cNotes 検索 一覧 カテゴリ

攻撃者は騙されない?

Published: 2010/10/23

9月の終り頃に話題になっていた最近よく利用されているといわれているexploitpackの一つCRiMEPACKに付属しているdeny listについて調べてみました。

これは何用のリストかというと、構築した攻撃サイトに対して、ハニーポットやクローラーなどを利用して調査、解析を行おうとする捜査機関、アナリスト、セキュリティ関連企業からのアクセスをブロックするために利用されるものです。

リストの中身は/32のIPアドレスの羅列です。一部のGoogle bot関連のみ/24。

このリストを下記のようなスクリプトを使って、iptablesに設定してアクセスをブロックするようです。

意外と地味です。

 deny-ip.sh
 #!/bin/bash for ip in `cat ip-list-XXXXXXXX.txt` ; do iptables -I INPUT -s $ip -j DROP ; done 

実際のアドレスを以下に。nameやASなどの情報を解析しなおしてます。ASNameの解析精度がいまいち、、、

元々のリストの内容に重複等があったため、実質517個(ブロック)。

先頭のOLDについては後述。

明確に正体?がわかっているものついては備考に記載してます。

IPnameASASName備考
79.106.109.57NONE42313NO_ENTRIESAL
128.130.56.0NONE679TUNET-ASATseclab
128.130.56.0NONE679TUNET-ASATseclab
128.130.56.1guardian.seclab.tuwien.ac.at.679TUNET-ASATseclab
128.130.56.10NONE679TUNET-ASATseclab
128.130.56.11NONE679TUNET-ASATseclab
128.130.56.12NONE679TUNET-ASATseclab
128.130.56.13NONE679TUNET-ASATseclab
128.130.56.14NONE679TUNET-ASATseclab
128.130.56.15NONE679TUNET-ASATseclab
128.130.56.16NONE679TUNET-ASATseclab
128.130.56.17NONE679TUNET-ASATseclab
128.130.56.18NONE679TUNET-ASATseclab
128.130.56.19NONE679TUNET-ASATseclab
128.130.56.2target.seclab.tuwien.ac.at.679TUNET-ASATseclab
128.130.56.20NONE679TUNET-ASATseclab
128.130.56.21NONE679TUNET-ASATseclab
128.130.56.22NONE679TUNET-ASATseclab
128.130.56.23NONE679TUNET-ASATseclab
128.130.56.24NONE679TUNET-ASATseclab
128.130.56.25NONE679TUNET-ASATseclab
128.130.56.26NONE679TUNET-ASATseclab
128.130.56.27NONE679TUNET-ASATseclab
128.130.56.28NONE679TUNET-ASATseclab
128.130.56.29NONE679TUNET-ASATseclab
128.130.56.3NONE679TUNET-ASATseclab
128.130.56.30NONE679TUNET-ASATseclab
128.130.56.4NONE679TUNET-ASATseclab
128.130.56.5NONE679TUNET-ASATseclab
128.130.56.6NONE679TUNET-ASATseclab
128.130.56.7ra-56.seclab.tuwien.ac.at.679TUNET-ASATseclab
128.130.56.8john.seclab.tuwien.ac.at.679TUNET-ASATseclab
128.130.56.9NONE679TUNET-ASATseclab
192.102.1.105NONE1853ACOnetAT
192.102.1.106NONE1853ACOnetAT
192.102.1.107NONE1853ACOnetAT
192.102.1.108NONE1853ACOnetAT
192.102.1.114NONE1853ACOnetAT
192.102.1.115NONE1853ACOnetAT
192.102.1.116NONE1853ACOnetAT
192.102.1.117NONE1853ACOnetAT
80.108.65.8chello080108065008.1.11.vie.surfer.at.6830UPCAT
OLD211.26.92.124124.116.dsl.pth.iprimus.net.au.9443INTERNETPRIMUS-AS-APAU
203.5.112.28gw.auscert.org.au.24436UQ-AS-APAU
OLD81.244.229.8686.229-244-81.adsl-dyn.isp.belgacom.be.5432NO_ENTRIESBE
OLD189.32.115.52bd207334.virtua.com.br.28573VirtuaBR
201.53.196.195c935c4c3.virtua.com.br.28573VirtuaBR
80.94.160.207biobel.bas-net.by.21274NO_ENTRIESBY
128.100.171.54NONE239NO_ENTRIESCA
OLD207.219.97.51NONE852ASN852CA
209.17.173.91h209-17-173-91.gtcust.grouptelecom.net.6539GT-BELLCA
216.18.100.139static-216-18-100-139.gtcust.grouptelecom.net.6539GT-BELLCA
204.209.56.56ip-204-209-56-56.tera-byte.com.13911WEBSENSECAwebsense
68.168.113.163NONE36666GTCOMMCA
80.218.6.16180-218-6-161.dclient.hispeed.ch.8404CABLECOMCH
OLD84.74.152.5984-74-152-59.dclient.hispeed.ch.8404CABLECOMCH
OLD222.216.51.9797.51.216.222.broad.nn.gx.dynamic.163data.com.cn.4134CHINA-TELECOMCN
123.116.127.247NONE4808CHINA169-BJCN
OLD221.6.44.8NONE4837CHINA169-BACKBONECN
OLD58.248.188.68NONE17622CNCGROUP-GZCN
89.176.236.175ip-89-176-236-175.net.upcbroadband.cz.6830UPCCZ
89.187.132.18189.187.130.181.gransy.com.35592NO_ENTRIESCZ
OLD134.155.241.17yoshi.informatik.uni-mannheim.de.553NO_ENTRIESDE
141.76.45.34proxy1.anon-online.org.680NO_ENTRIESDEproxy
141.76.45.35proxy2.anon-online.org.680NO_ENTRIESDEproxy
188.98.79.8dslb-188-098-079-008.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.228.134dslb-188-099-228-134.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.229.61dslb-188-099-229-061.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.236.159dslb-188-099-236-159.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.244.241dslb-188-099-244-241.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.244.80dslb-188-099-244-080.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.247.113dslb-188-099-247-113.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.248.83dslb-188-099-248-083.pools.arcor-ip.net.3209ARCOR-ASDE
