今話題の3s3s.orgについて判ったこと


大手企業各社が「偽サイトが作られた!」と騒いで話題になっている「3s3s.org」ですが、ついうっかり踏んでしまった結果として判ったことがあるので纏めてみます。

ちなみに、トップページにアクセスするとロシア語のページが出てきますが…

3s3s-20140728-0a

よく見ると、英語のページもあるようで、要するに「ブロックされちゃった不幸な人を救済してあげるよ」的なサイトのようです。

3s3s-20140728-0b

ということで、うっかり踏むと「オリジナルアドレス.3s3s.org」的なアドレスが自動的に生成されて、ソックリそのままのページが出てきます。これは、3s3s.org経由のウチの会社のページ。元のページがhttpsなので「h_t_t_p_s.」で始まるアドレスになっています。

3s3s-20140728-1

こっちがオリジナルのページです。faviconも含めて完全に再現されていますね。

3s3s-20140728-3

んで、せっかくなのでアクセスログを見てみたところ…

3s3s.org – – [28/Jul/2014:21:52:40 +0900] “GET / HTTP/1.1” 200 20488
3s3s.org – – [28/Jul/2014:21:52:43 +0900] “GET /wp-content/themes/kougyou_c2_wt/style.css HTTP/1.1” 200 25568
3s3s.org – – [28/Jul/2014:21:52:44 +0900] “GET /wp-includes/js/jquery/jquery.js?ver=1.11.0 HTTP/1.1” 200 96402
3s3s.org – – [28/Jul/2014:21:52:48 +0900] “GET /wp-content/plugins/contact-form-7/includes/js/jquery.form.min.js?ver=3.51.0-2014.06.20 HTTP/1.1” 200 15248
3s3s.org – – [28/Jul/2014:21:52:49 +0900] “GET /wp-content/plugins/contact-form-7/includes/js/scripts.js?ver=3.9 HTTP/1.1” 200 9630
3s3s.org – – [28/Jul/2014:21:52:52 +0900] “GET /ptwix/index.php HTTP/1.1” 200 3520
3s3s.org – – [28/Jul/2014:21:52:53 +0900] “GET /wp-content/themes/kougyou_c2_wt/images/container_bg_wt.jpg HTTP/1.1” 200 1274
3s3s.org – – [28/Jul/2014:21:52:53 +0900] “GET /ptwix/themes/silver-blue/PtwiX.css HTTP/1.1” 200 3414

っていう感じで、3s3s.orgで生成されたアドレスにアクセスする度に弊社サーバーにアクセスしてきます。なので、キャッシュしていない(3s3s.org側でコンテンツを保持していないらしい)ことが判ります。

んで、試しに.htaccessで3s3s.orgを拒絶してみると

3s3s-20140728-2

こんな感じになりました。トップページで403になるとwelcomeページが表示される設定になっているため、この画面になっています。

と言うことで、3s3s.orgなアドレスでオリジナルと同じページを表示されたくなければ.htaccessや設定を変更して3s3s.org経由のアクセスを拒否すればいいという事になります。

まぁ、偽サイトはいろんな形で現れるものですし、これを機に大騒ぎして利用者に注意喚起することは悪いことではないと思います。ただ、こんな形で3s3s.orgの挙動が判ったことですし、是非ともアクセス拒否設定を入れてくださいな。


追記しました(2014/8/24)

実は、当初は3s3s.orgを弾くことで拒絶出来ていたのですが、現在はできないようです。そこでnslookupで調べてみると以下のようなことが判りました。

----------
[kumachan@Mickey-MacOSX]$ nslookup 3s3s.org
Server: 192.168.0.3
Address: 192.168.0.3#53

Non-authoritative answer:
Name: 3s3s.org
Address: 178.62.181.6

[kumachan@Mickey-MacOSX]$ nslookup h_t_t_p_s.kumasanda.jp.3s3s.org
Server: 192.168.0.3
Address: 192.168.0.3#53

Non-authoritative answer:
Name: h_t_t_p_s.kumasanda.jp.3s3s.org
Address: 185.14.28.160
----------

はい。アドレスが違いますね。しかも、ログを辿れないようにする為なのか逆引きがおかしな事になっています。

----------
[kumachan@Mickey-MacOSX]$ nslookup 178.62.181.6
Server: 192.168.0.3
Address: 192.168.0.3#53

** server can't find 6.181.62.178.in-addr.arpa.: NXDOMAIN

[kumachan@Mickey-MacOSX]$ nslookup 185.14.28.160
Server: 192.168.0.3
Address: 192.168.0.3#53

Non-authoritative answer:
160.28.14.185.in-addr.arpa name = 3s3s.org.

Authoritative answers can be found from:
28.14.185.in-addr.arpa nameserver = ns3.layer6.net.
28.14.185.in-addr.arpa nameserver = ns4.layer6.net.
28.14.185.in-addr.arpa nameserver = rdns-kha1.layer6.net.
ns3.layer6.net internet address = 146.185.141.119
ns4.layer6.net internet address = 192.241.163.115
rdns-kha1.layer6.net internet address = 217.12.199.2
----------

何と、3s3s.orgの正引きアドレスには逆引きが設定されておらず、h_t_t_p_s.kumasanda.jp.3s3s.orgの正引きアドレスに逆引きが3s3s.orgと設定されていました。

なので、アクセス拒否する際の記述は以下ではダメです。

----------
order allow,deny
allow from all
deny from 3s3s.org
----------

以下のように記述する必要があります。アドレスは生成されたアドレスを基にnslookup等で調べてください。

----------
order allow,deny
allow from all
deny from 185.14.28.160
----------

これで、拒絶出来るようになりました。


2 thoughts on “今話題の3s3s.orgについて判ったこと

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です