読者です 読者をやめる 読者になる 読者になる

すとらと!

あたまのメモ帳。ハムよりシングルが好きです

CentOSのGitをアップデート(2系に)する

f:id:cyamax:20170501232234p:plain:h150 苦戦したので自分用メモ。

CentOSyum installだと古いバージョン(1.8.x系)が入る

git commit -mgit -C ~~ をやろうとしたときにCentOSyum install gitで入手できるgitではバージョンが古く(1.8.x系)、上記オプションが使用できなかった。

これ以上新しいバージョンだとmakeしてインストールなど結構大変そうだったので、
比較的簡単だったIUSリポジトリからGit2系のインストールする方法のメモ。

Git2系をインストールする

対象

手順

バージョン確認

まずはバージョン確認。
git version 1.8.3などと表示されるはず。

git --version

古いgitのアンインストール

古いgitとバイバイする。

yum remove git

リポイトリの取得

CentOS7用のIUSのダウンロードページ から最新版のurlを取得してwgetします。

# 2017/05/01時点
wget https://dl.iuscommunity.org/pub/ius/stable/CentOS/7/x86_64/ius-release-1.0-15.ius.centos7.noarch.rpm

IUSのリポジトリの追加

# 2017/05/01時点
rpm -Uvh ius-release-1.0-15.ius.centos7.noarch.rpm

「-U」オプションでアップグレード。
「vh」オプションを付けると「#」でインストールの進捗を表示。

リポジトリ設定ファイルの変更

普通にyum installするときにIUSのリポジトリを参照させないようにenable=0とする。
設定ファイルは「/etc/yum.repos.d/ius.repo」にある。

[ius]
:(略)
- enabled=1
+ enabled=0

インストール

あとはいつも通りインストール。 2系はgit2uという名前で入れるらしい。

yum install git2u --enablerepo=ius

2系になっているか確認。

git --version

その他

普段gitを使わないので、使うときによくコマンドを忘れる。

「RayBan」を装った迷惑メールを調査してみた

前回に引き続き今回はレイバンを装ったなりすまし迷惑メールを調査してみます。

cyamax.hateblo.jp

数えてみると2017年の2月下旬から4月下旬の間に10通届いていました。

f:id:cyamax:20170427221710p:plain:w320

すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!

この日本語に騙されて購入してしまう人がいるのかは謎ですが、
なぜか引き込まれる日本語ですね!

以前TwitterFacebookで流行った知り合いからのレイバン広告メッセージはCSRF(クロスサイトリクエストフォージェリ)ではなく、
単にパスワードの総当たり攻撃で乗っ取られたアカウントのようです。

今回はメールが直接届いているので、前回とは手法が違います。

メールの情報を見てみる

f:id:cyamax:20170427222616p:plain

X-mailer: Foxmail 6, 13, 102, 15 [cn]

送信者が使ったメーラーは「Foxmail」という中国産のソフトのようです。

また送信者のタイムゾーンも+0800なので、 今回も中国人の可能性がでてきました。

This is a multi-part message in MIME format.を使って二つのプレーンテキストとHTMLテキストの2つの内容になっているので一つずつ見ていきます。

テキストメールの場合

前回のLINEのなりすましメールとは違って、 charset=“utf-8"になっていました。 まずはデコードしてみます。

レイバンのサングラス,80%の割引,まもなく終了!
お見逃しな。今日限り活動特価2499円!
利用期限は本日23時59分まで!
https://bit.ly/2oD1Ozg
三つを買うなら、配達無料、貴族の品質+100%品質保証
すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!
©Msn.Co. Inc.. All Rights Reserved.

