ITサポーターズの仲間たち    mushi

IT関連のサポートに携わる変人が微弱な電波を発してます。
ビビビビビッ!

URL変更のお知らせとお願い 当サイトのドメインが変更となりました
http://zxvf.homeip.net から http://zxvf.stzo.net に変更となりました。
当サイトにリンクしていただいている方々にはご面倒ですが変更をお願いいたします。(2014/4/7)

ウイルバスター発売元トレンドマイクロの裏の顔なのか


ウイルバスター発売元トレンドマイクロの裏の顔なのか。かなり前から気になってはいた件でトレンドマイクロのボットがある。 ウイルスバスターの利用者がアクセスしたページを判定するためにボットが目的のサイトにアクセスして内容を確認するというもの。



かなり前から気になってはいた件でトレンドマイクロのボットがある。

ウイルスバスターの利用者がアクセスしたページを判定するためにボットが目的のサイトにアクセスして内容を確認するというもの。
昔はちょっと調べれば、ああ、バスターのアクセスねってわかったんだけど、おかしなアクセス発見。

帰ってきて暇があったのでサーバーのカーネルなど上げたついでにVPS鯖のメンテなどちょこっとしてあげた。
そこで気になるアクセスを発見。

それが以下のログ。

150.70.75.161 - - [13/Feb/2012:01:30:35 +0900] "GET /adsystem/1038/php/log_layout.php?vc=5&intr=RU-CW-1-2 HTTP/1.0" 404 417 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

150.70.75.161 - - [13/Feb/2012:09:09:37 +0900] "GET /adsystem/186119/php/log_layout.php?vc=1&intr=RU-CW-1-2 HTTP/1.0" 404 419 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

150.70.75.161 - - [13/Feb/2012:10:41:48 +0900] "GET /adsystem/8143/php/log_layout.php?vc=1&intr=RU-CW-1-2 HTTP/1.0" 404 417 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

150.70.75.161 - - [13/Feb/2012:12:01:29 +0900] "GET /adsystem/186117/php/split_test_change.php?fn=peel_ads_186117_186117.txt&data_num=10&line_number=3 HTTP/1.0" 404 426 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

何かのシステムのライブラリのスキャンのようなアクセス。
まぁよくある脆弱性スキャンのようなもんだろう。404だから気にしない。

このIPを逆引きしてみると、

wtp-g4-maya7.sjdc

となっている。
ご存知の通り .sjdc などというドメインはインターネット上に存在しない。

これもよくあるホスト名を xxxx.local などとして偽装してアクセスして来るのと同じ手法だ。
(参考までに何故偽装するかというと、サーバのログ設定で逆引きしてログに残すようにしてあると、
後から何か発見しても偽装ホストは正引きできないのでIPがわからなくなってしまう。)

さて、このIP何者か調べてみる。
まず簡単なのは whois でこのIPの持ち主はどこの会社か調べるのが一般的。
しかし持ち主は150.26.0.0 - 150.100.255.255 の範囲でJNICになっている。
さて困った。身元がバレないようにうまいことしてるように感じる。

次に traceroute してみる。
うちの回線はauひかりなので都内のkddiから出ていく。
ixでインターネットに出てロスに行ってるようだ。

% traceroute 150.70.75.161
traceroute to 150.70.75.161 (150.70.75.161), 30 hops max, 60 byte packets

1 192.168.0.1 (192.168.0.1) 0.581 ms 0.793 ms 0.994 ms

2 KDxxxxxxxxxxxx.ppp-bb.dion.ne.jp (xxx.xxx.xxx.xxx) 11.438 ms 12.230 ms 12.397 ms

3 xxxxxxxxxxxxxx.bb.kddi.ne.jp (xxx.xxx.xxx.xxx) 11.529 ms 11.910 ms 12.484 ms

4 tymBBML301.bb.kddi.ne.jp (118.152.209.86) 12.651 ms 13.087 ms 13.251 ms

5 sjkBBAC05.bb.kddi.ne.jp (118.152.210.57) 13.416 ms 13.583 ms 13.747 ms

6 otejbb203.kddnet.ad.jp (210.234.225.1) 14.646 ms 12.643 ms 12.559 ms

7 lajbb001.kddnet.ad.jp (203.181.100.10) 155.043 ms 102.462 ms 102.987 ms

8 ix-la2.kddnet.ad.jp (59.128.2.182) 104.254 ms 104.959 ms 105.235 ms

9 xe-11-3-0.edge2.LosAngeles9.Level3.net (4.53.228.13) 114.350 ms 114.615 ms 115.539 ms

