はじめに

こんにちは、知ってる韓国語は、「美味しい」と「天罰」です。

前回に引き続き、今回も X で蔓延っている投資スパム Bot が誘導するフィッシングサイトについて、書いてみようと思います。
Part 1 はこちらです。

brutalgoblin.hatenablog.jp

前回はフィッシングサイトの特定までしましたが、調査を進めていると Cloudflare 裏のサーバー IP を特定することができたので、その方法について軽く触れつつ、実体となる IP を調査してみます。

本記事では、分かりやすさを重視しているので、実際の調査手順（時系列）と違う部分があったりしますが、ご容赦ください。
また、最後の一番肝心な部分が攻撃者に知られたく無いので、パブリックなとこに書けないです。

それと、今回は「対策！」みたいな話は無いです。（Part1 のタイトルに引っ張られてしまった）

前回の記事のおさらい

前回のおさらいをしておきます。
投資詐欺は以下のフローで行われていました。

インプレッションの高いツイートに対して、犯罪者のアカウントで投資関連のツイートをする
被害者は (1) のツイートを見て犯罪者のアカウントをフォローする
(2) でフォローしたアカウントから、DM で LINE グループに招待する
LINE グループ内で、投資詐欺に引っ掛けるための「心理的な障壁」を時間をかけながら取り払う (2週間 - 1ヶ月くらいかけるらしい)
フィッシング詐欺用のサイトに誘導する
銀行などの情報を盗む

図で説明すると、以下のような流れです。

(1) 攻撃者アカウントを被害者にフォローさせる

(2) DM から LINE Works に誘導し、LINE 友達登録に誘導する

(3~5) LINE グループに参加

(6) フィッシングサイトで被害者から口座情報など(?)を盗む

この、フィッシングサイトの IP というのが、今回の話の根幹部分です。

サーバーの IP の調査

サーバーの IP を特定する

このフィッシングサイトは、Cloudflare 裏に配置されており、ドメインを落とされてもサーバーの紐付け先を変えるだけで運用を継続できるようになっています。

そこで、Cloudflare 裏のサーバー IP を特定することでテイクダウンを容易にしたり、更なる脅威アクターの情報収集をしたいところです。

これまで、フィッシングサイトは、以下のアプローチを中心に検知していました。

(脅威アクターにバレたくないので秘密) - 検索速度が遅く、検知精度も悪いが、検知漏れをカバーできる可能性がある
(脅威アクターにバレたくないので秘密) - 検知速度は早く、ある程度網羅性もあるが、XXXXされるとだるい

これらの方法で検知を進めていたのですが、ある時「あれ、Shodan で HTML Title 検索したっけ？」となったので、試しにやってみます。

これまで観測した HTML は以下です。

上田トラディション機関
Pine Bridge
Russell Investments
AllianceBernstein (執筆時に初めて観測)

すると、この脅威アクターが（現在か、過去に）稼働させていたと思われるサーバーが出てきました。

47.245.31[.]42

それっぽいのが見つかりました。前回調査時に調べた気がしますが、どうやら調査漏れしてたようです。

Port を見ると、かなり色々空いていそうです。

とにかく、この IP を舐め回すように見ていきましょう。そして、可能であれば、この IP が Cloudflare の裏にある IP である証拠を見つけたいところです。

サーバー情報の収集

IP / Whois

IP:

47.245.31[.]42

whois:

% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

refer:        whois.arin.net

inetnum:      47.0.0.0 - 47.255.255.255
organisation: Administered by ARIN
status:       LEGACY

whois:        whois.arin.net

changed:      1991-01
source:       IANA

# whois.arin.net

NetRange:       47.235.0.0 - 47.246.255.255
CIDR:           47.240.0.0/14, 47.244.0.0/15, 47.246.0.0/16, 47.235.0.0/16, 47.236.0.0/14
NetName:        AL-3
NetHandle:      NET-47-235-0-0-1
Parent:         NET47 (NET-47-0-0-0-0)
NetType:        Direct Allocation
OriginAS:
Organization:   Alibaba Cloud LLC (AL-3)
RegDate:        2016-04-15
Updated:        2017-04-26
Ref:            https://rdap.arin.net/registry/ip/47.235.0.0



