title
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事,
過去日記:



2014年06月24日(火) [晴れ]

[SPAM] 「社団法人日本IT調査会 和解業務執行部」様より、下記内容を特定記録メール便にて送信依頼がありましたのでご確認ください

香ばしいスパムがきたのでヘッダ付きで晒し上げ(うふ
よい子も馬鹿な子も気をつけましょうね!
私みたいな変人は、そもそもだまされないか、解っていておちょくる人種だから、問題ありませんね(w

【重要なお知らせ】
「社団法人日本IT調査会 和解業務執行部」様より、下記内容を特定記録メール便にて送信依頼
がありましたのでご確認ください。

【日本デジタル郵便】


【送信内容】
弊社は調査業務、情報管理及び和解手続き代行等を主とした調査機関でございます。

本日ご連絡致しましたのは、現在貴方がご契約されている総合コンテンツ提供サービス会社からの
再三の通告を放置し、利用料金を長期延滞している事に対して、同社が起訴準備期間に入った事を
報告致します。

この通知を最終通告と致しますので、本日、当社営業時間までにご連絡が無い場合、管轄裁判所か
ら裁判日程を決定する呼出状が発行され、記載期日に指定裁判所へ出廷となります。
尚、裁判を欠席されますと、相手方の言い分通りの判決が出され、執行官立ち会いのもと、給料、
財産や不動産、有価証券等の差押えを含めた強制執行となりますので、ご注意下さい。

弊社は、今回運営会社様より和解等の最終判断を委託されましたので、双方にとってより良い解決
に向かうためのご相談に乗らせて頂きます。本日弊社営業時間までに早急にお電話にてご相談くだ
さい。

最近個人情報を悪用する業者の手口も見受けられますので、万が一身に覚えのない場合でも、早急
にご連絡ください。

※時間帯によって繋がりにくい場合がございますので、その際は恐れ入りますが、再度お掛け直し
頂きますようお願い致します。
尚、メールでの返答には対応しておりません。ご了承下さい。 


〜〜お問い合わせ先〜〜
社団法人日本IT調査会
【担当部署】和解業務執行部
【担当主任】加々美 謙一
【担当補佐】高山 正博
【担当補佐】和田山 孝輔
【電話番号】03-4588-6998
【営業時間】午前10:00〜午後18:30


以上

※本メールは特定記録メール便のサービスとして、メール開封日時の記録及びメール内容の保管を
日本デジタル郵便が第三者機関として行っております。
尚、本メールアドレスへの返信をされましても、特定記録メール便送信専用となりますので、当社
では確認及び対応することが出来ません。
また、依頼者様へメールが転送されることもありませんので、返信はされませんようお願い申し上
げます。
【日本デジタル郵便】

んで、ツッコミどころ満載の内容。ところで、特定記録メール便サービスの日本デジタル郵便ってなにー?そもそも、 「メール開封日時の記録」なんて、出来るわけないだろw
開封要求のフラグを付けたとして、それに返事をしなければわからない。あくまでも私は開封要求を完全に無視するようにしている。mboxに入った(届いた)いたと思われ、エラーにならずに配送された(はず)までしかわからない。もちろん、迷惑メールの送信した人物or組織とメールサーバの管理者(postmaster)が同一であれば、POPで受信した、IMAPで受信した、といったところまではわかるだろう。でも、それ以上はわからないはずである。もし、事実なら、詳しい方法お・し・え・て(あはん)

ヘッダ

Return-Path: <suporrt@xx.ooom.asia>
X-Original-To: tomo@example.jp
Delivered-To: tomo@example.jp
Received: from mx1.example.jp (mx6.example.jp [IPv6:2406:xxx::25])
	by mail.example.jp (Postfix) with ESMTP id AAA6E5D9DD
	for <tomo@example.jp>; Tue, 24 Jun 2014 02:43:19 +0900 (JST)
Received: by mx1.example.jp (Postfix, from userid 99)
	id 76CD072820E; Tue, 24 Jun 2014 02:43:19 +0900 (JST)
Received: from xx.ooom.asia (unknown [192.249.76.187])
	by mx1.example.jp (Postfix) with ESMTP id A1069728202
	for <tomo@example.jp>; Tue, 24 Jun 2014 02:42:48 +0900 (JST)
Subject: =?ISO-2022-JP?B?gXmT+pZ7g2aDV4Neg4uXWJXWgXqTwZLoi0yYXoOBgVuDi5XW?=
From: suporrt@xx.ooom.asia
To: tomo@example.jp
Message-ID: 20140624024236
Content-Type: text/plain; charset="SHIFT_JIS"
Content-Transfer-Encoding: 7bit
MIME-Version: 1.0
Date: Tue, 24 Jun 2014 02:42:48 +0900 (JST)
X-URIRBL: No, test=check_uri.pl, version=1.50

迷惑メールの送信元は、192.249.76.187 で、AS54782、GMO GLOUD AMERICA Tech だっぽ。

Return-Path のドメインは、ooom.asia
whoisしてみると…・ここもまた、GMOのお名前.comで取得しているようだ。

Domain ID:D3215745-ASIA
Domain Name:OOOM.ASIA
Domain Create Date:23-Jun-2014 07:47:58 UTC
Domain Expiration Date:23-Jun-2015 07:47:58 UTC
Domain Last Updated Date:23-Jun-2014 07:53:24 UTC
Last Transferred Date:
Created by:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Last Updated by Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Sponsoring Registrar:GMO Internet, Inc. d/b/a Discount-Domain.com and Onamae.com R39-ASIA (49)
Domain Status:TRANSFER PROHIBITED
Status:ADDPERIOD
Registrant ID:56D4F221598A54
Registrant Name:seiichi kiyota
Registrant Organization:seiichi kiyota
Registrant Address:Kamiyasumatsu97-5
Registrant Address2:
Registrant Address3:
Registrant City:Tokorozawa-shi
Registrant State/Province:Saitama
Registrant Country/Economy:JP
Registrant Postal Code:359-0025
Registrant Phone:+81.0429946649
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant E-mail:server_z002@yahoo.co.jp
Administrative ID:56D4DA4472B956
Administrative Name:seiichi kiyota
Administrative Organization:seiichi kiyota
Administrative Address:Kamiyasumatsu97-5
Administrative Address2:
Administrative Address3:
Administrative City:Tokorozawa-shi
Administrative State/Province:Saitama
Administrative Country/Economy:JP
Administrative Postal Code:359-0025
Administrative Phone:+81.0429946649
Administrative Phone Ext.:
Administrative FAX:
Administrative FAX Ext.:
Administrative E-mail:server_z002@yahoo.co.jp
Nameservers:01.DNSV.JP
Nameservers:02.DNSV.JP
Nameservers:03.DNSV.JP
Nameservers:04.DNSV.JP

住所を調べていると、
359-0025 埼玉県所沢市大字上安松97-5 が正式な表記になるはずだが、96 と 99番地は存在するが、97番地が存在しないということで、偽データのようだ。
家の近くだから、標識でも確認してみようかなとおもったら、存在しない住所だったってことで...

ちなみにですが、その住所の隣である 96番(埼玉県所沢市大字上安松96)で検索すると、見覚えのある場所。向かいのサンクス。山に走りに遊びに行くときやスキーへ逝くときなど、普段の待ち合わせで使う生活圏の一つよ?なんていう巡り合わせ。

ちなみに、埼玉県所沢市大字上安松96 は、 タウンページによると、 秋津福音教会 (〒359-0025 埼玉県所沢市大字上安松96 04-2944-0939)のようだ。

てことで、念のため、これから逝ってみようかと思います!! 帰り行きつけの秋津のお店でご飯でも食べて帰ろうかな。顔を見ると、なにも注文しなくても、お食事でてくるお店。いつもお世話になってます(^^)

国際IP電話などを使って、しかも非通知番号(若しくは表示圏外な環境)から、イタ電しません?www
連絡先に、警察の番号と適当な名前を告げておいてw
てことで、試してみると、繋がりませんでした。
そもそも、電話番号が、「81.0429946649」 となっているが、このエリアは、042-944-XXXX なので、祖mそおも、偽り番号であると思います。参考に、042-004-66XX は、埼玉県所沢市松葉町 のようです。

[ コメントを読む(0) | コメントする ]

[SPAM][Security][Neta] りそな銀行のフィッシングサイトで遊んでみたよ。なんで、「そな銀行」なの!? んで、でたらめな情報入力しちゃったよ。だけど、エラーに。

まず、spamホイホイにこんなのが届いたので、いじってみることに。話題になっている、「そな銀行」。楽しいね!

