cNotes 検索 一覧 カテゴリ

Twitter.comのドメインハイジャック

Published: 2009/12/20

作成 2009/12/19
追記、修正 2009/12/20

ニュースにもありますように「Iranian Cyber Army」に乗っとられたそうで。

ドメインハイジャックですね。

twitter.comに関連する下記のサブドメインが通常とは違うアドレス応答していたことを確認してます。

(追記)twitter.comだけじゃなかったみたい。APIとかMXとかに関連するサブドメインもまとめてハイジャックされてたってことですね、なんか気持ち悪い、、、、、

 twitter.com
 www.twitter.com
 m.twitter.com
 static.twitter.com
 api.twitter.com
 apiwiki.twitter.com
 mx00*.twitter.com (*は数字)

たとえばtwitter.comは通常はこんなアドレスなんですが、

 128.121.146.100
 128.121.146.228
 128.121.243.228
 168.143.171.84
 168.143.161.20
 168.143.162.52
 168.143.162.68
 168.143.162.36
 168.143.162.100
 168.143.162.116

短時間ですが別のアドレスが応答されていました。時差はキャッシュの影響受けたか?

 74.217.128.160
 
 twitter.comは2009/12/18 15時から16時頃の1時間程度 
 
 mx00*.twitter.comやapi.twitter.comは17時頃まで。
 static.twitter.comやm.twitter.comは18時頃まで。
 
 バーチャルホスティングのはずだが他のドメインでもアクセスできない。
 66.147.242.88
 
 このアドレスが使われたのはtwitter.comのみで2009/12/18 16時から数分程度?
 
 現在はバーチャルホスティングのコンパネが見えるだけ。

各アドレスの詳細情報。

 CustName:   Netfirms
 Address:    5160 Yonge St.
 City:       Toronto
 StateProv:  ON
 PostalCode: M2N-6L9
 Country:    CA
 RegDate:    2008-07-08
 Updated:    2008-07-08 
 
 NetRange:   74.217.128.0 - 74.217.129.255 
 CIDR:       74.217.128.0/23 
 NetName:    INAP-TOR001-NETFIRMS-23422
 NetHandle:  NET-74-217-128-0-1
 Parent:     NET-74-217-0-0-1
 NetType:    Reassigned
 Comment:    
 RegDate:    2008-07-08
 Updated:    2008-07-08
 OrgName:    Bluehost Inc. 
 OrgID:      BLUEH-2
 Address:    1958 South 950 East
 City:       Provo
 StateProv:  UT
 PostalCode: 84606
 Country:    US
 
 NetRange:   66.147.240.0 - 66.147.255.255 
 CIDR:       66.147.240.0/20 
 OriginAS:   AS11798
 NetName:    BLUEHOST-NETWORK-4
 NetHandle:  NET-66-147-240-0-1
 Parent:     NET-66-0-0-0-0
 NetType:    Direct Allocation
 NameServer: NS1.BLUEHOST.COM
 NameServer: NS2.BLUEHOST.COM
 Comment:    
 RegDate:    2008-05-05
 Updated:    2008-05-05

目的は改竄サイトへの誘導?

特に偽サイトを準備していたわけでもなさそうなので100%言い切れませんがアカウント情報収集目的では「ない」ですよね。

でもやろうと思えば簡単にできてしまうってことですね。

(追記)apiとかその他もまとめてハイジャックされてましたから、なんとも気持ち悪い。。。。まぁまとめてドメイン情報書き換えただけかもしれませんけど。

[カテゴリ:DNS観察日記]

by jyake