  |
はてなキーワード: Whoisとは
寝てる間に一晩で41個も来やがった。
全部違うIPアドレスから送信されてる。2、3個whoisしてみたけどだいたい中国のアドレスやね。
5.55.74.139
21.195.147.195
21.63.191.225
34.188.124.138
42.84.66.85
43.91.200.132
46.205.62.158
48.225.245.144
59.228.118.102
67.124.123.190
73.35.168.198
87.81.13.142
110.54.41.51
111.248.65.13
135.81.128.171
146.251.0.221
159.36.225.89
163.65.161.151
188.34.45.38
221.52.65.62
236.227.111.220
237.115.3.85
250.223.61.241
251.212.89.157
252.34.168.205
...て書いてるうちに、もう一個同じ文面のヤツが来てワロタw
退利息てなんやねん。
---追記250613 13:40---
32.236.208.50
48.178.231.184
101.241.138.21
108.73.232.100
119.0.180.21
122.120.153.56
122.97.194.218
135.121.168.94
154.215.143.205
184.200.154.222
195.118.116.35
253.63.123.39
さらに14個増えてた。しつけーなー
27.29.157.113
40.236.184.123
82.129.118.51
110.82.142.6
113.110.41.145
117.26.228.135
117.94.121.63
120.43.34.227
131.101.25.144
182.38.127.170
186.96.36.160
221.225.59.15
身体を壊して先日ちょっと入院していたのだが、病院内ではWiFiが提供されていたので、消灯時間外の日常生活アクセスはそれのお世話になっていた。消灯時間は夜9時から朝6時までだ。
事前に「入院生活にそぐわないサイトには接続できません」という告知が為されていたので、覚悟の上で使ったのだが、Webアプリ開発者としての業務に必要なサイトとかも禁止されていたので、ここにメモしておく。
通信が禁止されていると思われるサイトに接続すると、ブラウザ側ではタイムアウトのエラーとして表示される。もちろん、それなりに待たされる。ブラウザの開発ツールの様子を見るに、おそらく TCP handshake に失敗していそう。
正常に接続できるサイトの様子を見た範囲では、HTTPS接続の証明書改ざんは行われていないようだったことから、HTTPSの暗号を解読してどうのこうの、という処理をしていない可能性が非常に高い。つまり、通信制限は接続先ドメインまたはIPアドレスによる判断で実施している可能性が高い。
また、中間的なサイトも存在する。通常2秒以内で表示できるようなサイトの表示に10秒(体感)かかるところがある。稀にタイムアウトする。
謎なのは、通信が禁止されていそうなサイトでも「待たされた挙句、つながることが非常に稀にある」ということと、curl等ではすんなりと接続できることである。
DNS設定と一緒にproxy設定が落ちてきているのであればこの挙動も理解できるのだが、手元のOSのネットワーク設定にはproxy情報が何も出てこない。ちょっとよくわからない。
もしもDNSに対するAレコード(AAAAも?)問い合わせに対してニセモノを返すという仕組みで通信制限しているのだとしたら、「非常に稀につながる」挙動にはならないはずなので、透過型proxyによって頑張っているのではないかと想像するところである。
なお、消灯時間中は全てのリクエストがタイムアウトになる。消灯時間開始直前に HTTP Request を送出して、応答が来る頃には消灯時間に入っている場合にはどういう挙動をするのか、というテストをやる暇は無かった。スマソ
業務で使う全部のサイトを検証できた訳じゃなくてゴメンね。結局のところ仕事は携帯回線でやっちゃったから。
| ドメイン | サイトの概要 | 接続の様子 |
|---|---|---|
| hatelabo.jp | はてなの実験的サービス置き場 | すんなり |
| anond.hatelabo.jp | 増田 | 禁止 |
| ??????.hatenablog.jp | はてなブログのドメインの一つ、そして増田の中の人のブログ | 遅い |
| console.aws.amazon.com | AWSの管理コンソール | 禁止 |
| www.amazon.co.jp | ショッピング | めちゃくちゃ遅いけどつながる |
| www.amazon.com | ショッピング | めちゃくちゃ遅いけどつながる |
| ja.wikipedia.org | 百科事典 | 禁止 |
| www.php.net | プログラミング言語PHP | 禁止 |
| www.typescriptlang.org | プログラミング言語TypeScript | すんなり |
| stackoverflow.com | プログラミング質問サイト(英語) | すんなり |
| qiita.com | プログラミング質問サイト(日本語) | 禁止 |
| packagist.org | PHPのパッケージ管理 | 遅い(通常通り?w) |
| www.npmjs.com | JSのパッケージ管理 | すんなり |
なお、自分のドメインのサブドメインに禁止ドメインを入れたようなもの、例えば anond.hatelabo.jp.example.com のようなドメインに対する接続可否は検証していない(面倒だったw)
サーバ目線で見える client IP をwhois等で調べると、某F社さんだった。AWS管理コンソールへの接続を禁止するあたり「あっ…!」と思ったり…w
そのままなURLでした
Google Domains - fujiyamatimes.com
Google Domains - ginzadaily.com
何故Whois?と思われた方。ドメインの取得日時、Registry Domain IDが非常に近いので、おそらく短時間でまとめて取得したのでしょう。
周辺を掘ってみれば何か見つかるかも?