Return-Path: <nakagawa_naramed@yahoo.co.jp>
Received: from mx0.example.jp (unknown [IPv6:2001:e40:104:1003::25])
	by mail.example.jp (Postfix) with ESMTP id ED2215D9DD
	for <94@hoihoi.tomocha.net>; Mon, 23 Jun 2014 00:36:42 +0900 (JST)
Received: by mx0.example.jp (Postfix, from userid 65534)
	id A6D274ADA0; Mon, 23 Jun 2014 00:36:42 +0900 (JST)
Received: from ns502-vm1.bullet.mail.kks.yahoo.co.jp (ns502-vm1.bullet.mail.kks.yahoo.co.jp [183.79.57.56])
	by mx0.example.jp (Postfix) with ESMTP id 73E4C4AD08
	for <94@hoihoi.tomocha.net>; Mon, 23 Jun 2014 00:36:42 +0900 (JST)
Received: from [183.79.100.140] by ns502.bullet.mail.kks.yahoo.co.jp with NNFMP; 22 Jun 2014 15:36:42 -0000
Received: from [183.79.100.135] by t503.bullet.mail.kks.yahoo.co.jp with NNFMP; 22 Jun 2014 15:36:42 -0000
Received: from [127.0.0.1] by omp504.mail.kks.yahoo.co.jp with NNFMP; 22 Jun 2014 15:36:42 -0000
X-Yahoo-Newman-Property: ymail-5
X-Yahoo-Newman-Id: 391996.51386.bm@omp504.mail.kks.yahoo.co.jp
Received: (qmail 95313 invoked by alias); 22 Jun 2014 15:36:41 -0000
X-Apparently-From: <nakagawa_naramed@yahoo.co.jp>
Message-ID: <C3DE8B0395E514ECBA293EDCF12B0E27@dfxmwtyd>
From: =?utf-8?B?44Gd44Gq6YqA6KGM?= <nakagawa_naramed@yahoo.co.jp>
To: 
Subject: =?utf-8?B?44CM44Gd44Gq6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?=
Date: Sun, 22 Jun 2014 23:35:35 +0800
MIME-Version: 1.0
Content-Type: text/html;
	charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
X-URIRBL: No, test=check_uri.pl, version=1.50

Yahoo メールから、正規のルートで送られたフィッシングメール。
`nakagawa_naramed@yahoo.co.jp' はアカウントが乗っ取られたのか、それとも、今回用に取得されたものかは、不明。

フィッシングメールの内容は次の通り。

From: nakagawa_naramed@yahoo.co.jp
Subject:「そな銀行」本人認証サービス

お使いのメールアドレスを確認してください
本人認証サービス <http://www.bjmtlj.com/js/>

てことで、サイトが潰される前に訪問して、遊んでみたよ。テスト環境でね。
こういうとき、vmwareって、素晴らしい。

まず、訪問。ちゃんと、FireFoxは、フィッシングサイトだと知っています。



認証情報を入れずに、ログインボタンをクリックすると、NOP!何も表示されません。
ちゃんと、エラー画面ぐらい作ろうよ。



てことで、適当な情報として、「fuck/fuck」とでも、いれてすすんでみましょうか。
昔は本物サイトで認証情報を確認して進むというような仕組みがあったような気がしたのですが、今は何をいれても通るようです。



さあ、りそなダイレクトの画面。うんうん、着ましたよ。
適当に入力して進みましょう。



ちなみに、ログインパスワードをお忘れの方はこちらをクリックすると、404 File NotFoundっぽい。
中国語なので読めませんがw



んじゃ、入力しましょうかね。



さあ、確認番号入力しろといわれました。
なんか、見覚えのある画面ですよね。
しかも、基調が赤色に変わりました。
年末に私の所に届いた、 [2013/12/30] 三菱東京UFH銀行のフィッシングサイト@吊られてみました - ともちゃ日記にそっくりです。



しかも、ソフトウェアキーボードの文字化けっぷりがそっくり。



しかもですね、リンク、URLをみてくださいw
direct.bk.mufg.jp というドメインです。



てことで、適当に入力して入れようとしましたが、エラーになりました。
そりゃ、りそな銀行の乱数表は、 りそな銀行:ご利用カード(乱数表)についてにも有りますが、5行、5列(あ〜お)までの25文字。でも、このシステムは、UFJの転用をしているため、10文字。Validateしていれば、通らないでしょうし。あまりにもお粗末で笑いました。うん、こりゃ、フィッシング作ってもログインまでしか、情報抜けませんねw



じゃ、最後に、仕掛けられたサーバーでもチェックしましょうか。

$ host www.bjmtlj.com
www.bjmtlj.com is an alias for ctc-w115.chinadns.net.
ctc-w115.chinadns.net has address 122.70.138.115

こちらのIPアドレスは中国。
ページにアクセスすると、次のような所に、飛ばされます。

$ w3m -dump_source http://www.bjmtlj.com/js/

HTTP/1.1 200 OK
Content-Type: text/html
Last-Modified: Sun, 22 Jun 2014 10:44:29 GMT
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET

<html>
<head>
<meta http-equiv="Content-Language" content="zh-CN">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
<meta http-equiv="refresh" content="0.0;url=http://mp.resona-gr.com.arr.pw/mypage/MPMB010X010M.mp/?BK=0010">
<title></title>
</head>
<body>
</body>
</html>

http://www.bjmtlj.com/js/ → http://mp.resona-gr.com.arr.pw/mypage/MPMB010X010M.mp/?BK=0010 ですね。

mp.resona-gr.com.arr.pw について、調べてみましょう。

$ host mp.resona-gr.com.arr.pw
mp.resona-gr.com.arr.pw has address 61.198.221.170
tomo@linuxsrv08:~$ host 61.198.221.170
170.221.198.61.in-addr.arpa domain name pointer R221170.ppp.dion.ne.jp.

東京の某DCから、traceroute。

$ traceroute R221170.ppp.dion.ne.jp.
 ...
 8  sjkBBAR001-2.bb.kddi.ne.jp (111.87.217.42)  1.866 ms  2.312 ms  1.693 ms
 9  106.162.241.142 (106.162.241.142)  1.697 ms 106.162.241.138 (106.162.241.138)  1.835 ms 106.162.241.142
10  211.18.15.7 (211.18.15.7)  1.816 ms  1.666 ms  1.861 ms
11  R221170.ppp.dion.ne.jp (61.198.221.170)  17.517 ms  17.396 ms  17.267 ms

あっちゃー、DIONですね。KDDI。あはーん。国内のホストがやられましたか。これって、フレッツか、AUひかりOneってところでしょうか..少なくともDC設置ではなさそうです。
因みに、以前は、 mp.resona-gr.co.jp.rrl.co.in というDNS名も持っていたようです(こちらもフィッシングで使用)

いやぁ、楽しい情報ありがとうございました!!
お腹いっぱいです。

ということで、りそな銀行の注意喚起でもどうぞ。

ご注意】銀行を装った、ID・パスワード等の入力を求める不審な電子メールについて(6月16日更新) - りそな銀行

あと、前回のフィッシングに吊られてみたときの日記。

[2013/12/30] 三菱東京UFH銀行のフィッシングサイト@吊られてみました - ともちゃ日記

[ コメントを読む(0) | コメントする ]

[Neta][IPv6] さくらのVPSで、tcpdump -i em0 ip6 やっていたら

さくらのVPSを契約している大阪のブロック。
メンテナンスのお知らせが出ていたので、ずっと調べていた。
要は、どういう事かっていうと、これ。

上記メンテナンスが有り、2回日を改めてメンテナンスをすると言うことは、上位L3スイッチ若しくはルータのメンテナンスを行うと言うこと。考えられることは、ファームウェアの更新などに伴い再起動するとか、configの大きな更新の為、一旦停止をして投入するか、など考えられる。経路変動といっていることから、再起動、リンクダウンなどに伴い、OSPFといったDynamicRoutingにより冗長された経路のうち1つが停止し、経路変動が発生すると読み取れる。

んで、その背景には、 「さくらのVPS」大阪リージョン IPv6アドレス提供に関するお知らせというアナウンスがあり、これにむけて、準備中だという想定の下に、調査していた。

なわけで、ずっと、VPS上で、tcpdump を行っていたところ、次のようなパケットを見つけた。
下記のパケットは単なるVPSのノードが吐いているだけであり、得になんか、面白いネタを見つけたわけでも、v6の準備が出来ていると行った分けでもない。もし、ゲートウェイの準備が出来ていれば、 fe80:〜:1 や、2001:e4?:〜::1 なパケットが見えるだろう。

# tcpdump -i em0 ip6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:02:14.292680 IP6 :: > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
23:02:14.749708 IP6 :: > ff02::1:ff01:347: ICMP6, neighbor solicitation, who has fe80::5054:ff:fe01:347, length 24
23:02:15.749724 IP6 fe80::5054:ff:fe01:347 > ff02::2: ICMP6, router solicitation, length 16
23:02:16.429796 IP6 fe80::5054:ff:fe01:347 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
23:02:19.750070 IP6 fe80::5054:ff:fe01:347 > ff02::2: ICMP6, router solicitation, length 16
23:02:23.749481 IP6 fe80::5054:ff:fe01:347 > ff02::2: ICMP6, router solicitation, length 16
10:22:12.830800 IP6 :: > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
10:22:13.773938 IP6 :: > ff02::1:ff01:257: ICMP6, neighbor solicitation, who has fe80::5054:ff:fe01:257, length 24
10:22:14.774066 IP6 fe80::5054:ff:fe01:257 > ff02::2: ICMP6, router solicitation, length 16
10:22:16.682525 IP6 fe80::5054:ff:fe01:257 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
10:22:18.773921 IP6 fe80::5054:ff:fe01:257 > ff02::2: ICMP6, router solicitation, length 16
10:22:22.774714 IP6 fe80::5054:ff:fe01:257 > ff02::2: ICMP6, router solicitation, length 16

