笑うに足りないこと
最近の admin には馬鹿が増えているのか?をご覧いただくと、何やら瑣末事に食いついて粘着的な書き込みをしている Ryu なる人物がいることが分かるだろう。こいつが、とんでもない輩だったのだ。
mixi のとあるトピックで僕が書き込んだのを見たらしく、この馬鹿丸出しの書き込みをしてきたのだが、この(現時点までにこちらでログが確認できる)3つの書き込みの時刻は、
- 2009/10/14(Wed) 20:40:17
- 2009/10/15(Thu) 23:54:31
- 2009/10/16(Fri) 23:41:34
- y116174.ppp.asahi-net.or.jp - - [14/Oct/2009:20:40:17 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.6) Gecko/2009020407 Iceweasel/3.0.6 (Debian-3.0.6-1)"
- y116174.ppp.asahi-net.or.jp - - [15/Oct/2009:23:54:31 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.14) Gecko/2009091008 Iceweasel/3.0.6 (Debian-3.0.6-3)"
- y116174.ppp.asahi-net.or.jp - - [16/Oct/2009:23:41:34 +0900] "POST /thomas/diary/index.php HTTP/1.1" 200 104 "http://fugenji.org/thomas/diary/?no=r41" "Mozilla/5.0 (X11; U; Linux x86_64; ja; rv:1.9.0.14) Gecko/2009091008 Iceweasel/3.0.6 (Debian-3.0.6-3)"
さて、この時点で、Ryu なる人物を y116174.ppp.asahi-net.or.jp で特定できることがわかる。何故かというと、朝日ネットは Yahoo!BB 等と同じく、ユーザ側のネットワークへの再手続きがない限りは強制的再接続処理を行わないプロバイダ(つまり、常時接続していると DHCP 接続をしていても、DNS 上での端末名や IP address が固定される)だからだ。ちなみにこれは直接朝日ネットに電話してその旨確認してある。
で、今日の昼ごろだったか…… fugenji の僕のメールアドレスに、とんでもない数のメールが送信されていることに気づいた。その数 5012 通。まぁ僕の MUA (Mail User Agent) は Mew というテキストベースのものなので、これ位来たからといって整理できないことはないし、いずれもテキストメールだったので、とりあえず保存して、ヘッダを見てみると……タイムスタンプや id 以外は同じこれが頭に付いている。
Received: from vulture.run.sh (y116174.ppp.asahi-net.or.jp [118.243.116.174]) by www1.inetd.co.jp (8.13.8/3.7W09101512) with ESMTP id n9GL09aJ097837 for <thomas@fugenji.org>; Sat, 17 Oct 2009 06:00:09 +0900 (JST)
Received: from ryu by vulture.run.sh with local (Exim 4.69) (envelope-from <ryu@run.sh>) id 1MytuA-0000Ix-6G; Sat, 17 Oct 2009 06:00:06 +0900
(傍線:by Thomas)
あのさぁ……IP spoofing も知らない奴が mail bomb なんて百年早いっつーの。自分の分を弁えろっての。まさに裸の王様である。
あまりの程度の低さに絶句しているうちにも、同様のメールは次々と送られてくる。その数五千数百通。まぁ機械的処理と思えばたいした事もない話だ。あまり早くやると、自分のプロバイダに検知されちゃうから、そう高速にも送れないというのに、ご苦労なことだ。
まぁ阿呆らしいとはいえ、これは立派な犯罪行為である。とりあえず朝日ネットに電話を入れて、DoS attack を受けていること、相手の発信元が y116174.ppp.asahi-net.or.jp = vulture.run.sh = 118.243.116.174 であること。local の MTA (Mail Transfer Agent)……しかし Exim4 使ってるというそのセンスがイマイチ分からないなぁ、要するに Debian GNU/Linux のデフォをそのまんま使っているだけなんだろうけど……を叩いて送っているので裸の王様状態であること、mixi で Ryu が公開している個人情報(もちろん「これは SNS で本人が公開しているものなので、信用度はその程度だと思います」と言ったけど)を伝え、プロバイダ側で調査の上「然るべき処置」を下してもらうように依頼した。次いで mixi にも同じ内容をメールで送信しておいた。
証拠保全もしなければならぬ。折角なので、僕が手元に残した DoS attack 用 SPAM の全てを archive して公開することにした。
http://fugenji.org/thomas/spams20091017_sum.tar.bz2
web の log も保存してあるし、レンタルサーバ業者に依頼すれば出してきてくれるだろう。SPAM 送信が止まったのも、レンタルサーバ業者が DoS attack を検知したためかもしれないし、そうなったらレンタルサーバ業者も黙ってはいないだろう。
そうそう、参考までに:
http://www.nic.sh/cgi-bin/whois?query=run.sh
(上の domain から得られる、domain 取得者自身が公開している情報)
Re:笑うに足りないこと
MixiのLinuxトピックから来ました。何やら変なのに絡まれて大変だったようで。傍観しておりましが、対応の手際がいいですね。
流石です。