OrgName:        Alibaba Cloud LLC
OrgId:          AL-3
Address:        400 S El Camino Real, Suite 400
City:           San Mateo
StateProv:      CA
PostalCode:     94402
Country:        US
RegDate:        2010-10-29
Updated:        2024-11-25
Comment:        1.For AliCloud IPR Infringement and Abuse Claim, please use below link with browser to report: https://intl.aliyun.com/report
Comment:
Comment:        2.For Alibaba.com and Aliexpress.com's IPR Infringement , please use below link with browser to report: https://ipp.alibabagroup.com
Comment:
Comment:        3.For Alibaba.com and Aliexpress.com's Abuse, please send email to those two mail lists to report: intl-abuse@list.alibaba-inc.com and abuse@alibaba-inc.com
Comment:
Comment:        4. For network issue, please send email to this mail list: aliops-goc@list.alibaba-inc.com
Ref:            https://rdap.arin.net/registry/entity/AL-3


OrgTechHandle: ALIBA-ARIN
OrgTechName:   Alibaba NOC
OrgTechPhone:  +1-408-748-1200
OrgTechEmail:  abuse@alibaba-inc.com
OrgTechRef:    https://rdap.arin.net/registry/entity/ALIBA-ARIN

OrgAbuseHandle: NETWO4028-ARIN
OrgAbuseName:   Network Abuse
OrgAbusePhone:  +1-408-785-5580
OrgAbuseEmail:  abuse@alibaba-inc.com
OrgAbuseRef:    https://rdap.arin.net/registry/entity/NETWO4028-ARIN

OrgNOCHandle: ALIBA-ARIN
OrgNOCName:   Alibaba NOC
OrgNOCPhone:  +1-408-748-1200
OrgNOCEmail:  abuse@alibaba-inc.com
OrgNOCRef:    https://rdap.arin.net/registry/entity/ALIBA-ARIN

Port

空いている Port は以下です。

22: SSH
80: http
- https://urlscan.io/result/0196eb7f-271e-7488-adf5-98556a51b9e2/
- 謎のサービスが動いている
81: http
- https://urlscan.io/result/0196eb7f-7936-730b-a2fe-e77292fb3185/
- 謎のサービスが動いている
82: http
- https://urlscan.io/result/0196eb7f-b4c3-7458-87a3-2c2ae84d82fd/
- フィッシングサイトで無限に見る 404 のページ
85: http
- https://urlscan.io/result/01969e38-dab3-7706-be09-f7adefc026bc/
- 謎のサービスが動いている
86: http
- https://urlscan.io/result/0196eb8b-0e0c-77ce-82f8-56f13fcac0e8/
- 上田トラディション機関（ブログ執筆時に増えてた。前までなかった）
88: http
- 過去に空いていた
90: http
- https://urlscan.io/result/0196eb81-e141-75f9-8791-dea8a89d2397/
- フィッシングサイトで無限に見る 404 のページ
99: http
- https://urlscan.io/result/0196eb8b-42b2-7610-8d82-1a955e6376e6/
- 「セントラル機関部門」というページがある
  - セントラル短資株式会社というコピー元の企業がある。
443: https
- https://urlscan.io/result/0196eb82-afa0-7487-8e2a-161b5e094814/
- 謎のサービスが動いている
888: http
- https://urlscan.io/result/0196eb82-feaf-745d-b29a-c68d0924f1a9/
- 403 Forbidden
3306: MySQL
8888: http
- https://urlscan.io/result/0196eb83-378a-7299-a8b2-6284f1389090/
- 404 Not Found
27017: MongoDB
- https://urlscan.io/result/0196eb83-78b7-70ea-a837-5d903e96a143/
- MongoDB

多い・・・。MongoDB が動いているのも意外です。
では、それぞれの Port について、個別に見ていきましょう。

Port 888

特に何も見つからない。

Port 82

何も見つからず。フィッシングサイトで親の顔よりもよくみるページ。

Port 90

何も見つからず。フィッシングサイトで、兄弟の顔よりよくみるページ。

Port 8888

何も見つからないが、/static にアクセスすると以下の表示がされる。

# Unauthorized

The server could not verify that you are authorized to access the URL requested. You either supplied the wrong credentials (e.g. a bad password), or your browser doesn't understand how to supply the credentials required.