因みに、こういう事をすると、色々なホストが応答するみたいだ。(あはん

# ping6 -c 2 ff02::1%em0
PING6(56=40+8+8 bytes) fe80::5054:ff:fe01:46%em0 --> ff02::1%em0
16 bytes from fe80::5054:ff:fe01:46%em0, icmp_seq=0 hlim=64 time=0.413 ms
16 bytes from fe80::5054:ff:fe01:26%em0, icmp_seq=0 hlim=64 time=1.127 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:29%em0, icmp_seq=0 hlim=64 time=1.182 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:31%em0, icmp_seq=0 hlim=64 time=1.221 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:37%em0, icmp_seq=0 hlim=64 time=1.270 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:32%em0, icmp_seq=0 hlim=64 time=1.314 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:27%em0, icmp_seq=0 hlim=64 time=1.351 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:280%em0, icmp_seq=0 hlim=64 time=1.388 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:59%em0, icmp_seq=0 hlim=64 time=1.427 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:135%em0, icmp_seq=0 hlim=64 time=1.463 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:38%em0, icmp_seq=0 hlim=64 time=1.500 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:128%em0, icmp_seq=0 hlim=64 time=1.538 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:281%em0, icmp_seq=0 hlim=64 time=1.574 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:326%em0, icmp_seq=0 hlim=64 time=1.610 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:321%em0, icmp_seq=0 hlim=64 time=1.644 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:56%em0, icmp_seq=0 hlim=64 time=1.678 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:143%em0, icmp_seq=0 hlim=64 time=1.714 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:68%em0, icmp_seq=0 hlim=64 time=1.785 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:245%em0, icmp_seq=0 hlim=64 time=1.826 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:175%em0, icmp_seq=0 hlim=64 time=1.866 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:134%em0, icmp_seq=0 hlim=64 time=1.903 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:223%em0, icmp_seq=0 hlim=64 time=1.942 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:318%em0, icmp_seq=0 hlim=64 time=2.032 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:236%em0, icmp_seq=0 hlim=64 time=2.070 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:278%em0, icmp_seq=0 hlim=64 time=2.099 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:217%em0, icmp_seq=0 hlim=64 time=2.121 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:224%em0, icmp_seq=0 hlim=64 time=2.142 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:255%em0, icmp_seq=0 hlim=64 time=2.163 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:30%em0, icmp_seq=0 hlim=64 time=2.184 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:21%em0, icmp_seq=0 hlim=64 time=2.206 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:28%em0, icmp_seq=0 hlim=64 time=2.227 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:268%em0, icmp_seq=0 hlim=64 time=2.248 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:187%em0, icmp_seq=0 hlim=64 time=2.269 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:57%em0, icmp_seq=0 hlim=64 time=2.290 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:419%em0, icmp_seq=0 hlim=64 time=2.311 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:61%em0, icmp_seq=0 hlim=64 time=2.332 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:256%em0, icmp_seq=0 hlim=64 time=2.352 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:123%em0, icmp_seq=0 hlim=64 time=2.374 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:13%em0, icmp_seq=0 hlim=64 time=2.395 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:218%em0, icmp_seq=0 hlim=64 time=2.416 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:188%em0, icmp_seq=0 hlim=64 time=2.437 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:35%em0, icmp_seq=0 hlim=64 time=2.458 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:390%em0, icmp_seq=0 hlim=64 time=2.490 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:389%em0, icmp_seq=0 hlim=64 time=2.529 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:386%em0, icmp_seq=0 hlim=64 time=2.595 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:380%em0, icmp_seq=0 hlim=64 time=2.618 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:429%em0, icmp_seq=0 hlim=64 time=2.653 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:341%em0, icmp_seq=0 hlim=64 time=2.679 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:252%em0, icmp_seq=0 hlim=64 time=2.700 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:77%em0, icmp_seq=0 hlim=64 time=2.721 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:5%em0, icmp_seq=0 hlim=64 time=2.748 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:215%em0, icmp_seq=0 hlim=64 time=2.771 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:392%em0, icmp_seq=0 hlim=64 time=2.792 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:270%em0, icmp_seq=0 hlim=64 time=2.812 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:33%em0, icmp_seq=0 hlim=64 time=2.833 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:82%em0, icmp_seq=0 hlim=64 time=2.887 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:362%em0, icmp_seq=0 hlim=64 time=2.913 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:405%em0, icmp_seq=0 hlim=64 time=2.933 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:219%em0, icmp_seq=0 hlim=64 time=2.954 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:179%em0, icmp_seq=0 hlim=64 time=2.975 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:240%em0, icmp_seq=0 hlim=64 time=2.995 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:382%em0, icmp_seq=0 hlim=64 time=3.016 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:299%em0, icmp_seq=0 hlim=64 time=3.036 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:203%em0, icmp_seq=0 hlim=64 time=3.057 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:171%em0, icmp_seq=0 hlim=64 time=3.077 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:422%em0, icmp_seq=0 hlim=64 time=3.129 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:266%em0, icmp_seq=0 hlim=64 time=3.153 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:322%em0, icmp_seq=0 hlim=64 time=3.174 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:241%em0, icmp_seq=0 hlim=64 time=3.194 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:320%em0, icmp_seq=0 hlim=64 time=3.256 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:305%em0, icmp_seq=0 hlim=64 time=3.280 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:337%em0, icmp_seq=0 hlim=64 time=3.300 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:369%em0, icmp_seq=0 hlim=64 time=3.321 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:66%em0, icmp_seq=0 hlim=64 time=3.469 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:103%em0, icmp_seq=0 hlim=64 time=3.546 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:84%em0, icmp_seq=0 hlim=64 time=3.572 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:115%em0, icmp_seq=0 hlim=64 time=3.593 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:251%em0, icmp_seq=0 hlim=64 time=3.625 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:356%em0, icmp_seq=0 hlim=64 time=3.691 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:87%em0, icmp_seq=0 hlim=64 time=3.715 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:307%em0, icmp_seq=0 hlim=64 time=3.736 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:204%em0, icmp_seq=0 hlim=64 time=3.767 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:365%em0, icmp_seq=0 hlim=64 time=3.788 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:100%em0, icmp_seq=0 hlim=64 time=3.843 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:413%em0, icmp_seq=0 hlim=64 time=3.867 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:90%em0, icmp_seq=0 hlim=64 time=3.887 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:340%em0, icmp_seq=0 hlim=64 time=3.908 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:8%em0, icmp_seq=0 hlim=64 time=3.962 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:410%em0, icmp_seq=0 hlim=64 time=3.985 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:267%em0, icmp_seq=0 hlim=64 time=4.006 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:418%em0, icmp_seq=0 hlim=64 time=4.026 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:400%em0, icmp_seq=0 hlim=64 time=4.046 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:3%em0, icmp_seq=0 hlim=64 time=4.161 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:358%em0, icmp_seq=0 hlim=64 time=4.188 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:292%em0, icmp_seq=0 hlim=64 time=4.209 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:9%em0, icmp_seq=0 hlim=64 time=4.256 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:72%em0, icmp_seq=0 hlim=64 time=4.286 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:208%em0, icmp_seq=0 hlim=64 time=4.307 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:196%em0, icmp_seq=0 hlim=64 time=4.328 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:1%em0, icmp_seq=0 hlim=64 time=4.359 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:298%em0, icmp_seq=0 hlim=64 time=4.380 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:296%em0, icmp_seq=0 hlim=64 time=4.433 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:136%em0, icmp_seq=0 hlim=64 time=4.458 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:141%em0, icmp_seq=0 hlim=64 time=4.493 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:173%em0, icmp_seq=0 hlim=64 time=4.534 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:250%em0, icmp_seq=0 hlim=64 time=4.589 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:353%em0, icmp_seq=0 hlim=64 time=4.621 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:295%em0, icmp_seq=0 hlim=64 time=4.678 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:73%em0, icmp_seq=0 hlim=64 time=4.706 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:78%em0, icmp_seq=0 hlim=64 time=4.727 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:372%em0, icmp_seq=0 hlim=64 time=4.785 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:140%em0, icmp_seq=0 hlim=64 time=4.811 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:233%em0, icmp_seq=0 hlim=64 time=4.832 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:165%em0, icmp_seq=0 hlim=64 time=4.852 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:261%em0, icmp_seq=0 hlim=64 time=4.872 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:47%em0, icmp_seq=0 hlim=64 time=4.893 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:375%em0, icmp_seq=0 hlim=64 time=4.949 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:121%em0, icmp_seq=0 hlim=64 time=4.971 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:131%em0, icmp_seq=0 hlim=64 time=4.992 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:231%em0, icmp_seq=0 hlim=64 time=5.013 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:207%em0, icmp_seq=0 hlim=64 time=5.057 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:359%em0, icmp_seq=0 hlim=64 time=5.089 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:93%em0, icmp_seq=0 hlim=64 time=5.110 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:366%em0, icmp_seq=0 hlim=64 time=5.131 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:64%em0, icmp_seq=0 hlim=64 time=5.151 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:230%em0, icmp_seq=0 hlim=64 time=5.172 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:313%em0, icmp_seq=0 hlim=64 time=5.194 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:199%em0, icmp_seq=0 hlim=64 time=5.216 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:71%em0, icmp_seq=0 hlim=64 time=5.238 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:373%em0, icmp_seq=0 hlim=64 time=5.260 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:168%em0, icmp_seq=0 hlim=64 time=5.282 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:304%em0, icmp_seq=0 hlim=64 time=5.303 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:114%em0, icmp_seq=0 hlim=64 time=5.324 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:402%em0, icmp_seq=0 hlim=64 time=5.345 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:404%em0, icmp_seq=0 hlim=64 time=5.366 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:51%em0, icmp_seq=0 hlim=64 time=5.387 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:220%em0, icmp_seq=0 hlim=64 time=5.409 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:83%em0, icmp_seq=0 hlim=64 time=5.430 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:274%em0, icmp_seq=0 hlim=64 time=5.452 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:14%em0, icmp_seq=0 hlim=64 time=5.482 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:138%em0, icmp_seq=0 hlim=64 time=5.523 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:234%em0, icmp_seq=0 hlim=64 time=5.558 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:271%em0, icmp_seq=0 hlim=64 time=5.581 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:181%em0, icmp_seq=0 hlim=64 time=5.602 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:273%em0, icmp_seq=0 hlim=64 time=5.624 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:20%em0, icmp_seq=0 hlim=64 time=5.659 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:166%em0, icmp_seq=0 hlim=64 time=5.684 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:60%em0, icmp_seq=0 hlim=64 time=5.706 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:249%em0, icmp_seq=0 hlim=64 time=5.728 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:19%em0, icmp_seq=0 hlim=64 time=5.757 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:347%em0, icmp_seq=0 hlim=64 time=5.780 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:152%em0, icmp_seq=0 hlim=255 time=5.802 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:343%em0, icmp_seq=0 hlim=64 time=5.823 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:222%em0, icmp_seq=0 hlim=64 time=5.844 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:151%em0, icmp_seq=0 hlim=64 time=5.865 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:428%em0, icmp_seq=0 hlim=64 time=5.886 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:145%em0, icmp_seq=0 hlim=64 time=5.908 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:81%em0, icmp_seq=0 hlim=64 time=5.930 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:327%em0, icmp_seq=0 hlim=64 time=5.952 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:111%em0, icmp_seq=0 hlim=64 time=5.973 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:336%em0, icmp_seq=0 hlim=64 time=5.995 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:420%em0, icmp_seq=0 hlim=64 time=6.017 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:202%em0, icmp_seq=0 hlim=64 time=6.038 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:130%em0, icmp_seq=0 hlim=64 time=6.060 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:363%em0, icmp_seq=0 hlim=64 time=6.080 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:426%em0, icmp_seq=0 hlim=64 time=6.101 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:254%em0, icmp_seq=0 hlim=64 time=6.122 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:52%em0, icmp_seq=0 hlim=64 time=6.144 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:309%em0, icmp_seq=0 hlim=64 time=6.165 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:108%em0, icmp_seq=0 hlim=64 time=6.186 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:155%em0, icmp_seq=0 hlim=64 time=6.206 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:195%em0, icmp_seq=0 hlim=64 time=6.227 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:282%em0, icmp_seq=0 hlim=64 time=6.248 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:213%em0, icmp_seq=0 hlim=64 time=6.269 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:133%em0, icmp_seq=0 hlim=64 time=6.291 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:264%em0, icmp_seq=0 hlim=64 time=6.312 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:379%em0, icmp_seq=0 hlim=64 time=6.333 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:197%em0, icmp_seq=0 hlim=64 time=6.353 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:16%em0, icmp_seq=0 hlim=64 time=6.375 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:257%em0, icmp_seq=0 hlim=64 time=6.397 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:201%em0, icmp_seq=0 hlim=64 time=6.418 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:89%em0, icmp_seq=0 hlim=64 time=6.440 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:433%em0, icmp_seq=0 hlim=64 time=6.464 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:275%em0, icmp_seq=0 hlim=64 time=6.503 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:178%em0, icmp_seq=0 hlim=64 time=6.546 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:272%em0, icmp_seq=0 hlim=64 time=6.585 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:17%em0, icmp_seq=0 hlim=64 time=6.611 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:394%em0, icmp_seq=0 hlim=64 time=6.633 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:76%em0, icmp_seq=0 hlim=64 time=6.668 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:86%em0, icmp_seq=0 hlim=64 time=6.694 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:159%em0, icmp_seq=0 hlim=64 time=6.716 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:193%em0, icmp_seq=0 hlim=64 time=6.738 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:198%em0, icmp_seq=0 hlim=64 time=6.782 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:225%em0, icmp_seq=0 hlim=64 time=6.820 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:124%em0, icmp_seq=0 hlim=64 time=6.861 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:287%em0, icmp_seq=0 hlim=64 time=6.891 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:431%em0, icmp_seq=0 hlim=64 time=6.914 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:63%em0, icmp_seq=0 hlim=64 time=6.936 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:371%em0, icmp_seq=0 hlim=64 time=6.958 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:194%em0, icmp_seq=0 hlim=64 time=6.979 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:142%em0, icmp_seq=0 hlim=64 time=7.001 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:101%em0, icmp_seq=0 hlim=64 time=7.023 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:167%em0, icmp_seq=0 hlim=64 time=7.044 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:2%em0, icmp_seq=0 hlim=64 time=7.066 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:265%em0, icmp_seq=0 hlim=64 time=7.094 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:137%em0, icmp_seq=0 hlim=64 time=7.129 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:126%em0, icmp_seq=0 hlim=64 time=7.155 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:129%em0, icmp_seq=0 hlim=64 time=7.177 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:205%em0, icmp_seq=0 hlim=64 time=7.198 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:11%em0, icmp_seq=0 hlim=64 time=7.219 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:147%em0, icmp_seq=0 hlim=64 time=7.241 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:148%em0, icmp_seq=0 hlim=64 time=7.262 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:258%em0, icmp_seq=0 hlim=64 time=7.284 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:97%em0, icmp_seq=0 hlim=64 time=7.305 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:212%em0, icmp_seq=0 hlim=64 time=7.327 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:164%em0, icmp_seq=0 hlim=64 time=7.347 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:102%em0, icmp_seq=0 hlim=64 time=7.369 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:104%em0, icmp_seq=0 hlim=64 time=7.390 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:113%em0, icmp_seq=0 hlim=64 time=7.412 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:117%em0, icmp_seq=0 hlim=64 time=7.433 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:160%em0, icmp_seq=0 hlim=64 time=7.455 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:110%em0, icmp_seq=0 hlim=64 time=7.491 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:112%em0, icmp_seq=0 hlim=64 time=7.524 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:119%em0, icmp_seq=0 hlim=64 time=7.546 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:42%em0, icmp_seq=0 hlim=64 time=7.568 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:36%em0, icmp_seq=0 hlim=64 time=7.590 ms(DUP!)
16 bytes from fe80::5054:ff:fe01:42%em0, icmp_seq=1 hlim=64 time=0.489 ms

