ytooyamaのブログ

サーバ構築とか、仕事で発見したこととか、趣味のこととかを書いています。

急増する「薬屋さん」系スパム

最近、会社の共用アドレス経由で薬屋さん系のスパムがかなり来ています。
共通点は本文の最後のこのフッダです。

©2010 the Media. All Rights Reserved.


■メール例(1)
差出人: Online Pfizer Inc.
件名: xxx@xxx.xxx "BEST PRICE" 09% OFF!
Content-Type: text/html; charset="ISO-8859-1"

画像リンク
ttp://gib.memedicgrugsd.ru/

本文リンク
ttp://gib.memedicgrugsd.ru/
ttp://mtf.memedicgrugsd.ru/
:
(略)
:
ttp://bxi.memedicgrugsd.ru/
ttp://qqq.memedicgrugsd.ru/

■digコマンドの実行例(1)
; <<>> DiG 9.6.0-APPLE-P2 <<>> gib.memedicgrugsd.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6449
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;gib.memedicgrugsd.ru. IN A

;; ANSWER SECTION:
gib.memedicgrugsd.ru. 300 IN A 188.95.159.88

;; AUTHORITY SECTION:
memedicgrugsd.ru. 345599 IN NS ns2.dnssubmit.com.
memedicgrugsd.ru. 345599 IN NS ns1.dnsonic.com.


■メール例(2)
別メール(ただし、内容一緒)
画像リンク
ttp://rvh.medicshopwbd.ru/

本文リンク
ttp://xyw.medicshopwbd.ru/
:
:

■digコマンドの実行例(2)
; <<>> DiG 9.6.0-APPLE-P2 <<>> rvh.medicshopwbd.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23056
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1

;; QUESTION SECTION:
;rvh.medicshopwbd.ru. IN A

;; ANSWER SECTION:
rvh.medicshopwbd.ru. 300 IN A 109.196.142.11

;; AUTHORITY SECTION:
medicshopwbd.ru. 345600 IN NS ns2.dnssubmit.com.
medicshopwbd.ru. 345600 IN NS ns1.dnsonic.com.

;; ADDITIONAL SECTION:
ns1.dnsonic.com. 207 IN A 109.196.142.12

メールに設定されているリンク先URLは異なっていますが、以下のDNSを参照している点がどのメールでも共通していることが分かりました。
;; ANSWER SECTION:
ns2.dnssubmit.com. 300 IN A 109.196.142.11
;; ANSWER SECTION:
ns1.dnsonic.com. 233 IN A 109.196.142.12

[追記]
正体を現しました。
$ dig gxh.medicshoperque.ru
(中略)
;; ANSWER SECTION:
gxh.medicshoperque.ru. 300 IN A 109.196.142.11

;; AUTHORITY SECTION:
medicshoperque.ru. 338609 IN NS ns1.dnsonic.com.
medicshoperque.ru. 338609 IN NS ns2.dnssubmit.com.

;; ADDITIONAL SECTION:
ns2.dnssubmit.com. 300 IN A 109.196.142.11
ns1.dnsonic.com. 300 IN A 109.196.142.12

上記を見ると、ns2.dnssubmit.com(DNS)とgxh.medicshoperque.ru(www)は、同じサーバーで動いているのが分かります。こいつが悪意のあるサーバーの一つであるっぽいですね。

ということで、109.196.142.11と109.196.142.12を規制すれば、とりあえず嫌な思いをすることはないようです。