188.99.253.32dslb-188-099-253-032.pools.arcor-ip.net.3209ARCOR-ASDE
84.60.232.57dslb-084-060-232-057.pools.arcor-ip.net.3209ARCOR-ASDE
OLD92.74.32.41dslb-092-074-032-041.pools.arcor-ip.net.3209ARCOR-ASDE
217.91.177.21pd95bb115.dip0.t-ipconnect.de.3320DTAGDE
79.215.105.58p4FD7693A.dip.t-dialin.net.3320DTAGDE
OLD79.215.113.102p4FD77166.dip.t-dialin.net.3320DTAGDE
87.177.173.7p57B1AD07.dip.t-dialin.net.3320DTAGDE
87.177.189.93p57B1BD5D.dip.t-dialin.net.3320DTAGDE
87.177.198.190p57B1C6BE.dip0.t-ipconnect.de.3320DTAGDE
87.177.231.174p57B1E7AE.dip.t-dialin.net.3320DTAGDE
87.177.238.107p57B1EE6B.dip.t-dialin.net.3320DTAGDE
87.177.249.145p57B1F991.dip.t-dialin.net.3320DTAGDE
87.177.249.211p57B1F9D3.dip.t-dialin.net.3320DTAGDE
87.177.255.247p57B1FFF7.dip.t-dialin.net.3320DTAGDE
87.179.21.28p57B3151C.dip0.t-ipconnect.de.3320DTAGDE
87.179.22.175p57B316AF.dip0.t-ipconnect.de.3320DTAGDE
87.179.23.119p57B31777.dip0.t-ipconnect.de.3320DTAGDE
87.179.23.18p57B31712.dip0.t-ipconnect.de.3320DTAGDE
87.179.23.207p57B317CF.dip0.t-ipconnect.de.3320DTAGDE
87.179.3.112p57B30370.dip0.t-ipconnect.de.3320DTAGDE
87.179.34.233p57B322E9.dip0.t-ipconnect.de.3320DTAGDE
87.179.34.65p57B32241.dip0.t-ipconnect.de.3320DTAGDE
87.179.38.193p57B326C1.dip0.t-ipconnect.de.3320DTAGDE
87.179.40.247p57B328F7.dip0.t-ipconnect.de.3320DTAGDE
87.179.41.187p57B329BB.dip0.t-ipconnect.de.3320DTAGDE
87.179.41.219p57B329DB.dip0.t-ipconnect.de.3320DTAGDE
87.179.41.41p57B32929.dip0.t-ipconnect.de.3320DTAGDE
87.179.41.47p57B3292F.dip0.t-ipconnect.de.3320DTAGDE
87.179.43.212p57B32BD4.dip0.t-ipconnect.de.3320DTAGDE
87.179.43.93p57B32B5D.dip0.t-ipconnect.de.3320DTAGDE
87.179.45.29p57B32D1D.dip0.t-ipconnect.de.3320DTAGDE
87.179.5.124p57B3057C.dip0.t-ipconnect.de.3320DTAGDE
87.179.6.239p57B306EF.dip0.t-ipconnect.de.3320DTAGDE
87.179.7.66p57B30742.dip0.t-ipconnect.de.3320DTAGDE
85.214.73.63anonymisierungsdienst.foebud.org.6724STRATODEanonymizer/tor
192.251.226.206anonymizer2.blutmagie.de.6805NO_ENTRIESDEanonymizer/tor
62.27.59.227NONE12312NO_ENTRIESDE
OLD195.214.79.22NONE15968NO_ENTRIESDE
213.239.215.61extremecold.ru.24940HETZNER-ASDE
OLD78.42.47.81HSI-KBW-078-042-047-081.hsi3.kabel-badenwuerttemberg.de.29562NO_ENTRIESDE
OLD62.141.58.13spftor2.privacyfoundation.de.31103NO_ENTRIESDEproxy
87.118.104.203spftor1.privacyfoundation.de.31103NO_ENTRIESDEproxy
93.186.171.177NONE31147NO_ENTRIESDE
91.65.6.4391-65-6-43-dynip.superkabel.de.31334NO_ENTRIESDE
188.93.8.150mars.lingo4u.de.34011NO_ENTRIESDE
OLD194.192.187.15m-x.dk.3292TDCDK
OLD83.89.217.820x5359d952.cpe.ge-1-1-0-1104.bynqu1.customer.tele.dk.3292TDCDK
OLD83.91.86.29NONE3292TDCDK
OLD200.25.135.149149.135.uio.satnet.net.14522SatnetEC
OLD90.191.234.113113.234.191.90.dyn.estpak.ee.3249ESTPAKEE
41.234.4.31host-41.234.4.31.tedata.net.8452TEDATAEG
41.238.75.245host-41.238.75.245.tedata.net.8452TEDATAEG
196.221.181.202NONE24835NO_ENTRIESEG
41.217.160.34NONE24863LINKDOTNET-ASEG
OLD83.36.198.244244.Red-83-36-198.dynamicIP.rima-tde.net.3352TELEFONICA-DATA-ESPANAES
85.85.181.7272.85-85-181.dynamic.clientes.euskaltel.es.12338NO_ENTRIESES
85.54.199.8080.pool85-54-199.dynamic.orange.es.12479UNI2ES
OLD217.149.155.195NONE15734NO_ENTRIESES
88.84.65.7NONE15734NO_ENTRIESES
91.152.70.126a91-152-70-126.elisa-laajakaista.fi.719NO_ENTRIESFI
OLD83.202.222.11AMontsouris-156-1-143-11.w83-202.abo.wanadoo.fr.3215FranceTelecomFR
OLD90.54.97.86ANantes-554-1-185-86.w90-54.abo.wanadoo.fr.3215FranceTelecomFR
OLD195.134.168.251NONE8497NO_ENTRIESFR
88.121.16.199s8z68-1-88-121-16-199.fbx.proxad.net.12322PROXADFR
213.30.189.66reverse.completel.net.12670NO_ENTRIESFR
OLD86.70.223.209209.223.70-86.rev.gaoland.net.15557LDCOMNETFR
188.165.12.112http6.alwaysdata.com.16276OVHFR
OLD94.23.201.45ns207180.ovh.net.16276OVHFR
62.190.39.205NONE702UUNETGB
86.152.202.39host86-152-202-39.range86-152.btcentralplus.com.2856NO_ENTRIESGB
OLD86.154.5.173host86-154-5-173.range86-154.btcentralplus.com.2856NO_ENTRIESGB