--- ff02::1%em0 ping6 statistics ---
2 packets transmitted, 2 packets received, +225 duplicates, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.413/4.573/7.590/1.893 ms

いや、応答しすぎやろw
まだ、v6始まってへんねん。とおもいながら。他のリージョン(東京の最初のVPS)では、こんなに応答しない。

んで、さっきのパケットを投げていた2ノードを調べていた。

# telnet fe80::5054:ff:fe01:347%em0 80
Trying fe80::5054:ff:fe01:347...
telnet: connect to address fe80::5054:ff:fe01:347: Connection refused
telnet: Unable to connect to remote host

# telnet fe80::5054:ff:fe01:347%em0 22
Trying fe80::5054:ff:fe01:347...
Connected to fe80::5054:ff:fe01:347%em0.
Escape character is '^]'.
SSH-2.0-OpenSSH_4.3

Protocol mismatch.
Connection closed by foreign host.

SSHはあいているけど、HTTPは上がっていない。うーん、珍しい箱だなぁ。じゃ、v4しらべたいなぁ。
結構ありがちなのは、v4はiptables/ipfilter等でFWできちんと塞いでいるが、v6はザルな事が多いしなぁ。
とおもい、調査。httpd は、v4のみ、Listenさせている可能性もあるし。SSHdはなにも、設定しないと、v6 でListenするし、ということを考え、v4のアドレスを調べよう。

arpをみて、リンクローカルのv6アドレスから、同じMacの部分を探す。
v6のmacアドレスは、ndp コマンドで調べても良いし、アドレスの末尾(EUI-64を用いた自動生成)から判断してもよい。
arpが学習していなければ、ブロードキャストや、適当にpingを投げれば良い。
幸いなことに、学習していたので、v4のアドレスが判明。