https://note.com/wnyaosuke/n/n19a292e4d468
のチェック。
https://twitter.com/mph_for_doctors/status/1414868843013443589
以下は全てGoogle検索とTwitter検索に基づく内容で、誰でも調べられる内容であり、大したことはないがまとめておく。
このサイトは567no.jp という汎用JPドメインで運営されており、コピーライトは「©2021 日本国公式文書より. All Rights Reserved.」となっている。当然だが厚生労働省のサイトでも日本国政府のサイトでもない。
サイト自体はGMOペパボ社が運営するGoopeというサービスを利用して作成されている。
Whois公開情報は代行により伏せられており、GMOペパボ社・Goopeのものとなっている。
さすがに誰でもわかっていると思うがGMOペパボが作成したサイトというわけではないので要注意。
「GMOペパボが自らワクチン批判を流した!」とか突撃するのはやめような。
Whoisを伏せているとはいえ、Twitterを探してみると、作者と思わしきアカウントが「枠チンバトルしてるパパさんママさん向けにサイト立ち上げました」としてツイートしており、特に運営者を隠しているわけではない模様。
このアカウントwarara_morimoto氏のプロフィール欄にも567no.jpが記載されている。このアカウントの過去のツイートを読む限り、氏は以前からワクチン反対・マスク反対を掲げている人物で、ケーキ店を経営しているようである。
https://twitter.com/warara_morimoto/status/1413836289841897479
また、同サイト上で公開されているPDFでも、作成者情報欄にwarara_morimoto氏のアカウントに記載されているのと同じ氏名が表示されている。
https://cdn.goope.jp/179637/210710142843-60e9300b0184b.pdf
warara morimoto でGoogle検索すると同名のインスタグラムアカウントも見つかった。
そのアカウントのプロフィール欄に記載されていたケーキ店のWebサイトでは、コロナを「567」と表記しており、関連性があると考えられる。
#nmap -sS -A -v www.target.com
見るべきところは相手のサーバーで動いているソフトウェア&そのバージョン
2.exploitを探す
動いているソフトウェア(のバージョン)に該当するexploit(攻撃コード)を探す
ttp://1337day.com/(http://milw00rm.com)
ttp://www.packetstormsecurity.com/files/tags/exploit/
ttp://www.securityhome.eu/exploits/ 等
落としてそのまま使える物もあればコンパイルしたりして使う物もある
3.exploitをターゲットに向けてTails/RDP/VPN(logを保持していないのに限る)上から実行する
侵入できたらあとはページ書き換えるなり、内部データぶっこ抜くなり、フィッシング撒くなり、なんかの踏み台にするなり、Local exploitで権限昇格するなりご勝手に
Lets Karakking!
nmapより先にwhoisとかgoogleハッキングで情報探すナリ
tor越しやVPN越しにnmapで突くとアクセス遮断されてるか警戒されることが多くなるナリ
最近はポート確認用のサイトでIPとポート指定できるサイトとかあるから、そういうサイト使ってポート開いてるか確認するのも良いナリよ
正直nmapは最終手段に近いナリ
例のコロナコール、最初は普通に犯罪組織のやつなのかなと思って見てたんだよ。社名伏せられてるし、支払いはアマギフだし、Whois代行されてるし。ちゃんとしたサービスなら最低限でも社名は書くじゃん?
