているので裸の王様状態であること、mixi で Ryu が公開している個人情報(もちろん「これは SNS で本人が公開しているものなので、信用度はその程度だと思います」と言ったけど)を伝え、プロバイダ側で調査の上「然るべき処置」を下してもらうように依頼した。次いで mixi にも同じ内容をメールで送信しておいた。

証拠保全もしなければならぬ。折角なので、僕が手元に残した DoS attack 用 SPAM の全てを archive して公開することにした。

http://fugenji.org/thomas/spams20091017_sum.tar.bz2

web の log も保存してあるし、レンタルサーバ業者に依頼すれば出してきてくれるだろう。SPAM 送信が止まったのも、レンタルサーバ業者が DoS attack を検知したためかもしれないし、そうなったらレンタルサーバ業者も黙ってはいないだろう。

そうそう、参考までに:
http://www.nic.sh/cgi-bin/whois?query=run.sh
(上の domain から得られる、domain 取得者自身が公開している情報)

2009/10/17(Sat) 17:38:24 | コンピュータ&インターネット

Re:笑うに足りないこと

MixiのLinuxトピックから来ました。
何やら変なのに絡まれて大変だったようで。傍観しておりましが、対応の手際がいいですね。

流石です。
Anubis(2009/10/17(Sat) 20:28:10)
Tittle: Name:

Profile

T.T.Ueda
Tamotsu Thomas UEDA

茨城県水戸市生まれ。

横山大観がかつて学んだ小学校から、旧水戸城址にある中学、高校と進学。この頃から音楽を趣味とするようになる。大学は、学部→修士→博士の各課程に在籍し、某省傘下の研究所に就職、その2ヵ月後に学位を授与される(こういう経緯ですが最終学歴は博士課程「修了」です)。職場の隣の小学校で起こった惨劇は未だに心に深く傷を残している。

その後某自動車関連会社の研究法人で国の研究プロジェクトに参画、プロジェクト終了後は数年の彷徨を経て、某所で教育関連業務に従事。

New Entries

Comment

Categories

Archives(900)

Link

Search

Free

e-mail address:
e-mail address