# arp -a
www10038u.sakura.ne.jp (182.48.42.76) at 52:54:00:01:00:38 on em0 expires in 392 seconds [ethernet]
apsv1.cnaka.com (182.48.43.141) at 52:54:00:01:03:47 on em0 expires in 620 seconds [ethernet]
www10251u.sakura.ne.jp (182.48.43.45) at 52:54:00:01:02:51 on em0 expires in 444 seconds [ethernet]
eclair.canalgrande.jp (182.48.43.13) at 52:54:00:01:02:19 on em0 expires in 999 seconds [ethernet]
www10198u.sakura.ne.jp (182.48.42.236) at 52:54:00:01:01:98 on em0 expires in 593 seconds [ethernet]
www10103u.sakura.ne.jp (182.48.42.141) at 52:54:00:01:01:03 on em0 expires in 713 seconds [ethernet]
www10250u.sakura.ne.jp (182.48.43.44) at 52:54:00:01:02:50 on em0 expires in 856 seconds [ethernet]
www10167u.sakura.ne.jp (182.48.42.205) at 52:54:00:01:01:67 on em0 expires in 1099 seconds [ethernet]
www10104u.sakura.ne.jp (182.48.42.142) at 52:54:00:01:01:04 on em0 expires in 648 seconds [ethernet]
www10136u.sakura.ne.jp (182.48.42.174) at 52:54:00:01:01:36 on em0 expires in 438 seconds [ethernet]
www10009u.sakura.ne.jp (182.48.42.47) at 52:54:00:01:00:09 on em0 expires in 826 seconds [ethernet]
www10003u.sakura.ne.jp (182.48.42.41) at 52:54:00:01:00:03 on em0 expires in 1157 seconds [ethernet]
mic.moralogy.jp (182.48.43.75) at 52:54:00:01:02:81 on em0 expires in 1044 seconds [ethernet]
www10217u.sakura.ne.jp (182.48.43.11) at 52:54:00:01:02:17 on em0 expires in 1097 seconds [ethernet]
www10068u.sakura.ne.jp (182.48.42.106) at 52:54:00:01:00:68 on em0 expires in 77 seconds [ethernet]
www10133u.sakura.ne.jp (182.48.42.171) at 52:54:00:01:01:33 on em0 expires in 914 seconds [ethernet]
www10280u.sakura.ne.jp (182.48.43.74) at 52:54:00:01:02:80 on em0 expires in 1063 seconds [ethernet]
itc-artos.com (182.48.42.203) at 52:54:00:01:01:65 on em0 expires in 187 seconds [ethernet]
www10307u.sakura.ne.jp (182.48.43.101) at 52:54:00:01:03:07 on em0 expires in 454 seconds [ethernet]
ikuya.net (182.48.43.196) at 52:54:00:01:04:02 on em0 expires in 543 seconds [ethernet]
www10063u.sakura.ne.jp (182.48.42.101) at 52:54:00:01:00:63 on em0 expires in 862 seconds [ethernet]
server.blsnet.jp (182.48.43.68) at 52:54:00:01:02:74 on em0 expires in 442 seconds [ethernet]
vps5.owari.ne.jp (182.48.43.36) at 52:54:00:01:02:42 on em0 expires in 625 seconds [ethernet]
www10341u.sakura.ne.jp (182.48.43.135) at 52:54:00:01:03:41 on em0 expires in 859 seconds [ethernet]
kororolab.net (182.48.42.167) at 52:54:00:01:01:29 on em0 expires in 1078 seconds [ethernet]
www10372u.sakura.ne.jp (182.48.43.166) at 52:54:00:01:03:72 on em0 expires in 1156 seconds [ethernet]
www10001u.sakura.ne.jp (182.48.42.39) at 52:54:00:01:00:01 on em0 expires in 999 seconds [ethernet]
www10155u.sakura.ne.jp (182.48.42.193) at 52:54:00:01:01:55 on em0 expires in 1007 seconds [ethernet]
? (182.48.42.1) at 00:00:5e:00:01:83 on em0 expires in 1200 seconds [ethernet]
www10188u.sakura.ne.jp (182.48.42.226) at 52:54:00:01:01:88 on em0 expires in 1158 seconds [ethernet]
? (182.48.43.227) at 52:54:00:01:04:33 on em0 expires in 1008 seconds [ethernet]
www10369u.sakura.ne.jp (182.48.43.163) at 52:54:00:01:03:69 on em0 expires in 679 seconds [ethernet]
www10060u.sakura.ne.jp (182.48.42.98) at 52:54:00:01:00:60 on em0 expires in 681 seconds [ethernet]
? (182.48.42.2) at 00:1b:ed:6c:1b:a0 on em0 expires in 1200 seconds [ethernet]
andromeda.asieep.ne.jp (182.48.43.162) at 52:54:00:01:03:68 on em0 expires in 936 seconds [ethernet]
hourenka.com (182.48.43.194) at 52:54:00:01:04:00 on em0 expires in 378 seconds [ethernet]
www10304u.sakura.ne.jp (182.48.43.98) at 52:54:00:01:03:04 on em0 expires in 592 seconds [ethernet]
www10240u.sakura.ne.jp (182.48.43.34) at 52:54:00:01:02:40 on em0 expires in 53 seconds [ethernet]
www10093u.sakura.ne.jp (182.48.42.131) at 52:54:00:01:00:93 on em0 expires in 268 seconds [ethernet]
www10151u.sakura.ne.jp (182.48.42.189) at 52:54:00:01:01:51 on em0 expires in 815 seconds [ethernet]
www10089u.sakura.ne.jp (182.48.42.127) at 52:54:00:01:00:89 on em0 expires in 1094 seconds [ethernet]
www10057u.sakura.ne.jp (182.48.42.95) at 52:54:00:01:00:57 on em0 expires in 1018 seconds [ethernet]
www10359u.sakura.ne.jp (182.48.43.153) at 52:54:00:01:03:59 on em0 expires in 298 seconds [ethernet]
www10178u.sakura.ne.jp (182.48.42.216) at 52:54:00:01:01:78 on em0 expires in 466 seconds [ethernet]
www10295u.sakura.ne.jp (182.48.43.89) at 52:54:00:01:02:95 on em0 expires in 455 seconds [ethernet]
www10231u.sakura.ne.jp (182.48.43.25) at 52:54:00:01:02:31 on em0 expires in 469 seconds [ethernet]
www10327u.sakura.ne.jp (182.48.43.121) at 52:54:00:01:03:27 on em0 expires in 905 seconds [ethernet]
www10114u.sakura.ne.jp (182.48.42.152) at 52:54:00:01:01:14 on em0 expires in 1019 seconds [ethernet]
www10147u.sakura.ne.jp (182.48.42.185) at 52:54:00:01:01:47 on em0 expires in 140 seconds [ethernet]
www10358u.sakura.ne.jp (182.48.43.152) at 52:54:00:01:03:58 on em0 expires in 162 seconds [ethernet]
www10179u.sakura.ne.jp (182.48.42.217) at 52:54:00:01:01:79 on em0 expires in 389 seconds [ethernet]
www10052u.sakura.ne.jp (182.48.42.90) at 52:54:00:01:00:52 on em0 expires in 558 seconds [ethernet]
vps.n00.jp (182.48.42.155) at 52:54:00:01:01:17 on em0 expires in 321 seconds [ethernet]
www10181u.sakura.ne.jp (182.48.42.219) at 52:54:00:01:01:81 on em0 expires in 600 seconds [ethernet]
www10392u.sakura.ne.jp (182.48.43.186) at 52:54:00:01:03:92 on em0 expires in 593 seconds [ethernet]
www10110u.sakura.ne.jp (182.48.42.148) at 52:54:00:01:01:10 on em0 expires in 740 seconds [ethernet]
ns0 (182.48.42.84) at 52:54:00:01:00:46 on em0 permanent [ethernet]
www10322u.sakura.ne.jp (182.48.43.116) at 52:54:00:01:03:22 on em0 expires in 1008 seconds [ethernet]
www10048u.sakura.ne.jp (182.48.42.86) at 52:54:00:01:00:48 on em0 expires in 971 seconds [ethernet]
www10356u.sakura.ne.jp (182.48.43.150) at 52:54:00:01:03:56 on em0 expires in 681 seconds [ethernet]
www10113u.sakura.ne.jp (182.48.42.151) at 52:54:00:01:01:13 on em0 expires in 595 seconds [ethernet]
www10138u.sakura.ne.jp (182.48.42.176) at 52:54:00:01:01:38 on em0 expires in 1145 seconds [ethernet]
www10042u.sakura.ne.jp (182.48.42.80) at 52:54:00:01:00:42 on em0 expires in 1032 seconds [ethernet]
ns1.sensignal.co.jp (182.48.43.48) at 52:54:00:01:02:54 on em0 expires in 421 seconds [ethernet]
www10382u.sakura.ne.jp (182.48.43.176) at 52:54:00:01:03:82 on em0 expires in 316 seconds [ethernet]
www10318u.sakura.ne.jp (182.48.43.112) at 52:54:00:01:03:18 on em0 expires in 552 seconds [ethernet]
www10321u.sakura.ne.jp (182.48.43.115) at 52:54:00:01:03:21 on em0 expires in 957 seconds [ethernet]
www10353u.sakura.ne.jp (182.48.43.147) at 52:54:00:01:03:53 on em0 expires in 852 seconds [ethernet]
www10108u.sakura.ne.jp (182.48.42.146) at 52:54:00:01:01:08 on em0 expires in 822 seconds [ethernet]
coredump.jp (182.48.43.146) at 52:54:00:01:03:52 on em0 expires in 1160 seconds [ethernet]
www10320u.sakura.ne.jp (182.48.43.114) at 52:54:00:01:03:20 on em0 expires in 772 seconds [ethernet]
kuhaku.net (182.48.42.179) at 52:54:00:01:01:41 on em0 expires in 76 seconds [ethernet]
www10013u.sakura.ne.jp (182.48.42.51) at 52:54:00:01:00:13 on em0 expires in 832 seconds [ethernet]

