姫の日游記

10月2日にサーバー管理者の大家さんからサーバーの異変についての連絡があり、その後、正常に戻すべく設定の変更をしていました。
その途中で、大家さんが抜書きしてくださったサーバーアクセスログに、作成した覚えがないディレクトリとファイルがあり、そこから不正アクセスが発覚し、昨日まで毎日調査していました。

結論としては、大阪府警察の偽サイトへ誘導するページを蔵置するための不正アクセスの手口についてにある不正行為でした。

この中で、ファイルを至る所にアップロードするのではなく、一つのプログラムのセキュリティホールから一枚のプログラムファイルをアップロードし、そのプログラムを遠隔操作で実行して新たなファイルを作成したようです。
そのファイルを移動プログラムで、プログラムとは無縁のディレクトリにまで動かし、遠隔操作で実行して、不正なプログラムやファイル群を作成するという手口です。

昨年末から今年の始めにかけて、被害に遭った、または、遭っていて気が付かないサイトが数多く存在しているようですが、何故か情報が少なく、犯人逮捕にも至っていないようです。
明確な情報を載せると、真似をしようとする人間が出て来る可能性もあるからだと思われます。

恐らく、犯人は中国人だと推測しています。
プログラムの内容が、全て簡体字中国語だったからです。
日本語も書かれていますが、テキスト等のエンコードは簡体字中国語でした。

サーバーアクセスログからは、犯人は計4人と見えます。
が、日本国内のレンタルサーバーを利用していましたが、IPが違っても、Mozillaが重なっているものが多くありました。
しかも日本国内のレンタルサーバー管理下の今は使われていないIPを不正利用している事等から、全て同一人物とも推測できます。

10月30日、サーバー管理者が動かぬ証拠を作成してくださり、改めて、大家さんの凄さに感動しました！
日本国内在住ではないと捜査権がないそうですが、たとえ犯人逮捕に至らずとも、最後まで正義を貫き通して、警察署へ被害届を出しに行く予定です。

それにしても、サーバーアクセスログを眺めていると、中国からのスパム投稿や不正アクセスしようとしているのか、存在しないファイルへアクセスしようとしている中国人が多いのにはショックでした。
中国からのアクセスを全面禁止にしない限り、今後も不正アクセスや偽ブランドサイトでの詐欺事件、個人情報漏えいが後を断たないと思います。

不正アクセス 中国

kna.jp の、あるプログラムの管理画面に不正侵入し、あるプログラムをアップロードし、中国の偽ブランドサイトへ誘導した犯人が分かりました。
この犯人が作ったプログラムかどうかは不明ですが、アップロードしたのはこの中国人です。
他のサーバーにも、同じ不正プログラムを作られているところがあります。
サーバーアクセスログ等を確認して、おかしな存在しないはずのphpファイルがありましたら、速やかに削除してください。

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '175.42.80.0 - 175.42.95.255'

inetnum: 175.42.80.0 - 175.42.95.255
netname: UNICOM-FJ-PUTIAN-MAN
country: CN
descr: Putian city, fujian provincial network of UNICOM
admin-c: PT239-AP
tech-c: PT239-AP
status: ALLOCATED NON-PORTABLE
changed: chenmin_deletethispart_@chinaunicom.cn 20100721
mnt-by: MAINT-CNCGROUP-FJ
mnt-lower: MAINT-CN-PT28
source: APNIC

person: PU TIAN
nic-hdl: PT239-AP
e-mail: wengqingwu@chinaunicom.cn
address: Putian city, Fujian province, China
phone: +86-594-6284431
fax-no: +86-594-6284433
country: cn
changed: chenmin_deletethispart_@chinaunicom.cn 20091106
mnt-by: MAINT-CNCGROUP-FJ
source: APNIC

% Information related to '175.42.0.0/15AS4837'

route: 175.42.0.0/15
descr: China Unicom Fujian Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20091215
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)

中国 不正 IP情報

昨夜22時頃から先程まで、当ryuhoku.jpとkna.jpサーバーがダウンしておりましたが、復旧致しました。
先程までryuhoku.jpとkna.jpにアクセスすると、くまモンメンテナンス中の画像がありましたｗ

当サーバー管理者は、いつからくまモンになったのでしょうか…？超Happy♪＼(^o^)／
と、喜んでいたら、復旧してしまいました。
もう少し、くまモン管理者でも良かったかも…。
原因は、停電対策用のUPSの誤動作でした。
UPS＝Uninterruptible Power Supply(無停電電源装置)
大家さん、どうも有り難うございました。m(__)m

障害情報

またRSSリーダーが読み込まれていないかもしれません。
twitterは書き込まれているので、ryuhoku.jpとkna.jpかなぁ～？

独り言

来週、16日から6月11日までの期間、「マイホームFlash館～ゲームの館～」管理者が不在となるかもしれません。
パソコンが使える時間があれば管理作業も出来るのですが、時間があるかどうか分からない為、6月11日までは復旧作業も出来ない可能性が高いです。
何かありましたら、このゲーム専用BBSに書き込みだけお願い致します。
6月11日夜からは、パソコンが使える環境に戻りますので、確認致します。

ゲームが大きく壊れてしまった場合で、管理作業が出来ない時は、ゲームの初期化も有り得ます事をお伝え致します。
何卒、皆様のご理解とご協力をお願い申し上げます。

お知らせ

本日、午前3時半頃から、ALPACO、竹永和男、Achilles等のオフィシャルサイトがある kna.jp が接続不能になっておりました。
ryuhoku.jp もFTP接続不能になっており、姫のゲームサイトの不具合を個別に修復出来ませんでした。

そして先程、kna.jp が復旧されました。
ゲームユーザーの皆様、リスナーの皆様、ご迷惑をお掛け致しまして申し訳ございませんでした。m(__)m

大家さん、有難うございました。m(__)m

障害情報

現在、kna.jp が接続不能になっております。
復旧まで、暫くお待ち下さい。

障害情報

竹永和男オフィシャルサイトのサーバーに、宣伝用としてRSSリーダー(RSS/ATOMフィードをWEB上で読むためのCGI)を置きましたが、knaのXMLに問題があって、ryuhokuサーバーに移しました。
動作は快適です[グッド]

読み込みたいサイト(対応であればサーバー問わず)のRSSを登録して読み込ませます。
現在は関連サイトのみですが、ご希望があれば、登録を受け付けますのでご連絡下さい。
但し、個人運営のアーティストサイトに限らせて頂きます。

RSSリーダー

本日、午前5時前から、当サーバー(ryuhoku.jp)に不具合が発生し、当サイト(ryuhoku.jpの一部とkna.jp全て)の閲覧が出来なくなっておりました。
原因は、ryuhoku.jp サーバーの内部で接続出来ないところが発生していた為で、サーバーを再起動して復旧致しました。
午前5時～9時頃の間にお越し頂きました皆様には、大変ご迷惑をお掛け致しまして、申し訳ございませんでした。

障害情報

Twitter公式のツイートボタンを作って設置しました。
見ているページをTwitterに投稿するという仕組みのボタンです。
例えば、このページの上部にある「ツイートする」ボタンを押すとウインドウが開き、Twitterにログインします。
[ヒラメキ]既にTwitterにログイン済みの場合は、ログイン画面は出て来ません。
そしてつぶやいて下さい。[グッド]
Twitterアカウントをお持ちの皆様の拡散宜しくお願い致します[♪]

Twitterの登録の仕方や使い方は、ツイナビをご参照下さい。

Twitter