OLD86.155.122.216host86-155-122-216.range86-155.btcentralplus.com.2856NO_ENTRIESGB
86.159.221.195host86-159-221-195.range86-159.btcentralplus.com.2856NO_ENTRIESGB
86.169.235.51host86-169-235-51.range86-169.btcentralplus.com.2856NO_ENTRIESGB
86.174.102.77host86-174-102-77.range86-174.btcentralplus.com.2856NO_ENTRIESGB
82.16.102.87cpc2-cmbg9-0-0-cust598.5-4.cable.virginmedia.com.5089NTLGB
OLD82.41.59.130cpc2-sgyl8-0-0-cust897.sgyl.cable.virginmedia.com.5089NTLGB
OLD90.195.34.1605ac322a0.bb.sky.com.5607NO_ENTRIESGB
212.56.95.253mysteryfcm.plus.com.6871NO_ENTRIESGB
78.149.83.182NONE13285NO_ENTRIESGB
OLD79.103.75.24779.103.75.247.dsl.dyn.forthnet.gr.1241NO_ENTRIESGR
85.75.230.186athedsl-143131.home.otenet.gr.6799NO_ENTRIESGR
OLD210.6.70.131210006070131.ctinets.com.9269CTIHK-AS-APHK
OLD93.136.83.24193-136-83-241.adsl.net.t-com.hr.5391NO_ENTRIESHR
OLD78.134.229.21978.134.229.219-dsl.net.metronet.hr.35549NO_ENTRIESHR
OLD145.236.111.144dsl91EC6F90.pool.t-online.hu.5483NO_ENTRIESHU
OLD62.165.196.117IP-117.c-196.tvnetwork.hu.20845DIGICABLEHU
OLD199.203.92.238mered7-finjangw.ser.netvision.net.il.1680NO_ENTRIESIL
212.143.70.165NONE1680NO_ENTRIESIL
OLD79.178.131.27bzq-79-178-131-27.red.bezeqint.net.8551BEZEQ-INTERNATIONAL-ASIL
79.181.11.131bzq-79-181-11-131.red.bezeqint.net.8551BEZEQ-INTERNATIONAL-ASIL
77.124.145.20NONE9116NO_ENTRIESIL
87.68.70.18087.68.70.180.cable.012.net.il.9116NO_ENTRIESIL
87.70.86.117NONE9116NO_ENTRIESIL
OLD59.160.150.4959.160.150.49.static.vsnl.net.in.4755TATACOMM-ASIN
OLD59.93.78.49NONE9829BSNL-NIBIN
115.118.147.149115.118.147.149.static-ttsl-hyderabad.vsnl.net.in.10199TATA-ASIN
115.118.252.132115.118.252.132.static-mumbai.vsnl.net.in.10199TATA-ASIN
220.224.243.83NONE17803BSES-AS-APIN
115.252.105.100NONE18101RIL-IDCIN
122.164.104.101ABTS-TN-dynamic-101.104.164.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
122.164.26.129ABTS-TN-dynamic-129.26.164.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
122.164.31.31ABTS-TN-dynamic-031.31.164.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
122.164.95.140ABTS-TN-dynamic-140.95.164.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
122.165.53.117ABTS-TN-Static-117.53.165.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
OLD122.167.179.50ABTS-KK-Dynamic-050.179.167.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
OLD122.167.194.37ABTS-KK-Dynamic-037.194.167.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
122.169.95.33ABTS-mum-static-033.95.169.122.airtelbroadband.in.24560AIRTELBROADBAND-AS-APIN
87.11.184.27host27-184-dynamic.11-87-r.retail.telecomitalia.it.3269ASN-IBSNAZIT
87.13.223.119host119-223-dynamic.13-87-r.retail.telecomitalia.it.3269ASN-IBSNAZIT
OLD78.14.79.31dynamic-adsl-78-14-79-31.clienti.tiscali.it.8612NO_ENTRIESIT
78.14.80.118dynamic-adsl-78-14-80-118.clienti.tiscali.it.8612NO_ENTRIESIT
78.14.82.76dynamic-adsl-78-14-82-76.clienti.tiscali.it.8612NO_ENTRIESIT
78.14.83.162dynamic-adsl-78-14-83-162.clienti.tiscali.it.8612NO_ENTRIESIT
212.29.138.28host-28-138.29-212.enter.it.12850ASN-ENTERIT
93.39.197.6093-39-197-60.ip77.fastwebnet.it.12874FASTWEBIT
125.30.121.219219.121.30.125.dy.iij4u.or.jp.2497IIJJP
203.178.128.7belphegor-1.sfc.wide.ad.jp.2500WIDE-BBJP
203.178.143.167mammon.sfc.wide.ad.jp.2500WIDE-BBJP
121.92.105.194nttkyo606194.tkyo.nt.ftth.ppp.infoweb.ne.jp.2510INFOWEBJP
121.94.179.158nttkyo676158.tkyo.nt.ftth.ppp.infoweb.ne.jp.2510INFOWEBJP
164.71.1.146t1.fujitsu.co.jp.2510INFOWEBJP
164.71.1.147t2.fujitsu.co.jp.2510INFOWEBJP
164.71.1.148t3.fujitsu.co.jp.2510INFOWEBJP
164.71.1.149t4.fujitsu.co.jp.2510INFOWEBJP
192.51.44.10k0.fujitsu.co.jp.2510INFOWEBJP
192.51.44.13k3.fujitsu.co.jp.2510INFOWEBJP
192.51.44.18k8.fujitsu.co.jp.2510INFOWEBJP
192.51.44.19k9.fujitsu.co.jp.2510INFOWEBJP
210.131.75.80robot1.cab.infoweb.ne.jp.2510INFOWEBJProbot
210.131.75.81robot2.cab.infoweb.ne.jp.2510INFOWEBJProbot
210.131.75.82robot3.cab.infoweb.ne.jp.2510INFOWEBJProbot
210.131.75.83robot4.cab.infoweb.ne.jp.2510INFOWEBJProbot
210.131.75.84robot5.cab.infoweb.ne.jp.2510INFOWEBJProbot