さあ、探そう。grepすればよい。こんな感じだ。

# arp -a |grep '03:47'
apsv1.cnaka.com (182.48.43.141) at 52:54:00:01:03:47 on em0 expires in 853 seconds [ethernet]

# arp -a |grep '02:57'
www10257u.sakura.ne.jp (182.48.43.51) at 52:54:00:01:02:57 on em0 expires in 1129 seconds [ethernet]

さあ、v4のIPが判ったので、外から閲覧してみよう。

結論として、182.48.43.141 は、80番は空いていませんでした。
更に、 182.48.43.51は、EC CUBEのインストールの仕掛けたまま、放置されていたようだ。

因みに、arp を見ていて、面白い逆引き 「 coredump.jp」 を見つけてしまい、アクセスしたところ…。

$ w3m -dump_source http://coredump.jp/ 
<html><head>
<meta http-equiv="content-type" content="text/html; charset=euc-jp">
<title>core dump</title>
</head><body>
<pre>
                     ##                     ##        ##
    ##                ##            ##    ## ##        ##            ##
     #######          #####          ## ## ##          ##             #### ###
        ##         ######            ####             ##                #### ##
       ##            ## ##        #####               ##               ## ## ##
                     ## ##          ##  #####        ##               ##   ###
                     #######        ##     ###       ##               ##
                    #####  ##       ##    ##        #####              ##
                   ######   ##     ##               ##  ##            #######
  ##              ##  ##    ##     ##              ##   ##       ## ### ##  ##
  ##              ## ###    ##     ##  ##          ##   ##  ##    ####  ## ####
   ##      ##     ######   ##     ##   ##         ##    ## ##     ## ## ##
    ########       ##    ###      ##    ######    ##     ###          ###
</pre>
<br>
tomocha!探すなと言ったろ!(笑)
</body></html>

ちょwwww core さん?w

最後のオチが…。ひどかったのでござる。

[ コメントを読む(0) | コメントする ]

2014年06月29日() [晴れ]

[SPAM][Security] SMBC 三井住友銀行の偽サイトにやられてうっかり適当な情報を入力しちゃった…

なんか、私ね、アルバイトのお給料を入れてもらったり、家賃振り込んだり、コンビニATMの利用が無料だから、三井住友銀行でWeb通帳にしてるの。んで、よく使うんで、銀行からメールきたと思って、あわてて入力しちゃった。なんか、あとで聞いたら偽物だったらしくって………(泣

From: k_satoshi_aya@yahoo.co.jp
Subject: 「三井住友銀行」本人認証サービス
お使いのメールアドレスを確認してください
http://www.sxmengting.com/js/

三井住友銀行に登録してるアドレスにね、こんなの確認してっていわれちゃって、リンクがメールソフトっていうの?あれでは、アドレスが見えなくて、そのままいれちゃった。

んでね、メールのヘッダーはこんなんだけど、あたしちんぷんかんぷん。誰かわかりやすく教えて。
なんか、本物とちがうっぽい?なんか、本物はこんな感じじゃなくて、ヤフーからじゃなかったとおもうの。

Received: from ns502-vm7.bullet.mail.kks.yahoo.co.jp (ns502-vm7.bullet.mail.kks.yahoo.co.jp [183.79.57.62])
	by mx1.example.jp (Postfix) with ESMTP id 709B87281BF
	for <tomo@example.jp>; Sat, 28 Jun 2014 23:57:13 +0900 (JST)
Received: from [183.79.100.140] by ns502.bullet.mail.kks.yahoo.co.jp with NNFMP; 28 Jun 2014 14:57:13 -0000
Received: from [183.79.100.132] by t503.bullet.mail.kks.yahoo.co.jp with NNFMP; 28 Jun 2014 14:57:12 -0000
Received: from [127.0.0.1] by omp501.mail.kks.yahoo.co.jp with NNFMP; 28 Jun 2014 14:57:12 -0000
X-Yahoo-Newman-Property: ymail-5
X-Yahoo-Newman-Id: 982453.59778.bm@omp501.mail.kks.yahoo.co.jp
Received: (qmail 95593 invoked by alias); 28 Jun 2014 14:57:12 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.co.jp; s=yj20110701; t=1403967432;
bh=h6k5TSIs1OazhAil3vOO8TOCiaCk//BB2ep3aXP+Lyc=; h=Received:X-YMail-JAS:X-Apparently-From:
X-YMail-OSG:Message-ID:From:To:Subject:Date:MIME-Version:Content-Type:Content-Transfer-Encoding:
X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE; b=EA2Fy5KV+eidtFMO5hHwMzPGkWPVuiWX8h86jt8D
XNjJEB0djp4NGrEe7xI5poNvQNpYM1VG35V8eeQtxL5CLH0TImcqZY/VjQEVBqbj5bf8c5GU9P+Ii4wrAl9zjRbUKEs
j1j2XfI6bjm6awL3qmk7b3NVTGnBxu3HUgsQELZY=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
  s=yj20110701; d=yahoo.co.jp;
  h=Received:X-YMail-JAS:X-Apparently-From:X-YMail-OSG:Message-ID:From:To:Subject:Date:
  MIME-Version:Content-Type:Content-Transfer-Encoding:X-Priority:X-MSMail-Priority:X-Mailer:
  X-MimeOLE; b=fHHB0Na6bY0gLSQoPMw2fQmpBuuz2a7P3kkatpPXiE6IVAb6kSCV1ViLLUPJ3/oNmiMa0mm8m7Ui
  BLoCy6IyLAQDKJTvFKJZlJI2GPMZNv3IJs8Y0BWKeJTZRRn6tTiCx3hCybLlMQ/dD4xVm5Mqd+70lbmWFIalK41Sx
  CgPPug=  ;
Received: from unknown (HELO ydz) (183.141.185.135 with login)
  by smtp501.mail.kks.yahoo.co.jp with SMTP; 28 Jun 2014 14:57:11 -0000
X-YMail-JAS: _rT638gVM1kiZiad0C9Z_GcCiW12SNcvbSsXygT6Oxeg6YDciIGokcdvvIFdPPUUwR6rxkdRk7T7xQ
LwVpuZesJ9RyFreuNoP8KT_0IRfo0AAw1ufsb3d9sHzSSNi4dDdg--
X-Apparently-From: <k_satoshi_aya@yahoo.co.jp>
X-YMail-OSG: O1npCR4VM1lHMkRi.Fbbn7SqcvN6SUxV9N.Sb9579Uwyfb0hLHPtNBjUipI94Yk.EtcI5NlJSBR0I
4NlP7ijhJE9bIpXXSWeeLaBR5W0_PHZWDrYbZF8BfeixYU7Sd546C56NLY_WsVrxwjK.6mhMyRkqTOxjU1FfxY2jn.
XO9H2b7uMoC6YnoqiKxb_TVZX5xpf..RlUBFeh6qczeMXeCrdN7eUF3YdFv_NcjTl7.6dpcCff5Wxyz2Vlgq_4aW8p
2RAMYcLo7PEUC3SJ2p8jzdQ6weLOj4FP7g6pASCrYOsGCyDT3AZiHGv66iWBvW.nlvkqu5dsVzpHGdU9HWCTBt5bjJ
S2Yjb8OOvFakcmIJqQi16kdzPlsCYZthzn_ix63pa_OtcZT1jb62.TfXs8IeG0gxhKzRqEUdgPxFVZJbXiCqkjMOy4
w6Ixl92NsRTNwU-
Message-ID: <6F84F202EDC35033DBA6A349312EF824@ydz>
From: =?utf-8?B?5LiJ5LqV5L2P5Y+L6YqA6KGM?= <k_satoshi_aya@yahoo.co.jp>
To: <tomo@example.jp>
Subject: =?utf-8?B?44CM5LiJ5LqV5L2P5Y+L6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?=
Date: Sat, 28 Jun 2014 22:56:58 +0800

私が振り込みしたときの本物はこんな感じだったの。わかりやすくおしえてー。

From: =?iso-2022-jp?B?GyRCOzAwZj07TSc2ZDlUISEkKjxoMHo8dUlVNDBOOyROJDRPIk1tGyhC?= 
      <SMBC_service[-at-]xdn.smbc.co.jp>
Reply-To: SMBC.Auto.reply[-at-]xar.smbc.co.jp
To: tomo@example.jp
Subject: =?iso-2022-jp?B?GyRCIVo7MDBmPTtNJzZkOVQhWz82GyhC?=
   =?iso-2022-jp?B?GyRCOX48dUlVNDBOOyROJCpDTiRpJDsbKEI=?=
Date: Fri, 27 Jun 2014 20:55:39 +0900
Message-Id: <201406272055394[-at-]amail131.smbc.co.jp>
X-Durian-From: dr-db0000011f9259dc2601.dl00000146dbe4bc0e44
MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; 
 boundary="----9D783F1D17717132F4E85CC368A5AE23"
X-URIRBL: No, test=check_uri.pl, version=1.50

This is an S/MIME signed message

------9D783F1D17717132F4E85CC368A5AE23
Content-Type: text/plain; charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit

何が違うの??iso-2022-jpってなあに?S/MIMEってなんか、見慣れない文字があるけど、これって・・・?

んでね、念のため、スクリーンショットとってたから、アップするね。

リンク開いたよ。
なんかね、ブラウザが警告出してきちゃったけど、よくわかんないからそのまま進んだよ。なんで、無視するってリンクがわかりにくいの?