でも実は作者がTwitterでリリースを告知してたんだよ。2007年くらいから動いてる、ホントに普通のアカウント。Facebookでも本名で告知されてた。
これ見たときにSNSで目立ちたがる異常者かなって思ったんだよ。
例えば犯罪スレスレのことを正当化するタイプのイキリエンジニアとか。プログラミングで儲かる!とか言ってるタイプのね。
あるいはマジで異常な雰囲気が漂ってるやつとか。cheenaがホワイトハッカーになる前の様子みたいなやつを想像してた。
でもすげー普通なんだよ。技術ブログ更新するだけじゃなくて飯とか風景とか自撮りとか上げてる普通のSNSおじさん。この件がなかったら悪い人には見えないかもしれない。
本人は善意でやばいサイトを立ち上げてるのかとも思ったけど、Webサイト上では運営者の秘匿明らかに気を配ってるところからしてそうでもない気がする。
ParlerというSNSがAWSからサービス停止されたと報じられています。
AWS、トランプ支持者のSNS「Parler」へのサービスを1月10日に停止
これに先立って、GoogleやAppleもParlerのモバイルアプリ配信を停止しているようです。
HTTPの404や500エラーが表示されるのでしょうか?試しに、今(2021/1/12)現在parler.comにブラウザでアクセスしてみると
このサイトにアクセスできませんparler.com のサーバーの IP アドレスが見つかりませんでした。
次をお試しください
ERR_NAME_NOT_RESOLVED
となりました。ERR_NAME_NOT_RESOLVED言っており、名前解決できていないようです。
プロバイダのDNSではなくPublic DNSを使って名前解決を試みても、IPアドレスの回答を得ることができませんでした。恐らくは有効なAレコードまたはCNAMEのエントリが存在しない状態になっているのでしょう。
$ nslookup parler.com 8.8.8.8 Server: 8.8.8.8 Address: 8.8.8.8#53 Non-authoritative answer: Name: parler.com Address: 0.0.0.0
・CloudflareとAPNICのPublic DNS
$ nslookup parler.com 1.1.1.1 Server: 1.1.1.1 Address: 1.1.1.1#53 Non-authoritative answer: Name: parler.com Address: 0.0.0.0
IPアドレスは引けなくなっていますが、ドメイン名自体は有効なのでしょうか?
whoisで確認してみると、parler.comのドメイン名は健在であることが判ります。Updated Dateが2021-01-11になっていますので、AWSにサービス停止された後に何らかの操作をしたように見受けられます(何もしていなければAWSを向いたままで、404とか500エラーが拝めたのでしょうか?)。
また、Epikというレジストラでドメイン名を取得(もしくは維持)していることが判ります。このレジストラ、私は聞いたことなかったのですが、調べてみるととんでもないことが書いてあります。Wikipediaより引用すると、
Epik is an ICANN-accredited domain registrar and web hosting company known for providing services to websites that host far-right, neo-Nazi, and other extremist content.
極右、ネオナチ、過激派にサービス提供していることで知られるレジストラかつWebホスティング企業だそうです。
…ホスティングもやっているなら、Parlerのサービスもここに移して再開されるかもしれませんね…
ちな、保●速報はCloudflare使っててサーバーの実態不明、ドメインはバリュードメイン。リ●ラはAWSで、ドメインはENOM, INC.ってとこ使ってるみたいですよ。
どっかのソシャゲの運営が闇プログラマー名乗ってたが本家はそんな生ヌルいもんじゃねーのを改めてお伝えしたい。闇プログラマーはネットの暗部で今も蠢いているぞ。
・ハイスクール・フリートの偽公式サイトを制作、Whoisで「株式会社KADOKAWA」を名乗って怒られ
・劇場版ソードアート・オンラインに併せて偽公式Twitter垢と偽公式サイトを作って怒られ
・結月ゆかりオフィシャルを騙り他人のボカロ曲を勝手に商用配信(11ヶ月ぶり4度目)して怒られ
・Appleの偽公式サイトと関係者騙りアカウントを作って怒られ
2年前に東京に引っ越してからも日中いつも遊んでて、こいつどうやって生活費処理してんの?と疑問に思いながらヲチしてたら今年突然破産。話題の破産者サイトに特徴ある見慣れた本名がバーンwwwwwww大草原wwwwwwwwwwwこれで「破産したらクレカ使えない」→「ドメインやレンサバ代コンビニにわざわざ現金払いに行くの面倒」→「騙りも止める」かなと思うだろ?それが破産後も新しいドメイン取って騙り続けてんの。マジでネジぶっ飛んでる。
そんな闇プログラマーの最新トレンドはVTuber活動()だ。もちろん他人のデータをパクる事しか出来ないし考えない。
・モーションキャプチャで踊ったという触れ込みの動画は配布モーションをインポートしたただのMMD動画
・iPhoneで雑にトラッキングさせるだけでコメント一切拾わないクソつまんねえ放送
モデルやモーションの規約違反やウソについて指摘されると無言でサムネやYouTubeを削除して証拠隠滅(魚拓あるので掘ってみるといい)した上、逆ギレしてストーカー行為を受けていると主張し始めた。イナイレの時もそうやって逆ギレしてたの覚えているよ……。
もちろんSNSで「事務所の法務部に相談します」「あの有名人は知り合い」「中央区に引っ越す」「MacProフルスペックで買った」「Apple関係者匂わせ」「バンナム関係者匂わせ」など矛盾だらけのウソを並べるのも欠かさない。一覧で見るとより味わい深い。
http://archive.is/https://twitter.com/v_mikage/*
http://archive.is/https://imastodon.net/@Oshika_961pro*
http://archive.is/https://twitter.com/mafuyu_munetani*
モデルの規約違反の指摘あたりでいつもは垢消し逃亡するんだが、リスナーとVでは他のVからの扱いが違う(これはこれで闇)のと、VTuberバブルでフォロアーが稼ぎやすいからかまだ鍵も掛けず逃亡もしないようだ。今ならあの伝説の闇プログラマーと直接話ができるぞ!(失笑)
闇プログラマーとしてネットでブレイクしてから10年。そろそろ肉親が病院に連れて行かないと駄目なレベルだと思っておりますが如何でしょう。現場からは以上です。
[Domain Name] BANKSYEXHIBITION.JP
[Registrant] BIJUTSU SHUPPAN-SHA CO., LTD.