URLの部分はbit.lyなので特にそのままですね。

HTMLメールの場合

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 10.00.9200.17429"></HEAD>
<BODY>
<P><FONT color=red><STRONG>レイバンのサングラス</STRONG></FONT>,80%の割引,<STRONG><FONT 
color=blue>まもなく終了</FONT></STRONG>!</P>
<P>お見逃しな。今日限り活動特価<STRONG><FONT color=red>2499円</FONT></STRONG>!</P>
<P>利用期限は本日23時59分まで!</P>
<P><A href="https://bit.ly/2oD1Ozg"><STRONG><FONT 
size=4>https://bit.ly/2oD1Ozg</FONT></STRONG></A></P>
<P>三つを買うなら、配達無料、貴族の品質+100%品質保証</P>
<P><FONT color=blue><STRONG>すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!</STRONG></FONT></P>
<P><STRONG>©Msn.Co. Inc.. All Rights 
Reserved.</STRONG><STRONG></STRONG></P></BODY></HTML>

HTMLメールも特に変な部分はなさそうです。

メタデータの部分 を調べてみると昔販売されたHP作成ソフトらしく謎ですが今回はスルーします。

サイトにアクセスしてみる

f:id:cyamax:20170427223921p:plain
URLがbit.lyで短縮されているので、まずは元に戻してみます。
bit.lyのURLの末尾に「+」を追加することで
短縮前のアドレスとアクセス数情報がみれます。
f:id:cyamax:20170427222434p:plain

bit.lyの情報を見るとこのメールだけでも3000回以上アクセスがあるようです。

サイトのURLをwhoisで見てみると、Bizcn.com,Inc.という中国の会社が登録していました。
レイバンの迷惑メールはここ2ヶ月ほど定期的に届いていたのですが、
調べて見るとどれもURLが異なりますが、最終的にアクセスするサーバ(IPアドレス)は一緒でした。

どうやらドメインを定期的に新しく登録して詐欺扱いになったドメインは削除しているようです。

サイト構成

f:id:cyamax:20170427222342p:plain
普通のサイトに見えますが、やはり細かいところが色々おかしいです。
ただ前回 のLINEフィッシングサイトに比べると手の込んだ作りになっています。

f:id:cyamax:20170427223439p:plain

phpinfo

アドレスを見るとPHPで作ってあるようなのでphpinfoが見えるか試して見ます。
f:id:cyamax:20170427222411p:plain
見えてしまいました。 これ以上は止めておきます。

対策

どうやら私の個人メールアドレスがどこからか漏れた可能性が高いです。
i.softbank.jpあてに届くのでソフトバンクのマイページで以下設定をしてみましたが、まだレイバンの迷惑メールは届いています。

  • 迷惑メールフィルタを「強」
  • なりすまし拒否「利用中」
    ※他の設定は届いて欲しいメールも届かなくなりそうだったので設定できない

受信しないようにするにはアドレスを変更するか、メーラで個別設定をする必要がありそうです。

まとめ

  • メールヘッダやドメインの登録者情報などから今回も中国人犯行の可能性が高い結果となりました。
  • サイトは結構作り込まれているので、なりすましメールの本文やサイト内の日本語がちゃんとしていたらもっと騙される人が増えそうです。
  • 「LINEのなりすまし」の犯人とは共通点が少なく関係がなさそうです。

レイバン スパム」で検索すると、偽サイトと分かりながら興味本位で購入した強者もいるようで、そちらも見てみると面白いかもしれません。

「LINE安全認証」を装った迷惑メールを調査してみた

最近やたら迷惑メールが届くので、少し調査してみました。

今回調査したメールはこちら。

f:id:cyamax:20170423231101p:plain:w320
一見 LINEアカウントに異常ログインがあった通知のように見えますが、
LINE株式会社からのメールを装った詐欺・なりすましメールであり、
リンクにアクセスすると本物に似せて作った偽サイトが出てきます(フィッシング詐欺)。

メールの情報を見てみる

ソフトバンクiphone用アドレス宛て(@i.softbank.jp)にメールが届いていたので、
解析のためまずはPCからメールを見れるようにします。
Macメーラーの場合、メッセージからソースを表示します。

f:id:cyamax:20170423234409p:plain

メールヘッダを見る

Receivedの値を見るとfaq.netというサーバからメールが送られたようです。 アクセスしてみると外国のドメイン売買サイトでした。 whoisで調べるとGRAND CAYMAN City(イギリス)と出てきました。