10 vlan80.csw3.LosAngeles1.Level3.net (4.69.144.190) 108.680 ms vlan60.csw1.LosAngeles1.Level3.net (4.69.144.62) 109.945 ms vlan90.csw4.LosAngeles1.Level3.net (4.69.144.254) 110.501 ms

11 ae-83-83.ebr3.LosAngeles1.Level3.net (4.69.137.41) 110.089 ms ae-73-73.ebr3.LosAngeles1.Level3.net (4.69.137.37) 109.333 ms 109.505 ms

12 ae-3-3.ebr1.SanJose1.Level3.net (4.69.132.9) 118.048 ms 118.885 ms 119.185 ms

13 ae-91-91.csw4.SanJose1.Level3.net (4.69.153.14) 119.711 ms 129.720 ms ae-61-61.csw1.SanJose1.Level3.net (4.69.153.2) 118.394 ms

14 ae-22-70.car2.SanJose1.Level3.net (4.69.152.68) 112.558 ms ae-32-80.car2.SanJose1.Level3.net (4.69.152.132) 112.130 ms ae-12-60.car2.SanJose1.Level3.net (4.69.152.4) 114.459 ms

15 TREND-MICRO.car2.SanJose1.Level3.net (4.28.10.74) 170.671 ms 170.796 ms 170.977 ms

16 216.99.143.97 (216.99.143.97) 117.801 ms 118.352 ms 119.512 ms

17 216.99.143.117 (216.99.143.117) 126.165 ms 126.754 ms 126.524 ms

18 wtp-g4-maya7.sjdc (150.70.75.161) 120.386 ms 120.853 ms 121.071 ms

でた!
これだ、15でしっかり会社名がホストに出ている。
そして16,17のIPも 216.99.128.0/20 の範囲でトレンドマイクロの持ち物だ。
そこから問題のIPへとなる。

何故わざわざJPNICのIPを使うのか考えてみた。
国内には海外の特定の国からのIPを弾いている場合があるからなのかなーって。

その後これらの情報を元にネットを調べてみるとやはりトレンドマイクロのボットとして活動しているIPだったようだ。

216.104.15.0/24
150.70.0.0/16

これらのIPはトレンドマイクロのボット用のIPらしいということだ。

ちなみにこの怪しいアクセスはIPアドレス直でアクセスして来たもので、
ドメイン名でアクセスしてきたものではない。
ウイルスバスターのユーザーが私のサイトにIPベースで該当のファイルに、
しかもGETのパラメータ付きでリファラ無しのアクセスするとは到底思えない。
さらに問題のファイルなど管理しているバーチャルドメイン上のどのサイトでも使っていない。

いったい何をしているのだろう。

やましい事が無いのなら偽装する必要もないと思うのだが。
これだとかえって怪しいIPとして弾かれる気がする。
それともやはり裏で何かやってるのだろうかと思ってしまう。




< 過去の記事 [ 5月の 全てのトピック リスト ] 新しい記事 >
via IPv4

twitter

●→ トップページ

05/25(Fri) 12:27:14

サイト内検索

 

トピックのカテゴリー

全てのトピック
今日の思考回路
趣味について
ニュース!
Technical
Linux
OSX
その他いろいろ

みんなのリンク

全てのリンク
ニュース
アミューズメント
生活
Tools
Windows
OS X
Technical
その他のリンク
MACアドレスで位置情報検索


Archives




新しいトピック
最新:05/08 18:22


Valid XHTML 1.0 Transitional

Syndicate this site(XML)

RSS1.0(RDF)

RSS2.0(RSS)

SpecialThanks
011433886

....   

Copyright (C) 2005-2018 Amato. All rights reserved.