OLD219.116.48.74ntszok079074.szok.nt.adsl.ppp.infoweb.ne.jp.2510INFOWEBJP
58.1.139.239nttkyo333239.tkyo.nt.ftth.ppp.infoweb.ne.jp.2510INFOWEBJP
119.240.213.124FL1-119-240-213-124.tky.mesh.ad.jp.2518MESHJP
119.242.52.109FL1-119-242-52-109.tky.mesh.ad.jp.2518MESHJP
122.135.145.157FL1-122-135-145-157.tky.mesh.ad.jp.2518MESHJP
122.135.164.187FL1-122-135-164-187.tky.mesh.ad.jp.2518MESHJP
125.192.112.110FLH1Ahu110.tky.mesh.ad.jp.2518MESHJP
125.195.50.124FLH1Aje124.tky.mesh.ad.jp.2518MESHJP
125.195.93.12FLH1Akn012.tky.mesh.ad.jp.2518MESHJP
60.237.181.199FLH1Ael199.tky.mesh.ad.jp.2518MESHJP
114.145.4.142p1142-ipbf5902marunouchi.tokyo.ocn.ne.jp.4713OCNJP
122.17.117.124p3124-ipbf2108marunouchi.tokyo.ocn.ne.jp.4713OCNJP
122.17.132.10p2010-ipbf2202marunouchi.tokyo.ocn.ne.jp.4713OCNJP
122.21.246.192p3192-ipbf2708marunouchi.tokyo.ocn.ne.jp.4713OCNJP
122.21.253.4p2004-ipbf2710marunouchi.tokyo.ocn.ne.jp.4713OCNJP
122.26.227.45p4045-ipbf2908marunouchi.tokyo.ocn.ne.jp.4713OCNJP
123.224.99.61p2061-ipbf3510marunouchi.tokyo.ocn.ne.jp.4713OCNJP
123.225.16.153p3153-ipbf4303marunouchi.tokyo.ocn.ne.jp.4713OCNJP
125.200.86.195p5195-ipbf906marunouchi.tokyo.ocn.ne.jp.4713OCNJP
61.123.230.221061123230221.cidr.odn.ne.jp.4725ODNJP
OLD61.12.150.166166.150.12.61.ap.gmo-access.jp.10013FBDCJP
219.3.138.6softbank219003138006.bbtec.net.17676GIGAINFRAJP
OLD202.172.28.100s99.coreserver.jp.37907DIGIROCKJP
61.32.46.3NONE3786ERX-DACOMNETKR
OLD121.129.201.42NONE4766KIXS-AS-KR-KRKR
OLD210.105.37.123NONE4766KIXS-AS-KR-KRKR
OLD222.112.143.129NONE4766KIXS-AS-KR-KRKR
61.73.43.30NONE4766KIXS-AS-KR-KRKR
OLD124.49.72.145NONE17858KRNIC-ASBLOCK-APKR
OLD78.57.6.1278-57-6-12.static.zebra.lt.8764NO_ENTRIESLT
OLD200.38.74.135na-200-38-74-135.static.avantel.net.mx.6503NO_ENTRIESMX
60.52.98.12652.60.in-addr.arpa.tm.net.my.4788TMNET-AS-APMY
85.17.130.250support.leaseweb.net.16265LEASEWEB_NetherlandsNL
OLD81.93.167.102nrm-sndbx02.osl.basefarm.net.25148NO_ENTRIESNO
120.89.55.33.55.89.120.ids.customers.eastern-tele.com.9658ETPI-IDS-AS-APPH
OLD80.54.117.13NONE5617TPNET_Polich_telecoms_commercial_IP_networkPL
82.177.23.30NONE20804NO_ENTRIESPL
83.68.75.7483.68.75.74.debica75.tnp.pl.21021NO_ENTRIESPL
OLD86.63.126.14786-63-126-147.sta.asta-net.com.pl.35191NO_ENTRIESPL
OLD89.180.176.8689-180-176-86.net.novis.pt.2860NO_ENTRIESPT
OLD89.180.176.86NONE2860NO_ENTRIESPT
92.80.116.167NONE9050RTDRO
92.80.121.16NONE9050RTDRO
92.80.76.129NONE9050RTDRO
92.80.81.98NONE9050RTDRO
92.86.197.202adsl92-86-197-202.romtelecom.net.9050RTDRO
194.102.94.245NONE9064NO_ENTRIESRO
93.112.79.244mobile-3G-dyn-BU-79-244.zappmobile.ro.21220TELEMOBILRO
93.112.91.3mobile-3G-dyn-BU-91-3.zappmobile.ro.21220TELEMOBILRO
89.41.179.39NONE30890NO_ENTRIESRO
94.53.2.1994-53-2-19.static.newcom.ro.35002NO_ENTRIESRO
188.240.47.2424.47.240.188.static.intovps.com.39758NO_ENTRIESRO
OLD91.199.104.1515.bitdefender.com.44418NO_ENTRIESRO
OLD77.46.208.14677-46-208-146.dynamic.isp.telekom.rs.8400NO_ENTRIESRS
90.150.237.5NONE6828NO_ENTRIESRU
83.229.245.130uvd.tomsk.ru.6854NO_ENTRIESRU
89.178.102.14589-178-102-145.broadband.corbina.ru.8402CORBINA-ASRU
95.25.207.2095-25-207-20.broadband.corbina.ru.8402CORBINA-ASRU
95.27.245.6295-27-245-62.broadband.corbina.ru.8402CORBINA-ASRU
212.152.47.173host47-173.pppoe.inetcomm.ru.15658INETCOMM-ASRU
212.152.49.227host49-227.pppoe.inetcomm.ru.15658INETCOMM-ASRU
OLD79.134.64.221host64-221.pppoe.inetcomm.ru.15658INETCOMM-ASRU
217.23.132.188node-188-132-23-217.caravan.ru.15756CARAVANRU
217.23.132.189node-189-132-23-217.caravan.ru.15756CARAVANRU
217.23.132.226node-226-132-23-217.caravan.ru.15756CARAVANRU
217.23.133.100node-100-133-23-217.caravan.ru.15756CARAVANRU
217.23.133.195node-195-133-23-217.caravan.ru.15756CARAVANRU
217.23.133.197node-197-133-23-217.caravan.ru.15756CARAVANRU
217.23.133.99node-99-133-23-217.caravan.ru.15756CARAVANRU
217.23.134.59node-59-134-23-217.caravan.ru.15756CARAVANRU
217.23.134.60node-60-134-23-217.caravan.ru.15756CARAVANRU
217.23.140.59node-217-23-140-59.caravan.ru.15756CARAVANRU
217.23.140.61node-217-23-140-61.caravan.ru.15756CARAVANRU
