姫の日游記

10月2日にサーバー管理者の大家さんからサーバーの異変についての連絡があり、その後、正常に戻すべく設定の変更をしていました。
その途中で、大家さんが抜書きしてくださったサーバーアクセスログに、作成した覚えがないディレクトリとファイルがあり、そこから不正アクセスが発覚し、昨日まで毎日調査していました。

結論としては、大阪府警察の偽サイトへ誘導するページを蔵置するための不正アクセスの手口についてにある不正行為でした。

この中で、ファイルを至る所にアップロードするのではなく、一つのプログラムのセキュリティホールから一枚のプログラムファイルをアップロードし、そのプログラムを遠隔操作で実行して新たなファイルを作成したようです。
そのファイルを移動プログラムで、プログラムとは無縁のディレクトリにまで動かし、遠隔操作で実行して、不正なプログラムやファイル群を作成するという手口です。

昨年末から今年の始めにかけて、被害に遭った、または、遭っていて気が付かないサイトが数多く存在しているようですが、何故か情報が少なく、犯人逮捕にも至っていないようです。
明確な情報を載せると、真似をしようとする人間が出て来る可能性もあるからだと思われます。

恐らく、犯人は中国人だと推測しています。
プログラムの内容が、全て簡体字中国語だったからです。
日本語も書かれていますが、テキスト等のエンコードは簡体字中国語でした。

サーバーアクセスログからは、犯人は計4人と見えます。
が、日本国内のレンタルサーバーを利用していましたが、IPが違っても、Mozillaが重なっているものが多くありました。
しかも日本国内のレンタルサーバー管理下の今は使われていないIPを不正利用している事等から、全て同一人物とも推測できます。

10月30日、サーバー管理者が動かぬ証拠を作成してくださり、改めて、大家さんの凄さに感動しました！
日本国内在住ではないと捜査権がないそうですが、たとえ犯人逮捕に至らずとも、最後まで正義を貫き通して、警察署へ被害届を出しに行く予定です。

それにしても、サーバーアクセスログを眺めていると、中国からのスパム投稿や不正アクセスしようとしているのか、存在しないファイルへアクセスしようとしている中国人が多いのにはショックでした。
中国からのアクセスを全面禁止にしない限り、今後も不正アクセスや偽ブランドサイトでの詐欺事件、個人情報漏えいが後を断たないと思います。

不正アクセス 中国

kna.jp の、あるプログラムの管理画面に不正侵入し、あるプログラムをアップロードし、中国の偽ブランドサイトへ誘導した犯人が分かりました。
この犯人が作ったプログラムかどうかは不明ですが、アップロードしたのはこの中国人です。
他のサーバーにも、同じ不正プログラムを作られているところがあります。
サーバーアクセスログ等を確認して、おかしな存在しないはずのphpファイルがありましたら、速やかに削除してください。

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '175.42.80.0 - 175.42.95.255'

inetnum: 175.42.80.0 - 175.42.95.255
netname: UNICOM-FJ-PUTIAN-MAN
country: CN
descr: Putian city, fujian provincial network of UNICOM
admin-c: PT239-AP
tech-c: PT239-AP
status: ALLOCATED NON-PORTABLE
changed: chenmin_deletethispart_@chinaunicom.cn 20100721
mnt-by: MAINT-CNCGROUP-FJ
mnt-lower: MAINT-CN-PT28
source: APNIC

person: PU TIAN
nic-hdl: PT239-AP
e-mail: wengqingwu@chinaunicom.cn
address: Putian city, Fujian province, China
phone: +86-594-6284431
fax-no: +86-594-6284433
country: cn
changed: chenmin_deletethispart_@chinaunicom.cn 20091106
mnt-by: MAINT-CNCGROUP-FJ
source: APNIC

% Information related to '175.42.0.0/15AS4837'

route: 175.42.0.0/15
descr: China Unicom Fujian Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20091215
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS1)

中国 不正 IP情報

またRSSリーダーが読み込まれていないかもしれません。
twitterは書き込まれているので、ryuhoku.jpとkna.jpかなぁ～？

独り言

本日、午前3時半頃から、ALPACO、竹永和男、Achilles等のオフィシャルサイトがある kna.jp が接続不能になっておりました。
ryuhoku.jp もFTP接続不能になっており、姫のゲームサイトの不具合を個別に修復出来ませんでした。

そして先程、kna.jp が復旧されました。
ゲームユーザーの皆様、リスナーの皆様、ご迷惑をお掛け致しまして申し訳ございませんでした。m(__)m

大家さん、有難うございました。m(__)m

障害情報

現在、kna.jp が接続不能になっております。
復旧まで、暫くお待ち下さい。

障害情報

熊本の二日目[晴れ]
今日は、サーバー管理者の大家さんと謎のみやっちさんと私の三人で、通潤橋へ行きました。

帰宅後、Ryuhoku.jpサーバーの取材[メモ]

写真は、通潤橋とマイホームFlash館のRyuhoku.jpサーバーです。
Ryuhoku.jpの前にいるのは、サーバー管理者の大家さんです[ウインク]

2008年明けましておめでとうございます。

当ゲームサイトのマイホームFlash館のHPスペースである、Ryuhoku.jp の管理者専用掲示板上での天然話…。

謎のみやっちさん
「デルのパソコン買いました♪
core2 duo 2.2G　メモリー2Gでし。
今は、XPとVISTAのデュアルブートです♪」

サイト管理者の吉田(σ(-_-)ワタシ)
「でも画面はクラシックです。(￣w￣)　ぷっ」

サーバー管理者のちょびさん
「>でも画面はクラシックです。(￣w￣)　ぷっ
でも顔面はクラシックです。(￣w￣)　ぷっ」

謎のみやっちさん
「(*￣￣￣￣￣ii￣￣￣￣￣)ブー…」

サイト管理者の吉田(σ(-_-)ワタシ)
「ヾ(＠>▽<＠)ノぶぁっはははっははは♪
どんなだろう・・?(・・*)。。oＯ(想像図)
とっても面白かったので、記念に描いてみました♪」

画像は、吉田が描いた「顔面クラシック」の図

謎のみやっちさん
「オメットカカトオトシ!o(*`^´*)θ☆)゜o゜)/ アヴ」

サーバー管理者のちょびさん
「こらよかばい、vista の壁紙よりこっちば、みやっちの機械の壁紙にしなっせ。」

緊張感の中でのサーバー管理とサイト管理。
たまには、天然話もないとね～[エヘヘ]
たまには[？]

ゆかいな仲間で運営している、Ryuhoku.jp を、本年もよろしくお願い申し上げます。

Ryuhoku.jp

Ryuhoku.jp サーバー管理者のご子息様も出展されるというので、第9回 データストレージ EXPOに行って来ました。

会 期 ： 2007年5月16日（水） ～ 18日（金） 10：00 - 18：00
会 場 ： 東京ビッグサイト　東1-6ホール、西1-2ホール
主 催 ： リード エグジビション ジャパン 株式会社

5月16日、Ryuhoku.jp サーバー管理者のU氏(大家さん)とメンバーの謎のみやっちさんが上京。
17日に会場受付で待ち合わせて合流しました。
内容より、東京ビックサイトの大きさと広さに驚きました[！]

写真は、東京ビックサイトから駅へ向かう途中、大家さんと謎のみやっちさんと写しました。

見学が終わってから、サーバー管理者と別れ、謎のみやっちさんと私は、私の家へ直行。
暫く我が家にお泊まりです[♪]