[Signing Key]
[有効期限] 2020/09/30
[最終更新] 2019/10/25 10:41:57 (JST)
Contact Information: [公開連絡窓口]
[名前] Whois情報公開代行サービス by お名前.com
[Name] Whois Privacy Protection Service by onamae.com
[Email] proxy@whoisprotectservice.com
[Web Page]
[郵便番号] 150-8512
桜丘町 26-1
26-1 Sakuragaoka-cho
[電話番号] +81.354562560
[FAX番号]
中学生の娘がこちらのLINE掲示板というものを介して30代の男性と会う約束をしていました。
https://web.archive.org/web/20200610095639/https://merutomo-poi.com/
(リンクを送りたくないのと証拠保全という意味で、ウェブアーカイブで記載しています)
このサイトには卑猥な内容や出会いを求めるような投稿が多く見受けられ、中高生などの未成年を対象にしたものも多数あります。
幸いにも今回は実際に会う前に事が発覚したものの、最悪の場合何らかの事件に巻き込まれていた可能性もありました。
これ以降、こんなサイトは絶対に閉鎖されるべきと考え動いています。
時系列をまとめると
いくつかメールのやり取りをしたのち、最終的にカラフルボックスから得た回答が以下です。(6月25日受信)
ご連絡ありがとうございます。
ご連絡いただいておりました件につきまして
・削除用の専用フォームの設置
・サイト上へ連絡先を明示
それでは、失礼いたします。
確かに通報時に挙げた投稿は削除されたものの、未だにこのような投稿が多数放置されています。
ちんと穴使えます
内容はどんなのでもいいです
ぐちゃぐちゃに犯されると喜びます
アブノーマルなのも平気です
サクラ、男性お断り。初体験15歳の男子高校生です。条件は、ママ活、姉活してもらえる方、体の関係希望の方、35歳以下の方です。ぜひお願いします。どんなプレイも××ます。
リンク数制限によりすべてのURLを貼れないので興味のある方はこちらからご確認ください
https://web.archive.org/web/sitemap/https://merutomo-poi.com/
カラフルボックスが約束した「類似する投稿についての削除」や「今後運用されているサイトについて確認を引き続き行いまして、掲載内容の削除要請等行わせていただきます」はまったく守られていません。
このようなサイトを放置し続ければいつか何らかの事件が起こる可能性が高いでしょう。
カラフルボックスにこれ以上の対応を期待するのは無理そうなので、今後の対応についてアドバイスがほしいです。
法律面は詳しくないので、特にその方面でのアドバイスをいただけるとありがたいです。
今のところ自分で考えているのは
といったところです。
まずGoogleアナリティクスのタグが同じであることから、こちらのサイトも同じ運営者であることがわかりました。
https://web.archive.org/web/20200610095829/https://mocomoco.mobi/
mocomoco.mobi ドメインのウェブアーカイブを確認すると、少なくとも2016年3月6日から2017年9月14日まで「モコモコ株式会社」という会社のサイトであったことがわかります。
https://web.archive.org/web/20161026101839/http://mocomoco.mobi/link.html
そしてWhois情報を確認すると今のドメイン所有者の最初の登録日は2016/02/14となっています。
以上のことから、今のドメイン所有者が「モコモコ株式会社」のサイトを運営していた可能性が高いと考えられます。
モコモコ株式会社について調べてみましたが、いまいち情報が出てきません。
そこで、住所とともに「モコモコ 東京都新宿区北新宿3-33-15」で検索してみると、いくつか情報がヒットしました。
(他にもたくさん情報が見つかるので興味のある方は検索してみてください)
要点をまとめると
ということです。
LINE掲示板の運営者が誰かまでは確証が得られていませんが、モコモコ株式会社や株式会社ネトラボが何かしら関係している可能性が高いと考えています。
また株式会社ネトラボについては今も登記されていることを確認しています。
https://www.houjin-bangou.nta.go.jp/henkorireki-johoto.html?selHouzinNo=7011001051710
時間を見つけて謄本をとって、代表者の氏名と住所を把握しようと考えています。
