ある日突然加害者に。自分のホームページから無差別攻撃。

このブログの左下にある私のホームページ「Ｒ１００ＲＳ整備日記」は、お名前ドットコムという会社から共有サーバーを借りてサイトを置いております。

ある日、下のような警告メールが運営会社から送られてきました。

私のサイトから、フォームメールと呼ばれる、よくショップなどから送られてくるような無差別発送されるメールが大量に発送されているというのです。が勿論そんなもの知りません。が、これがホントなら問題です。というか心当たりが。というのは以前から下のようなメールが「自分から」送られて来たことがあったのです。（念の為ウィルスメールとして保管してました）

（左側が英語で書かれた原文、右がgoogle翻訳。クリックすると拡大表示されます。）

要約すると「お前のパソコンを乗っ取った。証拠としてお前のメールアドレスからこれを送っている。これはお前がアダルトサイトを見たからそこからプログラムを送り込んだのだ。お前の家族や知り合いにお前の集めているスケベな写真や嗜好をばらまかれたくなかったら下記口座に780ドル（9万円ぐらい）分のビットコインを送れ。そうすれば何もしない。」いやアダルトサイト、病気してから用無しになったので見てないんですが・・・。

とりあえずお名前ドットコムの指示に従い、誰か不正なアクセスしていないか記録するプログラムを起動して二晩記録してみました。以下がその記録です

3/1の時間帯のアクセス記録。え？15時から21時までの間に1000回以上アクセスしてる。ただその右にある人数が・・・。たった数人が1000回以上アクセスしてるのです。これはおかしい。

翌日も6人で265回もアクセス。というか1人で6回と見るべきか。

で、どこからかを見てみると。ん？mail？ここをクリックしてみると。

わあ、ビンゴじゃん。フォームメール送付サイトです。つまりここから私のサイトに大量のメールを送り付けてきているのか。ただ、私のサイトに送りつけても、そこからさらに無差別に発送する必要があるわけで。

で今度はアクセス先を表示すると「バレオ分解」というページのあるフォルダの中にある「php.php」というプログラムへ到達。でもこんなプログラムをアップロードした記憶はないので、FFFTPというアップロードソフトを使いサイトの内部を見てみました。

ああああ、あるやん。左側のパソコン内の同じフォルダーにはこいつはありません。つまり不正にアップロードされてるのです。こいつが外から送られてくる大量のフォームメールを受け取って、さらに無差別にばらまくプログラムなのです。

もう一箇所、HIDヘッドライト設置のフォルダーにもあったのでどっちも削除。でもまた置かれる可能性ありなので、有料の不正アクセスのブロックソフトを申し込まなきゃいけないかも。

次にアクセス元を特定。3/1は「pc1261.win-rd.jp　IPアドレス203.189.102.83」がダントツでしたが3/2は「v157-7-137-91.myvps.jp　IPアドレス157.7.137.91」が追加されてそっちがメインとなってます。ということは最低2箇所から？というか毎日攻撃元が変わってるのか。まあ犯人はあのメールの送り主でしょうねえ。ちゃんと金を払えそうなやつを選べよお前。人選ミスだよ。

こういうのって個人では対応は無理なので、サーバーの管理会社がブロックしてくれないと困るよね。毎月サーバーの使用料払ってるんだからさ。

＊ちなみに最初のお名前ドットコムからのメール、最後まで読むと親切に警告してくれてるのではなくて、ようするにフォームメールを勝手に送るんじゃねえ、送るならお名前ドットコムが用意したフォームメールの有料プランがあるからそっちを契約しろよな！という意味らしいです。さらに不正アクセスへの対抗手段も有料で用意してるからそっちも契約しろ！だそうです。

コメント 2

絶対サーバー会社の責任ですよねえ・・
更に対抗手段その他に金払えとは・・・

無料のサーバーに切り替えましょう。

by 二兎を追う男 (2019-03-05 00:32) 

二兎を追う男さんありがとうございます。
このホームページも、田舎ゆえ契約が必要だったケーブルテレビの無料のホームページスペースに移せば今のサーバー契約は必要ないのですが、ドメインの契約があと２年残ってるので・・・・。このドメインも去年解約しようとして間違って継続ボタン押しちゃったので仕方なく。（最初に開くページが自動継続専用ページで自動継続ががデフォになってる時点でアウトでした）
by MHR (2019-03-06 00:37)