217.23.142.67mikesh.ru.15756CARAVANRU
217.23.143.146altermedia.ru.15756CARAVANRU
217.23.143.148altermedia.ru.15756CARAVANRU
217.23.143.149altermedia.ru.15756CARAVANRU
OLD80.92.107.7272-107-st.zelcom.ru.25272NO_ENTRIESRU
OLD84.52.118.133NONE25408NO_ENTRIESRU
84.42.39.75www.nanoav.ru.34267NO_ENTRIESRU
OLD195.88.252.11va.dev.drweb.com.49238NO_ENTRIESRU
188.49.125.90NONE25019SAUDINETSTC-ASSA
188.49.9.213NONE25019SAUDINETSTC-ASSA
188.50.119.45NONE25019SAUDINETSTC-ASSA
188.50.14.21NONE25019SAUDINETSTC-ASSA
188.50.72.250NONE25019SAUDINETSTC-ASSA
188.51.105.80NONE25019SAUDINETSTC-ASSA
188.51.11.225NONE25019SAUDINETSTC-ASSA
188.51.62.194NONE25019SAUDINETSTC-ASSA
188.51.7.172NONE25019SAUDINETSTC-ASSA
188.51.96.108NONE25019SAUDINETSTC-ASSA
188.52.12.78NONE25019SAUDINETSTC-ASSA
188.52.124.191NONE25019SAUDINETSTC-ASSA
188.52.25.179NONE25019SAUDINETSTC-ASSA
188.52.42.23NONE25019SAUDINETSTC-ASSA
188.52.77.127NONE25019SAUDINETSTC-ASSA
212.118.143.148212-118-143-148.saudi.net.sa.25019SAUDINETSTC-ASSA
212.215.206.44NONE25019SAUDINETSTC-ASSA
84.235.75.1984-235-75-19.saudi.net.sa.25019SAUDINETSTC-ASSA
87.109.186.85NONE25019SAUDINETSTC-ASSA
87.109.198.29NONE25019SAUDINETSTC-ASSA
87.109.65.250NONE25019SAUDINETSTC-ASSA
78.93.110.232NONE25233AWALNET-ASNSA
86.60.15.159NONE25233AWALNET-ASNSA
109.82.154.162NONE34400ASN-ETTIHADETISALATSA
109.83.102.58NONE34400ASN-ETTIHADETISALATSA
109.83.250.97NONE34400ASN-ETTIHADETISALATSA
212.162.130.92riy01che04.ae.net.sa.35388NO_ENTRIESSA
89.108.54.36NONE41176NO_ENTRIESSA
41.218.3.234NONE15706NO_ENTRIESSD
OLD213.115.201.4aker.lavasoft.com.2119TELENOR-NEXTELSE
95.105.173.253dial-95-105-173-253-orange.orange.sk.15962NO_ENTRIESSK
78.110.96.7proxy2.cec.sy.29256NO_ENTRIESSY
OLD88.246.118.245dsl88-246-30453.ttnet.net.tr.9121NO_ENTRIESTR
OLD140.115.83.203tseng.mgt.ncu.edu.tw.18420NCU-TWTW
OLD92.113.207.114114-207-113-92.pool.ukrtel.net.6849UKRTELNETUA
92.113.72.136136-72-113-92.pool.ukrtel.net.6849UKRTELNETUA
92.113.86.11-86-113-92.pool.ukrtel.net.6849UKRTELNETUA
94.178.65.3737-65-178-94.pool.ukrtel.net.6849UKRTELNETUA
OLD94.179.115.241241-115-179-94.pool.ukrtel.net.6849UKRTELNETUA
94.179.19.6565-19-179-94.pool.ukrtel.net.6849UKRTELNETUA
94.179.48.200200-48-179-94.pool.ukrtel.net.6849UKRTELNETUA
94.179.55.249249-55-179-94.pool.ukrtel.net.6849UKRTELNETUA
OLD95.133.117.128128-117-133-95.pool.ukrtel.net.6849UKRTELNETUA
95.133.146.219219-146-133-95.pool.ukrtel.net.6849UKRTELNETUA
95.133.23.171171-23-133-95.pool.ukrtel.net.6849UKRTELNETUA
95.133.23.221221-23-133-95.pool.ukrtel.net.6849UKRTELNETUA
95.133.8.238238-8-133-95.pool.ukrtel.net.6849UKRTELNETUA
95.134.160.1515-160-134-95.pool.ukrtel.net.6849UKRTELNETUA
94.153.104.25394-153-104-253-ab.gprs.kyivstar.net.15895NO_ENTRIESUA
77.47.188.8787.188.47.77.pptp.ntu-kpi.kiev.ua.25500NO_ENTRIESUA
OLD199.64.0.252tmpnat1.honeywell.com.125HI-NET-ASUS
128.111.0.0NONE131UCSB-NET-ASUSwepawet
128.111.48.151NONE131UCSB-NET-ASUSwepawet
OLD128.111.48.6NONE131UCSB-NET-ASUSwepawet
OLD128.111.48.95wepawet.cs.ucsb.edu.131UCSB-NET-ASUSwepawet
OLD192.35.222.209NONE131UCSB-NET-ASUS
149.5.168.2NONE174COGENT-PSI-1US
149.9.0.237NONE174COGENT-PSI-1US
OLD149.9.0.58NONE174COGENT-PSI-1US
38.103.37.245NONE174COGENTUS
38.105.71.115NONE174COGENTUS
130.76.32.16blv-proxy-03.boeing.com.196RISC-SYSTEMUS
130.76.54.187NONE196RISC-SYSTEMUS
174.19.99.218174-19-99-218.bois.qwest.net.209ASN-QWESTUS
63.83.186.67NONE701UUNETUS
204.118.31.201NONE1239SPRINTLINKUS
143.215.130.24winobot.gtisc.gatech.edu.2637GEORGIA-TECHUS
67.111.14.14767.111.14.147.ptr.us.xo.net.2828XO-AS15US
128.241.107.7NONE2914NTT-COMMUNICATIONS-2914US
198.65.166.200NONE2914NTT-COMMUNICATIONS-2914US
207.67.144.167NONE2914NTT-COMMUNICATIONS-2914US
209.59.50.192NONE2914NTT-COMMUNICATIONS-2914US
67.97.80.5sncdcpubfw_cluster.nai.com.3356LEVEL3US
OLD72.236.167.154NONE3356LEVEL3US
OLD8.6.118.7NONE3356LEVEL3US
OLD208.50.101.151NONE3549GBLXUS
OLD208.50.101.157NONE3549GBLXUS
216.33.229.163NONE3561SAVVISUS
OLD64.14.68.27server266.com.3561SAVVISUS
64.68.80.0/24NONE3561SAVVISUSgooglebot