やっと無視したら、また聞いてきて、これなんなの…。



無視したらやっと、なんかサイトが出てきたんだけど、なんかずっとへんな赤いバーの警告みたいなのが偽物ってずっといってるけど、どう見ても本物なんだけど、なんで?



そういえば、ちょっと前から口座番号でも入れるようになったんだよね。ずっと、契約番号で使ってたから、そのまま番号いれちゃった。014とかなんとかかんとか。
んでね、キーロガーっていうの?入力内容取られる可能性があるらしく、ソフトウェアキーボードで入力することをおすすめしますってよく教えてもらったので、いつもクリックして、入力してるの。画面でタッチしたくなるよね。最近スマホとかはやってるしね。あ、私のパソコン、画面おしてもにじむだけでなにもできなかったの><
んで、起動に失敗したってなにょー!!仕方なくキーボードで入力しちゃった。



やっといれれたよ。



ログインボタンおしたら、へんな画面でてきちゃったから、戻ってもう一回ためしたけど、だめだったので、口座番号でいれたよ。



番号いれたよ。



なんかね、見覚えのあるカードを入力してっていわれたけど。全部いれてもいいのかしら。。。これで、本人認証してるんだよね?しかたない、全部入れちゃうね。



入れてみたよ。カードはちゃんと用意したよ。



なんか、4回も入れてねっていわれたけどさ、銀行振込するとき、二つの枠があって、そこしか入力しなかったはずだけど…全部いれて最近本物か確認するのね。でもさ、それなら、訳のわからない数字を全部いれるってなったら、打ち間違いとかおおくないの?ちょっと心配。でも、全部いれなくても2つ以上正しかったらあっていると判断してもいいのにね。ちょっと変だよ。ここ。だけどね、入力してっていわれたから、素直にいれてみたよ。



なんか、生年月日いれてねって。私、いくつだっけ。そうそう、今年二十歳だから、昭和…あれ?平成…。




だけどね、全部いれて実行しても何も始まらないの。あれ?ここで、変だと思って閉じちゃった。。
銀行のページにも飛ばないし…なんでだろ。。


あとで、おじさんに教えてもらって調べてみたらフィッシングっていうの?なんか、情報とられちゃった。 口座のお金大丈夫かなあ…心配。気付いたらすぐに暗証番号変更してね。
なんか、銀行のページに丁寧な説明あったので、参考にしたよ。

http://www.smbc.co.jp/security/index.html

ちょっと、よくわからないけど、最近whoisってやつ?あれつかうと、どこの国とか解るんだってね。ちょっと調べてみたので、参考にしてみてね。IPアドレスで区別つくんだって。あれって、住所みたいな電話番号みたいなやつってきいたんだけど。どうやれば区別つけれるのかちーっとも、わかんないよ。えーん。

$ host www.sxmengting.com
www.sxmengting.com has address 1.93.15.30

$ whois 1.93.15.30
inetnum:        1.93.0.0 - 1.93.255.255
netname:        HSOFT
descr:          Beijing hsoft technologies inc
country:        CN

中国にあるのね。

$ w3m -dump_head http://www.sxmengting.com/js/
HTTP/1.1 200 OK
Content-Length: 289
Content-Type: text/html
Content-Location: http://www.sxmengting.com/js/index.htm
Last-Modified: Sat, 28 Jun 2014 10:16:12 GMT
Accept-Ranges: bytes
ETag: "7e1dc2fcb992cf1:b91e"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET

$ w3m -dump_source http://www.sxmengting.com/js/
<html>
<head>
<meta http-equiv="Content-Language" content="zh-CN">
<meta HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
<meta http-equiv="refresh" content="0.0;url=http://direct.smbc.com.iivi.pw/aib/aibgsjsw5001.jsp">
<title></title>
</head>
<body>
</body>
$ host direct.smbc.com.iivi.pw
direct.smbc.com.iivi.pw has address 218.222.22.67

$ host 218.222.22.67
67.22.222.218.in-addr.arpa domain name pointer U022067.ppp.dion.ne.jp.

$ whois 218.222.22.67
inetnum:        218.222.16.0 - 218.222.39.255
netname:        KDDI-NET
descr:          DION (KDDI CORPORATION)

KDDIって、最近後退し始めたという噂のあそこね。
孫社長、また薄毛ネタ名言で絶賛でもね、KDDIって、2番目に拡大しつつある会社だよね。さすが。

[ コメントを読む(0) | コメントする ]

[Security] CTF for GIRLS に参加してきたよ。女子限定イベント、スイーツおいしい。

CTF for GIRLS というイベントがあって、 冷やかしリハビリに参加してみたよ。
やっぱりね、お目当てはこっち(笑)

参加費:無料(ランチ、スイーツ付)

ランチにスイーツ!!タイムテーブルの内容は、二の次。
場所は六本木ヒルズ。一時期毎日通い詰めていた GREE さんの会場。
よくお昼に食べていた行きつけのMOTHERSが閉店したんだよね。とか思いながら、六本木でランチとスイーツがついてくるって、素敵。ホント素敵。

参加資格は女性で、スタッフも女性で構成されていて、メディアの方も女性であることが条件。メディアの方でアシスタントに男性が来る場合はOKだとか。んで、会場内で 男性はアシスタントの方1名だけ。

タイムテーブルはこんな感じ。一応網羅しているっぽい。

午前は講座。初心者で本当に右も左も分からない人も居ることを想定して講義があるらしい。実際にセキュリティー系をガチでやってる人もいれば、余り判らないのでお勉強のために来てる人や、スイーツ目的の人もいてたみたい。うん、私は明らかに後者。


 事前準備編:

金曜日の夜に、7.3GBもの VirtualBox のvmイメージをダウンロードして、PCに環境を作って持ってきてね、という課題。
同居人とお酒を飲みながら、まったりしていて、土曜日はそのまま一緒に出かけたりしていたので、全然メールに気付かず、日曜日朝早いしねるかなーといいながら、お酒を飲んでメールを見たときに唖然。気付いたの日曜日の1時過ぎですよ。お肌の大敵。でも、がんばって技術調査を含めて、環境作るしかないのね…。
えっと、これ、鬼畜です…。

私の偏見かもしれないけど、家に光ファイバやADSLなど引いていない人も増えてきているっていうし、スマホなどのテザリングで過ごしている一人暮らしも多いみたいだし、一人暮らしでましてやガチIT系じゃない限り、なかなか家に固定回線を引かないのが増えてきている時代で、7.3GB のvmイメージを落としてねというのは、結構鬼畜。ほんと、7.3GBですよ。パケット通信の7GB超えるんですよねー。とか思いながらダウンロード。わが家ではネットワークには困ってないですけどね。
もし、ダウンロード出来ない人の為に、当日vmイメージの入ったUSBメモリを数本用意しておきます。ということ。このあたりはきっちりと考えられていますね。すばらしい。

んで、私は、ダウンロードではなく、困ったのは、 VirtualBoxが満足に動かせるスペックのノートパソコンを持っていないということ。

なぜならば、全て仮想環境の上で成り立っており、ターミナル端末として、ノートパソコンがあり、RDPを前提としているから、10年前のパソコンの性能で困っていない。で、メモリも2GB、PATA HDDとかだったりするレベル。OSがちゃんと起動してそこそこ快適に動けば十分。すなわち、OfficeとMUA、RDP、ターミナルが動けばそれだけで十分。今手元にあるMacbookAirもメモリ2GB だし、SSDも少ないし…てことで、環境を作るには、20GB以上のHDDの空きが必要だとか。こっちも明らかにスペック不足。

真面目にコマッタちゃん。vmイメージテンプレートは、ova 形式だったので、VMware に ovf 形式にコンバートが出来ないか事前に調査したところ、 vmware ovf toolというのがあるので、これで、ova -> ovf 形式に変換して、メタファイルを、VMware でつかえるように書き換えて、ovfテンプレートのデプロイをすれば無事に動いた。ここにたどり着くまで一苦労。

詳しくは、DELLコミュニティにある VirtualBox用のOVAファイルをESXi 5.5で使う方法を読めば良いでしょう。変換及びデプロイに2時間ほど掛かってしまいましたorz。
んで、起動確認を行ったときには、朝の4時。外が少し明るくなっていて、参りました…。(涙
一応両方のvmイメージを置いておいてくれるとか、変換出来ますよ、VMware でもいけますよと一言あれば、もうすこし楽だったのになぁと思いました。
んで、私みたいにノートパソコンが古くて動かないケースなどは考慮されず、十分な準備時間が無かったのは少し残念です。ということで、事務局にメールをしたら、VMware で動くのでコンバートしてデプロイしてね、会場には無線があるから、RDPで繋ぐといいよ。って内容が帰ってきていました。
私もコンバート出来ないか考えていたので、だいたい思うところは一緒と言うこと、会場は無線LANがあるので、自宅なんちゃってクラウドとは言わない仮想化基盤へ乗っけて、VPNで接続して、RDPしてました。

だけど、会場の無線LANは、L1レベルは比較的安定していたが、nat が詰まったような感じというか、セッションが一定時間でぶちぎられるという症状で、結構しんどかったです…。

因みに、このvmイメージの中に、Windows 7 と Acrobat Reader と講義資料のPDF及び課題が配置され、必要なアプリケーションは事前にインストールされているという至れり尽くせり。



