事の発端は Symantec の検知イベントで 5.135.38.169 という IP アドレスへの通信を発見したのですが、それがスパムメールに関連するかどうかと思っていろいろと調べたので少し整理しておきます。
まず IP アドレスが分かっているので、その IP アドレスが不正なサイトかどうかをチェックしました。
そうするとこのサイトでチェックできることが分かりました。
The Anti Hacker Alliance (AHA)
http://anti-hacker-alliance.com/
【Search IP (e.g. 123.)】 というボックスがあって、ここに IP アドレスを入力するとその IP アドレスのチェックをしてくれます。
検索結果はこの URL。
http://anti-hacker-alliance.com/index.php?details=5.135.38.169
Blacklist を持ってる多数サイトをチェックして該当 IP アドレスがヒットするかどうかチェックします。
今回 FABELSOURCES という Blacklist にはこのアドレスがヒットしていました。
ここは国コード dk なのでデンマークのサイトのようです。
そして スパムメールの Blacklist を公開していました。
サイト下の方に Lookup というのがあるのでそれを使います。
そうすると
5.135.38.169 is listed in spamsources.fabel.dk.
と表示され、ブラックリストにリストされている(つまり登録されている)ことが分かりました。
このようにブラックリストを公開しているサイトはたくさんあって、まとめてサーチできるのが上の AHA や MX Toolbox です。
MX Toolbox では Blacklists を開くと先ほど AHA で検索したのと同じ結果が出てきます。
同じように Analyze Header を開くとメールヘッダ解析をしてくれます。
スパムメール情報サイト
Posted on 19:03
Related Posts:
スパムメール情報サイト事の発端は Symantec の検知イベントで 5.135.38.169 という IP アドレスへの通信を発見したのですが、それがスパムメールに関連するかどうかと思っていろいろと調べたので少し整理しておきます。 まず IP アドレスが分かっているので、その IP アドレスが不正なサイトか… Read More
12月のMicrosoft Update12月10日(水)にMicrosoft Updateがリリースされました。 今回のリリースは MS14-075、MS14-080 から MS14-085 の計7件で、緊急 レベルのものが3件ありました。 ただ、セキュリティニュースを見るといくつか不具合があるようです。 Visual Studi… Read More
Bind 9 の脆弱性今週の火曜日、12/9 に Bind その他 DNS サーバの緊急レベルの脆弱性が発表されました。 DNS キャッシュサーバとして動作する DNS サーバが CPU やメモリリソースを消費する DoS 攻撃を受けてしまうというものです。 既にパッチがリリースされているので、この攻撃が流行る前に、… Read More
Linuxで実行したコマンドのログを取るLinux ではどんなコマンドが実行されたのか、ログを取るといい。 Sebek2 が有名。 これは Honeynet でもよく使われていて、その場合、ハッカーがどんなコマンドを実行したのか、それをログに取るのに使われる。 ログはリモートに保存される。ちょうど rsyslog のような感じ。 … Read More
Symantec Web Attack: Malicious File DownloadSymantec 管理コンソールを開いて、「ログ」-「ネットワーク脅威防止」で現れたメッセージ。 [検出したリスク] シグネチャ名: Web Attack: Malicious File Download 24 イベントの説明: [SID: 27892] Web Attack: Malicious… Read More
0 コメント:
コメントを投稿