64.68.81.0/24NONE3561SAVVISUSgooglebot
64.68.82.0/24NONE3561SAVVISUSgooglebot
64.68.83.0/24NONE3561SAVVISUSgooglebot
64.68.84.0/24NONE3561SAVVISUSgooglebot
64.68.85.0/24NONE3561SAVVISUSgooglebot
64.68.86.0/24NONE3561SAVVISUSgooglebot
64.68.87.0/24NONE3561SAVVISUSgooglebot
64.68.88.0/24NONE3561SAVVISUSgooglebot
64.68.89.0/24NONE3561SAVVISUSgooglebot
64.68.90.0/24NONE3561SAVVISUSgooglebot
64.68.91.0/24NONE3561SAVVISUSgooglebot
64.68.92.0/24NONE3561SAVVISUSgooglebot
OLD64.128.133.13164-128-133-131.static.twtelecom.net.4323TWTCUS
OLD64.128.133.18064-128-133-180.static.twtelecom.net.4323TWTCUS
OLD65.51.52.90canonbd0913.globalofficesuites.com.6128CABLE-NET-1US
OLD69.126.7.12ool-457e070c.dyn.optonline.net.6128CABLE-NET-1US
OLD64.124.203.7764.124.203.77.available.above.net.6461ABOVENETUS
OLD65.39.67.100dent.mbxip.com.6488AMUGUS
216.38.144.173NONE6994NO_ENTRIESUS
OLD216.38.144.175NONE6994NO_ENTRIESUS
24.128.146.21c-24-128-146-21.hsd1.ma.comcast.net.7015CCCH-AS2US
OLD71.192.32.59c-71-192-32-59.hsd1.ma.comcast.net.7015CCCH-AS2US
71.192.35.21c-71-192-35-21.hsd1.ma.comcast.net.7015CCCH-AS2US
12.54.227.250NONE7018ATT-INTERNET4US
OLD99.14.103.153ppp-99-14-103-153.dsl.ipltin.sbcglobal.net.7132SBIS-ASUS
99.173.3.100adsl-99-173-3-100.dsl.irvnca.sbcglobal.net.7132SBIS-ASUS
OLD99.189.52.191NONE7132SBIS-ASUS
99.189.54.161NONE7132SBIS-ASUS
208.118.60.154208-118-60-154.alchemy.net.7296NO_ENTRIESUS
208.118.60.155208-118-60-155.alchemy.net.7296NO_ENTRIESUS
70.98.34.147NONE7385IntegraUS
173.160.79.81173-160-79-81-atlanta.hfc.comcastbusiness.net.7725CCH-AS7US
74.208.16.163infong657.lxa.perfora.net.8560ONEANDONE-ASUS
OLD76.189.138.157cpe-76-189-138-157.neo.res.rr.com.10796RoadRunnerUS
OLD173.169.76.143cpe-173-169-76-143.tampabay.res.rr.com.10994RoadRunnerUS
24.199.184.123rrcs-24-199-184-123.midsouth.biz.rr.com.11426RoadRunnerUS
208.80.193.0network-208-80-193-0.as13448.com.13448WEBSENSEUSwebsense
208.80.193.27static-208-80-193-27.as13448.com.13448WEBSENSEUSwebsense
208.80.193.28static-208-80-193-28.as13448.com.13448WEBSENSEUSwebsense
208.80.193.29static-208-80-193-29.as13448.com.13448WEBSENSEUSwebsense
208.80.193.40static-208-80-193-40.as13448.com.13448WEBSENSEUSwebsense
208.80.193.42static-208-80-193-42.as13448.com.13448WEBSENSEUSwebsense
208.80.193.44static-208-80-193-44.as13448.com.13448WEBSENSEUSwebsense
208.80.193.45static-208-80-193-45.as13448.com.13448WEBSENSEUSwebsense
208.80.193.53static-208-80-193-53.as13448.com.13448WEBSENSEUSwebsense
208.80.193.54static-208-80-193-54.as13448.com.13448WEBSENSEUSwebsense
OLD208.80.193.55static-208-80-193-55.as13448.com.13448WEBSENSEUSwebsense
208.80.194.26static-208-80-194-26.as13448.com.13448WEBSENSEUSwebsense
208.80.194.27static-208-80-194-27.as13448.com.13448WEBSENSEUSwebsense
208.80.194.30static-208-80-194-30.as13448.com.13448WEBSENSEUSwebsense
208.80.194.31static-208-80-194-31.as13448.com.13448WEBSENSEUSwebsense
208.80.194.32static-208-80-194-32.as13448.com.13448WEBSENSEUSwebsense
208.80.194.34static-208-80-194-34.as13448.com.13448WEBSENSEUSwebsense
209.160.20.35NONE14361HOPONE-DCAUS
209.160.33.8NONE14361HOPONE-DCAUS
208.75.57.100ennui.lostinthenoise.net.14972NO_ENTRIESUS
OLD66.199.253.17866-199-253-178.reverse.ezzi.net.15149NO_ENTRIESUS
216.239.33.96NONE15169GOOGLEUSgooglebot
216.239.33.97NONE15169GOOGLEUSgooglebot
216.239.33.98NONE15169GOOGLEUSgooglebot
216.239.33.99NONE15169GOOGLEUSgooglebot
216.239.37.98NONE15169GOOGLEUSgooglebot
216.239.37.99NONE15169GOOGLEUSgooglebot
216.239.39.98NONE15169GOOGLEUSgooglebot
216.239.39.99NONE15169GOOGLEUSgooglebot
216.239.41.96NONE15169GOOGLEUSgooglebot
216.239.41.97NONE15169GOOGLEUSgooglebot
216.239.41.98NONE15169GOOGLEUSgooglebot
216.239.41.99NONE15169GOOGLEUSgooglebot
216.239.51.96NONE15169GOOGLEUSgooglebot
216.239.51.97NONE15169GOOGLEUSgooglebot
216.239.51.98NONE15169GOOGLEUSgooglebot
216.239.51.99NONE15169GOOGLEUSgooglebot
216.239.53.98NONE15169GOOGLEUSgooglebot
216.239.53.99NONE15169GOOGLEUSgooglebot
216.239.57.96NONE15169GOOGLEUSgooglebot
216.239.57.97NONE15169GOOGLEUSgooglebot