こんな感じで、vmが動かせればそれだけで、全てが完結するような内容でした。作り込み、本当にご苦労様です。

因みに、Windowsのログインパスワードは、「passw0rd!」 でした(w
o -> 0 と置きかえるのは鉄板ですねwwww。


 会場に来てみて:

朝8時頃に別の VMware でRAID1で組んでいるSSD+HDDハイブリッドディスクが同時に2本死んでvm吹っ飛んで、アラートなりっぱなし、復旧作業。 先ずは、影響範囲と何が死んだのか特定をしつつ、会場へ向かって移動。うん、遅刻するかなぁとおもったけど、15分前になんとかたどり着けました。

会場に入ってみると思ったのは、ほんと、女子ばかり。女子なんですよ、若い女子。キラキラ系女子も。目のやり場に困っちゃうぐらい。 どうやら、新入社員や入社数年目だったり、大学生(学部生)だったり。場所が六本木ということもあり、みんなちゃんと洋服にも気をつけてきているようで、スカート率が高かったです。。。私は、ジーパンに襟付きのブラウス的なもの。ウェストポーチに、ノートパソコンの入った鞄で、スニーカー。こんなラフな人はほとんどいません…。ましてやTシャツの人はいませんね。IT系男子といえば、ジーパンに黒色のTシャツというイメージがついている私。180度変わって華やか。華やかすぎる!!まぶしすぎる!!
あとは、若い社会人の人は、セキュリティーに関わる人が多かったり、株式会社ラックの女子が多かったりと。20代が目立っていた気がします。

んで、今回は、メディアの方々も来られているので、写真には写ってはいけない人などもいるので、ストラップで色分け。写真に写ってもいい人と駄目な人を分けて、ここまでは写真撮影おっけーの人たちですーとアナウンスがあり、考慮された上で、チーム編成がされていたり等。結構しっかりしてました。関心。この業界、華があってお金がある会社が多くて、人も若くて素敵!!あー。こっち目指そうかなー。完全女性限定のこういうイベントいいなー。元気と笑顔もらえた。(もうたぶん、私おばさん。)


  ランチは六本木ヒルズ地下にあるオサレなお店, イルリトローボ:

ランチは、ヒルズ地下にあるお店。
どうやら人数が多いため、二つのお店に分散すると言うことで、私がいただいたのは、 イルリトローボ(IL Ritrovo)というお店
食べログで、3.53という高評価。



前菜。



生ハム、サラミハムなど。



ピッツァ



ペンネ。因みにこれ、4人分…。明らかにどうみても、男性6人、女性8人分。



その後、デザートはなく、さらに、チーズてんこ盛りのピッツァがやってきました…。
最後、ピッツァといわれた瞬間、みんなの顔が曇って…、食べれる人で食べて、時間オーバー。
でもね、とーってもおいしかった幸せ。スポンサー様、ご馳走様でした!!


 午後の講義と演習:

んで、戻って、午後1本講義をやり、CTFスタート。CTFとは、(Capture the Flag)の略で、旗取り合い合戦。どういう事かというと、セキュリティ技術を競い合うコンテスト。いわゆる宝探しです。
脆弱性の有るシステムを攻撃し、隠された文字列であったり、情報だったりを探し出し、それを回答すること。

具体的に言うと、

といった事をやっています。
勿論、脆弱性の方は、おたがい守ることもしなければならないので、攻防両方やらなければなりません。

今回は、ビギナーということで、簡単な問題がいくつかあたえられました。必要な解析ツールなどは全て仮想環境に構築されており、触るだけ。本編のイベントなどでは、ヒントなどは一切無いらしいので、何が仕込まれているか探すところから。。

あたえられた問題は次の通り。

私的には、バイナリ問題がとても勉強になりました。これは、バイナリハックをする経験もなく、意味が分からなかったので、アセンブラの話しなどを学べたのが大きいです。あとは、意味が理解できれば、どのようにして回避するかという手法を考え、実践するだけ。とっかかりと扱い方が解れば今回の問題は比較的簡単に解けました。私にとってはこのバイナリハックが一番為になった事ですね。バイナリ問題は、10万回クリックし、最後に得られるメッセージを見るという問題で、10万回クリックというのは非現実的。そこで、OllyDbg を使い、10万回クリックするという処理を回避させ、答えを得るという物。回避するにはどういう手法があるのか考える必要があります。動作を確認したのち、回避方法を検討する。結果、三つのプランが成り立ち、条件判定の変更を行う(10万回クリックしなくてもいい)、そもそも判定をさせない、そもそもスタートを0回からのスタートではなく、10万など大きな値で始める。といった事があり、OllyDbgで処理を書き換えてやればOKという問題でした。

あと、フォレンジック問題は結構日常でやっていることなので特に困りはせず。昔はよく、中古で買ったハードディスクやCFカードなどをフォレンジックというかデータサルベージなどをして楽しんでいました。昔は、完全消去とか余りうるさくなかった時代、簡易フォーマットやパーティション解放のみで販売されるケースが多く、全部データを上書きしていないので、ファイルシステムの箇所だけ消去、実態は残っているという事が多かったので、データの抽出など日常でやってました。
今回の問題は、削除されたファイルを見つけるということと、メールで送られた画像(GPS画像の位置情報の改ざん)を見つけ、オリジナルの比較をするというフォレンジック問題。んで、何が改ざんされたか答えよっていう問題。このとき、BASE64でエンコードされたテキストメッセージで圧縮されているファイル、そして、それに対するパスワードファイル(削除済み)を両方見つけ出して、gmailにログインして、問題の写真を探し、EXIFを比較せよということ。これは、5分もかからずとも説けたのですが、スタッフの人に、文面では、gmailにログインせよとあるが、これって、本当にログインしてもいい問題か?不正アクセスに引っかからんよね?(片山氏の例のはなしじゃないけどw)と聞いたらgmailにログインしてもらって構いませんということだったので、これで、ゲット。そこに対するちゃんとした説明がなかったのがきわどいかなぁと。ちなみに、コレ、説けたのは3人ほど。

んで、問題を解いているとおやつタイム。ぐふふ。


  おやつタイムのスイーツ!:

スイーツは、 ラ ブティック ドゥ ジョエル・ロブションのケーキとスターバックスの珈琲。



ブランブラン(Chocolat blanc)で、ハート型です!



チーズ!



とり出してみました!



立体的に。チョコがすんごい。



甘さ控えめでとてもおいしい。うん、幸せ。一個、良いお値段。幸せ。


 宴会。:

無事に終わり、懇親会へ。六本木のお店です。これ、踊れるやん!



明らかにケータリング。



芋とソーセージ。
チョリソーも混じってて良かった。



サーモン。



シーザサラダ。



LTで脆弱性を見つけて、IPAに届け出したときの発表。
お姉さんの趣味に共感。うるうる。ほんと、ぶっとんでるねー。
私より女子力高いし、うらやましい!
しかも夏休みの自由研究的に、時間があるから、今年は脆弱性を探そう、今年はマルウェア解析をしてみよう。うん、その志好き。きゃーほれちゃったー!


 参加してみて:

今回こういうイベントは初めて。
昔、HackerJapanを連載で持っていたり、セキュリティー方面の方に顔を出していたことがあり、東京に出てきたとき、しばらくセキュリティーの人だと思ってましたっていう方もいらっしゃれば、ネットワークの人だと思っている方もいらっしゃる。いろいろなところに顔を出していたからですね。
今回、セキュリティー系のイベントに参加していて、Tomocha さんですか?と聞かれたり、実行委員のメンバーの中では、「Tomochaさんが来るみたいだよ。ガチだよ。」という話しになっていたりとかで、どうやら、話題に上がったそうです。

懇親会ではステージから名指しされたりとか、色々と。ほんと、世界は狭いって事と、新しい世界への発見が出来てよかったですね。

で、実際参加してみたところ、一通りやって、講習・実習といったところが出来るので、広く浅くから、自分の向いている分野を掘り下げるきっかけとしてはとてもよいイベントだと思いました。こうやって、エンジニア女子が増えていくのは嬉しいことです。後は数名、結構ガチでやってらっしゃるような方もいたり(そっちはだいたい運営側…)、出会いがあって良かったですね。おいしいお料理とスイーツもいただけて超満足。最初は、参加したとき知り合いいてないだろうなーとおもっていましたが、本当にほとんどいませんでした。偶然ご近所さんのお姉さんが参加されていて、隣の席に座ってしまいましたが。ほんと、それぐらい。今回参加して、知り合いになれた方もいるので、次回からは気楽に参加出来そうですね。また、是非開催を御願いします。
本選あるなら、出てみたいなぁ…ともおもったり、でないの?と言われたりもしましたが、きっかけが有れば是非。チーム作りか、どこに入るかからかしら。

あ、そうそう、 女性同士、気軽に教え合うCTFワークショップ:実はこんなにいた! セキュリティ女子 @ITに2枚ほど写真に写り混んでいます。探してみてくださいw
高橋さんは、以前一緒にイベントさせてもらったときに一緒だったので、よく覚えていて、ちょっと雑談したりしてました。偶然かもしれませんが、近くで撮影されていたのでよく写り混んでいました:)


 関連サイト:

メディア記事

個人サイト、まとめ他

[ コメントを読む(0) | コメントする ]

Diary for 2 day(s)
Powered by hns HyperNikkiSystem Project




(c) Copyright 1998-2014 tomocha. All rights reserved.