Port 99 - セントラル機関部門

これは、セントラル短資株式会社という会社を騙った（何を狙ったか不明な）サイトのようです。

この模倣したサイトは、過去に centralca[.]vip というドメインでも稼働されているようでした。

urlscan.io

また、セントラル機関部門 で調べてみたところ、以下の Yahoo 知恵袋が見つかりました。

detail.chiebukuro.yahoo.co.jp

私は株投資やっているものです ... その会社はセントラル短資株式会社(ｾﾝﾄﾗﾙ機関部門) なんですがそこに登録して株の収益を上げようと思っています。やっておられる方がいましたら投資状況を教えて頂けませんか。

また、スレッドの中で「詐欺じゃない？」という指摘があり、公式サイトの注意喚起の URL も記載がありました。

お知らせ｜セントラル短資株式会社

時期は 2024/05 であることから、過去にこちらの名前を騙った詐欺を働いていたようだと思われます。この詐欺が現在も稼働しているかは不明です。

3306 (MySQL), 27017 (MongoDB)

この二つについては、内部に侵入するとしょっ引かれるので、外っ側だけ見ていきます。どちらもある程度古いバージョンで動いています。

Shodan の MySQL 結果

MySQL:
  Protocol Version: 10
  Version: 5.6.50-log
  Capabilities: 63487
  Server Language: 45
  Server Status: 2
  Extended Server Capabilities: 32895
  Authentication Plugin: mysql_native_password

Shodan の MongoDB 結果

MongoDB Server Information
Authentication partially enabled
{
    "storageEngines": [
        "devnull", 
        "wiredTiger"
    ], 
    "buildEnvironment": {
        "distarch": "x86_64", 
        "cc": "/opt/mongodbtoolchain/v4/bin/gcc: gcc (GCC) 11.3.0", 
        "cppdefines": "SAFEINT_USE_INTRINSICS 0 PCRE2_STATIC NDEBUG _XOPEN_SOURCE 700 _GNU_SOURCE _FORTIFY_SOURCE 2 ABSL_FORCE_ALIGNED_ACCESS BOOST_ENABLE_ASSERT_DEBUG_HANDLER BOOST_FILESYSTEM_NO_CXX20_ATOMIC_REF BOOST_LOG_NO_SHORTHAND_NAMES BOOST_LOG_USE_NATIVE_SYSLOG BOOST_LOG_WITHOUT_THREAD_ATTR BOOST_MATH_NO_LONG_DOUBLE_MATH_FUNCTIONS BOOST_SYSTEM_NO_DEPRECATED BOOST_THREAD_USES_DATETIME BOOST_THREAD_VERSION 5", 
        "cxxflags": "-Woverloaded-virtual -Wpessimizing-move -Wno-maybe-uninitialized -fsized-deallocation -Wno-deprecated -std=c++20", 
        "linkflags": "-Wl,--fatal-warnings -B/opt/mongodbtoolchain/v4/bin -gdwarf-5 -pthread -Wl,-z,now -fuse-ld=lld -fstack-protector-strong -gdwarf64 -Wl,--build-id -Wl,--hash-style=gnu -Wl,-z,noexecstack -Wl,--warn-execstack -Wl,-z,relro -Wl,--compress-debug-sections=none -Wl,-z,origin -Wl,--enable-new-dtags", 
        "ccflags": "-Werror -include mongo/platform/basic.h -ffp-contract=off -fasynchronous-unwind-tables -g2 -Wall -Wsign-compare -Wno-unknown-pragmas -Winvalid-pch -gdwarf-5 -fno-omit-frame-pointer -fno-strict-aliasing -O2 -march=sandybridge -mtune=generic -mprefer-vector-width=128 -Wno-unused-local-typedefs -Wno-unused-function -Wno-deprecated-declarations -Wno-unused-const-variable -Wno-unused-but-set-variable -Wno-missing-braces -fstack-protector-strong -gdwarf64 -Wa,--nocompress-debug-sections -fno-builtin-memcmp -Wimplicit-fallthrough=5", 
        "target_arch": "x86_64", 
        "distmod": "rhel70", 
        "target_os": "linux", 
        "cxx": "/opt/mongodbtoolchain/v4/bin/g++: g++ (GCC) 11.3.0"
    }, 
    "ok": 1.0, 
    "sysInfo": "deprecated", 
    "modules": [], 
    "openssl": {
        "compiled": "OpenSSL 1.0.1e-fips 11 Feb 2013", 
        "running": "OpenSSL 1.0.1e-fips 11 Feb 2013"
    }, 
    "javascriptEngine": "mozjs", 
    "version": "7.0.8", 
    "allocator": "tcmalloc", 
    "versionArray": [
        7, 
        0, 
        8, 
        0
    ], 
    "debug": false, 
    "maxBsonObjectSize": 16777216, 
    "bits": 64, 
    "gitVersion": "c5d33e55ba38d98e2f48765ec4e55338d67a4a64"
}