216.239.57.98NONE15169GOOGLEUSgooglebot
216.239.57.99NONE15169GOOGLEUSgooglebot
216.239.59.98NONE15169GOOGLEUSgooglebot
216.239.59.99NONE15169GOOGLEUSgooglebot
OLD64.233.172.18NONE15169GOOGLEUSgooglebot
72.14.192.1NONE15169GOOGLEUSgooglebot
72.14.193.67NONE15169GOOGLEUSgooglebot
72.14.194.1NONE15169GOOGLEUSgooglebot
74.125.74.196NONE15169GOOGLEUSgooglebot
74.125.75.4NONE15169GOOGLEUSgooglebot
OLD63.240.91.179NONE17232ATT-CERFNET-BLOCKUS
OLD71.179.3.141pool-71-179-3-141.bltmmd.fios.verizon.net.19262VZGNI-TRANSITUS
74.105.132.104pool-74-105-132-104.nwrknj.fios.verizon.net.19262VZGNI-TRANSITUS
66.168.80.3466-168-80-34.dhcp.kgpt.tn.charter.com.20115CHARTER-NET-HKY-NCUS
OLD97.80.137.11097-80-137-110.dhcp.gwnt.ga.charter.com.20115CHARTER-NET-HKY-NCUS
64.120.158.0NONE21788BurstNetUS
OLD64.120.158.12364-120-158-123.hostnoc.net.21788BurstNetUS
64.120.158.364-120-158-3.hostnoc.net.21788BurstNetUS
64.120.158.5764-120-158-57.hostnoc.net.21788BurstNetUS
64.120.158.7764-120-158-77.hostnoc.net.21788BurstNetUS
64.120.158.9664-120-158-96.hostnoc.net.21788BurstNetUS
174.133.89.00.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.7046.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.7147.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.7248.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.7349.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.744a.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.754b.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.764c.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.774d.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.784e.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.794f.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.8050.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8151.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8252.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8353.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.8454.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8555.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.8656.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8757.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8858.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
174.133.89.8959.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
OLD174.133.89.905a.59.85ae.static.theplanet.com.21844THEPLANET-AS2US
67.15.250.18ns1.siteground152.com.21844THEPLANET-AS2US
69.93.20.34go-dedicated.com.21844THEPLANET-AS2US
OLD70.84.211.98hexillion.com.21844THEPLANET-AS2US
OLD70.181.48.131ip70-181-48-131.ri.ri.cox.net.22773CCINET-2US
OLD72.192.165.221ip72-192-165-221.sd.sd.cox.net.22773CCINET-2US
OLD65.23.158.193ddos.runescapetube.com.22822LLNWUS
OLD38.229.0.75serv27-as05.iad01.cymru.com.23028NO_ENTRIESUS
72.37.244.76195ob.scansafe.net.25973MZIMAUSscasefe
216.17.247.47ip-216-17-247-47.rev.frii.com.26250NO_ENTRIESUS
69.163.129.35proty.dreamhost.com.26347DREAMHOST-ASUS
98.143.144.75hosted.by.pacificrack.com.29761OC3NETWORKSUS
OLD67.217.160.100place.holder.29944PULLTHEPLUGUS
OLD66.230.230.230NONE30217NO_ENTRIESUS
216.224.124.124tor-exit.aof.su.30490ETHRNUS
OLD129.62.100.70NONE30674NO_ENTRIESUS
129.62.185.238NONE30674NO_ENTRIESUS
98.223.73.83c-98-223-73-83.hsd1.in.comcast.net.33491NO_ENTRIESUS
204.14.90.25web5.fluidhosting.com.33552FLUIDHOSTINGUS
OLD24.4.75.188c-24-4-75-188.hsd1.ca.comcast.net.33651DNEO-OSP7US
68.50.103.11c-68-50-103-11.hsd1.va.comcast.net.33657NO_ENTRIESUS
192.8.109.71NONE36224NO_ENTRIESUS
173.244.197.210anonymizer2.torservers.net.36351SOFTLAYERUSanonymizer/tor
173.244.197.211anonymizer3.torservers.net.36351SOFTLAYERUSanonymizer/tor
216.239.45.4216-239-45-4.google.com.36384GOOGLE-ITUSgooglebot
OLD68.235.227.208208.227.235.68.dsl.brvdnc.dynamic.citcom.Net.46218NO_ENTRIESUS
190.0.135.87r190-0-135-87.su-static.adinet.com.uy.6057NO_ENTRIESUY
195.158.5.144mrtg.uzinfocom.uz.8193NO_ENTRIESUZ
OLD115.75.57.160adsl.viettel.vn.7552VIETEL-AS-APVN
OLD118.70.127.134mail2.bkav.com.vn.18403FPT-AS-APVN
192.168.0.0private

