件名「Join my network on LinkedIn」のスパムメールの調査。WordPressで構築したサイトがハッキングされたか!?

by 管理者
4月 03日 2013 年

2月からたびたび悪質なスパムメールが届くようになってうんざりですが、前回はペイパルを偽装したメール、そして今回はビジネス向けSNSのLinkedInを偽装したメールが来ました。

 

このスパムメールの中身を解析すると、メールに記載されたhttp://www.linkedin.comをSNSのLinkedInだと思ってクリックすると、efalsenails.comに繋がることが判りました。

efalsenails.comは付け爪を販売している今年の1月にドメインを取得したばかりの新しいサイトで場所はアメリカのユタ州にあります。

さらにリンク先がefalsenails.com/wp-content/plugins/wp-status.php?XT12356789な書き方になっているので、このリンクをクリックするとスパムメールの送信者に詐欺に引っかかった鴨はXT12356789だって通知されるのでしょうね。

あぶない、あぶない。

 

今度は、メールヘッダを解析すると、IPアドレス「92.85.81.105」(メールの中継)から発信されていることが判りました。

メールヘッダ

 

このIPアドレス「92.85.81.105」を調べると、ルーマニアのブカレストのものでした。

メールの発信場所

 

アメリカとルーマニアで国が違っているため、付け爪販売のサイトとメールの送信者は同一人物ではないでしょうね。

おそらく今年の1月に付け爪販売のサイトをWordpressで構築してアメリカで立ち上げたものの、すぐにルーマニアの何者かにサイトを乗っ取られた。

または知らない間にサイトをハッキングされて、フィッシングサイトとして操られているといったところでしょうか?

ところでWordpressでブログを管理していると、不正アクセスがかなり沢山あります。

 

自分が加害者になる可能性?

もしここで、ブログを管理していて「えっ」て思った人は、今からでもエラーログを確認してください。

私のサイトのアパッチのエラーログを確認すると、Wordpressを狙っていると考えられる以下のようなるログが沢山引っかかります。

このような奴らは発見次第すぐにアクセス禁止にしていますが、正直いたちごっこです。

[Sun May 14 02:24:24 2012] [error] [client XXX.XXX.XXX.XXX] script not found or unable to stat: /var/www/cgi-bin/af.cgi
[Sun May 14 02:24:24 2012] [error] [client XXX.XXX.XXX.XXX] script not found or unable to stat: /var/www/cgi-bin/wguest.exe
[Sun May 14 02:24:24 2012] [error] [client XXX.XXX.XXX.XXX] script not found or unable to stat: /var/www/cgi-bin/twiki
[Sun May 14 02:24:25 2012] [error] [client XXX.XXX.XXX.XXX] script not found or unable to stat: /var/www/cgi-bin/authenticate.cgi

 

一番危ないのは、Wordpressでサイトを構築したものの、アップデートしていない場合です。

それはWindowsと一緒でセキュリティホールが塞がらないため、このような不正アクセスしてくる連中にいつかサイトを乗っ取られることになるかもしれません。

十分に注意が必要です。

あなたのWordpressは大丈夫ですか?

この記事へのトラックバックURL