facebookを利用したスパム
Published: 2009/10/13
スパムネタが続きますが、、、、、
facebookに広告ページを準備してそこに誘導するタイプのスパムです。
こんなURLが使われます。
www.facebook.com/notes.php?id=xxxxxxxxxxxxxx
いつものお薬系です。
ning.comを利用したスパムとかfriendster.comを利用したスパムのバリエーションですね。
これはボット(ハニーポット)を利用して送信しようとするスパムを観測した結果ですが、中身からも想像がつくとおりこれらのスパムは同じボットから同時に送出されています。
ただ、中身によってボットを踏み台にしようとする送り元のIPが違うみたい。
facebookとlivejournal系はこのIPからボットを踏み台に、
89.149.227.200
inetnum: 89.149.226.0 - 89.149.227.255 netname: NETDIRECT-NET descr: netdirekt e.K. remarks: INFRA-AW country: DE admin-c: WW200-RIPE tech-c: SR614-RIPE status: ASSIGNED PA mnt-by: NETDIRECT-MNT mnt-lower: NETDIRECT-MNT mnt-routes: NETDIRECT-MNT changed: technik@netdirekt.de 20070213 source: RIPE
Windows live spaceとning系はこのIPからボットを踏み台に、
85.17.239.22
inetnum: 85.17.239.0 - 85.17.239.255 netname: LEASEWEB descr: LeaseWeb descr: P.O. Box 93054 descr: 1090BB AMSTERDAM descr: Netherlands descr: www.leaseweb.com remarks: Please send email to "abuse@leaseweb.com" for complaints remarks: regarding portscans, DoS attacks and spam. remarks: INFRA-AW country: NL admin-c: LSW1-RIPE tech-c: LSW1-RIPE status: ASSIGNED PA mnt-by: OCOM-MNT changed: ripe@leaseweb.com 20080123 source: RIPE
このIP自体がさらに踏み台かボットという可能性もありますが、、、
まぁでも根っこは同じスパマーですね。きっと。
by jyake