で、その後述ですが、

このリストを見てふと思い出したリストがあってそれとマッチングしてヒットしたものにOLDというフラグつけてます。

そのリストというのは一年以上前に、地下?コミュニティでやりとりされていた

「ハニーポットリスト」

の一つです。

ハニーポットを使ってbot/botnetをあぶり出そうぜの向こう側で、ハニーポットをあぶり出してやろうぜということが行われていました。たぶんもっと前から、そして今も。

で、そのリストの一つと今回のリストをマッチングさせた結果100%ヒットしました。

それ以外の部分については該当のリストを見つけることができなかったのですが、ハニーポットっぽくないもので目立つのが、

  • セキュリティ関連会社のシステム
  • クローラー
  • anonymizer関連(proxy/torなど)

です。

クローラー(googleとwebsense)を気にしてますかね。

これらに関しても世界には様々なリストがあるので、そういったものをつかっていのかもしれません。また、この結果からみても、リスト上のその他のアドレスもハニーポット、クローラーで利用されていた(る)可能性が高いアドレスだと思われます。

心当たりがありますか(・o・)ノ?


とりあえず国別にまとめてみました。

縦軸はリストにあったアドレス数です。

日本も割合的には多く、robot系、ホスティング、企業系とブロードバンドユーザー用のアドレスです。

心当たりがありますか(・o・)ノ?

このリストの精度が高いとすると、

どの国がボット解析や対策が進んでいるか?力を入れているか?を表すグラフとも言えるかも?

と思いましたが、マルウェアの蔓延度が高い国にハニーポットをたくさん設置して解析しているとも見えるので、

そうとも言い切れ無いですかね。


つぎにAS別にまとめてみました。

トップはseclabですね。


最近では、クローラー対策で、攻撃に利用されるURLそのもの以外のファイルを探りにくるようなアクセスに関して、アクセスログから情報を抽出してブラックリスト化するという「運用」も行われているようなので、デフォルトでついてくるこういったリスト以上に運用で利用されているリストの精度は高まっているかもしれません。

なので、不用意なクローリングやURL、ファイル名の曖昧検索的なクローリングは、このようなトラップに引っかかることになるので、注意が必要です。

また、ハニーポットホイホイ的な攻撃サイトもありそうですし、偽情報的なもので誘導して、ハニーポットやクローラを引っ張りだしているんじゃないか的なものもあるので(まだどれがどうかという確証得られてないです、、、)騙しあいです。

が、逆に考えると、日本中のアドレスをこういったブラックリストに載せさせれば、日本のアドレスは感染することがなくなるんじゃないかと思えたりします。まぁすべてのアドレスをそんなことにはできないので無理なわけですが。


ずーっと昔から日本のP2Pの世界?では、peerguardian2等を使って国、政府、捜査、企業等のリストを元に、調査、おとりや海外からの不正アクセスをフィルタするようなことが行われていたかと思うので、それにくらべれば普通かなと。

[カテゴリ:botnet観察日記]

by jyake