やはりlineとは関係なさそうです。

また送信者の送信時間がUTC+0800となっていました。
日本の場合UTC+0900が普通ですが、送信者は経度120度にある国にいる可能性がわかります。

それ以外にも以下のようなパラメータがヘッダに記載されていました。

X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

上記の値は送信者がメーラ「OutlookExpress」を使用した場合に自動で付与されるようです。

本文を見る

ソースを見るまで知らなかったのですが、 受信した相手がテキストでメールを見るか、htmlでメールを見るかで メールに表示させる本文を変えれるようです。

This is a multi-part message in MIME format.

テキストメールの場合

一つ目はテキストで見ている人用。

Content-Type: text/plain;
    charset="gb2312"
Content-Transfer-Encoding: base64

pKq/zZiUpM5MSU5FpaKlq6WmpfOlyKTLrpCzo6XtpbClpKXzpLWk7KS/pLOkyKSspKKk6qTepLek
v6GjpKq/zZiUpM6loqWrpaal86XIpM6wssirpM6kv6ThpMuhoqWmpael1qXaqWCluKTHl8rUXqS3
pMakqu6KpKSkt6TepLmhow0KDQoNCqSzpMGk6aTOVVJMpPKlr6XqpcOlr6S3pMakr6TApLWkpKGj
sLLIq9VK1F4gDQoNCnd3dy5saW5lLm1lDQoNCg0KDQqh+VVSTKTOsLLIq9VK1F7T0IS/xtrP3qTP
mrDI1TmVcqSrpOkyMJVypN6kx6THpLmhow0KDQpMSU5FDQpMSU5FIENvcnBvcmF0aW9u

ここで注目すべきは「charset=“gb2312”」です。
gb2321は中国語の簡体字文字コードを表す文字コードです。
下の暗号のような部分は本文をBASE64エンコードされているのでデコードします。

デコードはBASE64エンコード - UICなどいろんなサイトで簡単にデコードできます。 このとき入力文字コード簡体字中国語GB2321でデコードしてみます。
すると当たり前ですが綺麗にデコードされて本文が出てきました。
以下の文がテキストメールで受け取った場合の本文になります。
この内容では特に害はありません。

お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。
こちらのURLをクリックしてください。安全認証 
www.line.me
※URLの安全認証有効期限は毎日9時から20時までです。
LINE
LINE Corporation

htmlメールの場合

二つ目はhtmlの場合です。

Content-Type: text/html;
    charset="gb2312"
Content-Transfer-Encoding: base64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0aW9uYWwv
L0VOIj4NCjxIVE1MPjxIRUFEPjxUSVRMRT6kqr/NmJSkzkxJTkWloqWrpaal86XIpMuukLOjpe2l
sKWkpfOktaTspL+ks6TIpKykoqTqpN6kt6S/PC9USVRMRT4NCjxNRVRBIGNvbnRlbnQ9InRleHQv
aHRtbDsgY2hhcnNldD1nYjIzMTIiIGh0dHAtZXF1aXY9Q29udGVudC1UeXBlPg0KPE1FVEEgbmFt
ZT1HRU5FUkFUT1IgY29udGVudD0iTVNIVE1MIDkuMDAuODExMi4xNjQ0MCI+PC9IRUFEPg0KPEJP
RFk+DQo8UD6kqr/NmJSkzkxJTkWloqWrpaal86XIpMuukLOjpe2lsKWkpfOktaTspL+ks6TIpKyk
oqTqpN6kt6S/oaOkqr/NmJSkzqWipaulpqXzpcikzrCyyKukzqS/pOGky6Gipaalp6XWpdqpYKW4
pMeXytRepLekxqSq7oqkpKS3pN6kuaGjPEJSPjxCUj48QlI+pLOkwaTppM5VUkyk8qWvpeqlw6Wv
pLekxqSvpMCktaSkoaOwssir1UrUXiANCjwvUD4NCjxQPjxCUj48QSANCmhyZWY9Imh0dHA6Ly93
d3cuc25yYXYuY24iPnd3dy5saW5lLm1lPC9BPjxCUj48QlI+PEJSPjxCUj6h+VVSTKTOsLLIq9VK
1F7T0IS/xtrP3qTPmrDI1TmVcqSrpOkyMJVypN6kx6THpLmhozxCUj48QlI+TElORTxCUj5MSU5F
IA0KQ29ycG9yYXRpb248L1A+PC9CT0RZPjwvSFRNTD4NCg==

