メールサーバのSMTPとPOPの通信(TCP port 25番と110番)の通信全てを一日一ファイルで残してある
-
- いいね!0
Nicholai MARO
@MAROCKs
受信箱に届くSPAMメールならメールサーバと直接通信したIPアドレスはメールヘッダに記録されているが、メールサーバに受信箱があるかも、と任意のアカウント名らしき文字列を利用したログオン試行は、ログオンに失敗してメール送信が出来ないので「メールヘッダからIPアドレスを探す」方法が出来ない。
2019-02-24 14:32:10
Nicholai MARO
@MAROCKs
しかしメールサーバが動いているコンピュータのログには「ログオンの失敗」が記録される。 この「ログオンの失敗」ログに通信相手(SPAMをメールサーバに送ってきたコンピュータ)のホスト名、もしくは、IPアドレスが載っている。 pic.twitter.com/jYVCYofoFm
2019-02-24 14:32:10
拡大
Nicholai MARO
@MAROCKs
IPアドレスならばそのアドレスからの通信を拒否する設定をローターに設定して済ますが、ホスト名の場合はホスト名に対応するIPアドレスを探すのが先になる。 そして、往々にして、ホスト名は偽装されていたり、ICMP応答をしない設定になっていたり、ですぐに判明することは無い。
2019-02-24 14:32:11
Nicholai MARO
@MAROCKs
Googleの検索ボックスにホスト名を放り込むと、常習者の場合なら大抵Abuseデータベースに登録されている。 しかし全てが判明するとは限らない。 確実なのは、メールサーバのパケットキャプチャ。
2019-02-24 14:32:11
Nicholai MARO
@MAROCKs
インターネット上のコンピュータはIPアドレスで相手を認識し通信しているので、メールサーバのパケットキャブチャを見れば直接の通信相手のIPアドレスは判明する。 メールサーバのSMTPとPOPの通信(TCP port 25番と110番)の通信全てを一日一ファイルで残してある。 pic.twitter.com/u2L3ppC0ZR
2019-02-24 14:32:11
拡大
Nicholai MARO
@MAROCKs
このキャプチャファイルから当該ホスト名の文字列を検索するとメールサーバにログオンしようとしたコンピュータのIPアドレスが判る。 pic.twitter.com/9NIHdiGuTR
2019-02-24 14:32:12
拡大
【詐欺ページでの考察】Amazonのクラウドを利用している
Windows 7によってWindows システムが古くなり破損していることが検出されました。
Googleでタブレットが当たりました! と同じ手法なんだけれど。
Amazonのクラウドを利用しているから、そのうちAmazonを騙る詐欺メールもAmazonのアドレスから来るだろうね
6711 pv
2
1 user
差出人もメール題名も「WL-20Lが当たるかも!?」なんて文字列のみで、ローランドとどこにも書いてない。これは読まず..
所謂SPAMと呼ばれる迷惑メールがAmazonのドメインから送られてきた、って話。 SPAM業者がAmazonのクラウドを利用しているんですね。
2393 pv
2
【解決!】Oracleから1050回のブルートフォース攻撃が来た。
ブラックリストにも載っているIPだった。
オラクルの管理しているアドレスを利用して「総当り攻撃」をしている常習者なのだから、契約を破棄するなり・厳重注意するなり、何らかの対処し欲しいのだけれど。
8616 pv
17
4 users
326