1. watchA/cloudflare/乗取/konnor
乗取でないとしても、cloudflareが保護目的で設定したかは疑問だ。
1.1. ドメイン名
activeになっていて、NSがkonnor+zariyahを指しているドメインを52こ検出した。
soaのタイムスタンプも集中しているので、なんらかの手段で乗取ったと推測している。-- ToshinoriMaeno 2020-03-20 01:16:38
その後、70件まで増やした。
委譲のNSはバラバラ。(69件の調査 -- ToshinoriMaeno 2020-03-25 11:18:47)
このことからも、乗取あるいはcloudflareによる防衛措置かと考える。
正常な委譲でkonnor, zariyah をそれぞれ指定するものは非常に少ない。(組はゼロだ。)
konnor, zariyah 組がなんらかの目的で使われている可能性がある。-- ToshinoriMaeno 2020-03-20 01:16:38
coinbing.com. 86400 IN NS konnor.ns.cloudflare.com. coinbing.com. 86400 IN NS zariyah.ns.cloudflare.com.
/dietsufi.com whoisが最近更新されている。更新内容からは乗取を推測する。
同一人が登録しているドメイン群とは思えない。(konnor+zariyah が割当られたアカウント)
cloudflare側が勝手に移動しているということもあるかも。-- ToshinoriMaeno 2020-03-16 08:26:40
/creditcardpartnerships.com /bollywoodrazzie.com
ゾーンの更新(SOA serial)は以下の期間(10分間)に集中している。(今年の1月1日 0時は 2032938432 あたり)
- 2032982180 -- 2032982244 (1月6日のどこか)
この間になにが起きたのか。(これ以前の設定が分からない)
- konnorとethanとが同じ手口なら、ethanを追うのがいいか。
/boiler-country.com /bodybyivy.com /cnnewslink.com /capitandando.com /carmilea.com /chinawithoutborders.com /daemonleeschmidt.com /galaupoker.com
bertrandk.com bodybyivy.com boiler-country.com bolamerah.com brandsdatabase.com bumiraja.com bungkuss.com butikko.com caixun888.com capitandando.com carikurir.com carmilea.com carswatcher.com carvinwedding2015.com cemipekci.com ceptelefonuteknikserviskayseri.com checkinsights.com chezmarina.com chibiavillage.com chinawithoutborders.com church4ever.com cimaplay.com cnnewslink.com coinbing.com commoditiplex.com commonwealthmortgages.com creepersmacker.com cremadulce.com crescentbeachvilla.com ...