一つ目と同じくデコードして見ます。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>お客様のLINEアカウントに異常ログインされたことがありました</TITLE>
<META content="text/html; charset=gb2312" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 9.00.8112.16440"></HEAD>
<BODY>
<P>お客様のLINEアカウントに異常ログインされたことがありました。お客様のアカウントの安全のために、ウェブページで検証してお願いします。<BR><BR><BR>こちらのURLをクリックしてください。安全認証 
</P>
<P><BR><A 
href="http://www.なりすましサイト.cn">www.line.me</A><BR><BR><BR><BR>※URLの安全認証有効期限は毎日9時から20時までです。<BR><BR>LINE<BR>LINE 
Corporation</P></BODY></HTML>

上記のようにhtml形式のメール本文が見えてきました。 この本文で注意したいのが

<A href="http://www.なりすましサイト.cn">www.line.me</A>

でメール本文ではwww.line.meと公式サイトのURLに飛びそうな感じですが、
実際は「なりすましサイト.cn」にアクセスさせようとしています。
※念のため本記事に直接なりすましサイトのURLを記載するのは控えています

また、.cnは中国ドメインです。 文字コードgb2321や.cnドメインのサイトからなりすましの相手は中国人の可能性が高くなってきました。

「なりすましサイト.cn」を同じようにwhois検索すると中国のIT会社の名前が出てきましたがここでの言及は控えます。

なりすましサイトを見てみる

一応Chromeのシークレットモードでアクセスしてみます。 メール下部のURLにアクセスすると以下のような警告画面が出ます。
f:id:cyamax:20170423231302p:plain:w320

なりすましの報告がされたサイトはブラウザ側でブロックされるようです。 今回は調査のため次に進みます。

すると以下のようなサイトが表示されました。 本物のサイトと比較すると若干雑ですが、似ています。
調査後この記事を書いている間にサイトにアクセスできなくなりました。 スクリーンショットを先に撮っておけばよかった・・・。
接続元IPでブロックをかけられたようです。

偽サイトにアドレスを入れてみる

ログイン画面から存在しないメールアドレスとパスワードと入力してみました。 もちろんLineの偽サイトなのでログインできるわけないですが、
こうしてアカウント情報を奪取しているようです。

htmlのソース内コメントにも中国語を発見しました。

収穫

  • 今回のメール送信者・サイトの運営者・作成者は中国人の可能性が高い。
  • 今回のメールの送信者はWindowsを使っており、OutlookExpressからメールを送信している可能性が高い。
  • 中国全土の時刻はどこでもUTC+0800で統一しているので、経度から住んでいる位置は把握できなかった。
  • 一度アクセスしてきたIPアドレスは2回目以降のアクセスをブロックしている可能性がある。

その他

ブラウザ側が怪しいサイトだよと教えてくれていますが、
サイトによっては警告が出ない場合もあります。
本記事を真似て不用意に怪しいサイトにアクセスするのは危険です。
仮にアクセスする場合は自己責任で行い、当方は義務/責任を何ら負いません。

追記

2017/04/24 記事を書いていたときはIPアドレスでブロックされていますという内容のページが出ていましたが、
本日ページにアクセスするとサイトごとなくなっていました。