cNotes 検索 一覧 カテゴリ

CBLの登録を削除しようとするボット

Published: 2008/06/27

以前、自分自身のIPアドレスが各種ブラックリストに登録されていないか自動チェックするボットのことを書きましたが、その系譜上のものですかね。ボットがCBLに登録されている自分のIPアドレスを削除しようとします。6/26の6:00ごろから観測されています。

以下のようなリクエストを飛ばして登録されている自分のアドレスの削除要求を出します。

 http://cbl.abuseat.org/lookup.cgi
 http://cbl.abuseat.org/lookup.cgi?ip=xxx.xxx.xxx.xxx&submit=Lookup 
 http://cbl.abuseat.org/remove.cgi?ip=xxx.xxx.xxx.xxx

画面にしてみると、lookupした結果はこうなって、

削除要求をだすとこうなるが、

そこを抜けてここまでたどり着いています。

で実際にどうなったかというと、たぶん"まだ削除されていません"。

CBLさん的にもこれらのIPアドレスは「DDoS Spam Trojan」と認識されているようで。正解!だからそれを削除しようとする機能なわけですが。

このボット&ボットネットの一連の動作として、しばらくしてからスパム送信を始めだすものもいるようです。登録解除されたタイミングなのかどうかは調査中です。このボット&ボットネットはメール関連の動作しかしないので、完全にspam botですね。

いつものごとく「数打つちゃ、そのうち」的な発想でしょうから、これはこれで十分効果があるのは実証済みの手法でしょう。費用対効果を考えてもこの程度のつくりで十分効果が期待できるのでしょう。

こんなメッセージが表示されてますが、まさか数時間後に許容しないですよねCBLさん。

 This request should take less than an hour to complete, however it may take  
 several more hours before servers that use the CBL will start accepting your 
 mail

[カテゴリ:botnet観察日記]

by jyake