正直、外側だけを見ても有用な情報は手に入らないため、これらの情報をもとに、「攻撃者の保持する他のサーバー」について、探ってみます。

（むかーし、とある OSINTer の方のブログで、攻撃者は、同じ構成を使い回すことがあると書いてたので）同一構成 + いくつかの条件を加えて、Shodan で検索してみましょう。

・・・結果は、有用な情報はありませんでした。 Alibaba + MySQL + MongoDB や、いくつかの条件を加えてみたのですが、全く見つからずです。

逆に、これだけの Port を開けて利用していることから、サーバー自体は数多く利用していないかもしれません。

Port 80, 85

https://urlscan.io/result/0196eb7f-271e-7488-adf5-98556a51b9e2/
https://urlscan.io/result/01969e38-dab3-7706-be09-f7adefc026bc/

Port 80 では、HTTPS でアクセスすると、画像 Mekanism のページが表示され、 HTTP でアクセスすると、セントラル機関部門 のページが表示されます。

また、Port 85 についても、HTTP でアクセスすると、同様の Mekanism のページが表示されます。

Port 81

Port 80, 85 と同じような画面ですが、よく見ると画面の入力欄の数などが違うことがわかると思います。

実際、このポートは先ほどのポートと違い、/ (root path) にアクセスすると、 /mobile/ というパスにリダイレクトされます。

このページはいくつかの特徴がありました。。

URLは /(root-path) ---redirect--> /mobile/#/ という形で遷移する
- 後述
/pc/ というパスも存在する
- 後述
API サーバーとして pay[.]appkumokyodo[.]jp というドメインを利用
- pay[.]appkumokyodo[.]jp 自体は 2024-06 頃に動いていたと思われる。
- 別のサブドメインで tests.appkumokyodo.jp というドメインが生えている
  - このドメインに HTTP Request していたドメインが過去に２つあった
    - aitecheu[.]com
      - https://urlscan.io/result/df515cc2-a895-4f4b-8ee7-8ceb9e5797a8/#summary
        
        急騰株情報いますぐ公開！　といった LP サイトが出てくる
        
        LINE に誘導するページがある
        
        HTML Title が AI駆動の株式推奨の力を解放しよう
    - 839059[.]com
      - ※URL Scan の先がエロ広告なので注意
      - https://urlscan.io/result/9e3c474d-48df-4b11-beca-3b41986d1e75/#summary
    - tests.appkumokyodo[.]jp/api/index/getConfig にリクエストすると、JSON を返す
      - {"code":1,"show":0,"msg":"","data":{"id":7,"domain":"aitecheu.com","title":"AI駆動の株式推奨の力を解放しよう","description":"AI駆動の株式推奨の力を解放しよう","description_image":"","drump_url":"https:\/\/line.me\/ti\/p\/uNrM184bQr","drump_image":"","disable":0,"create_time":"2023-09-24 20:09:44","update_time":"2023-09-24 20:09:44","delete_time":null,"admin_id":1}}
admin ページ
- hxxp://47.245.31[.]42:81/admin/login?redirect=/
- https://urlscan.io/result/0196ebb9-9515-76c9-9c22-30b562abc517/
- API サーバーは、同様に pay[.]appkumokyodo[.]jp を利用している

API サーバーとなるドメインを軽く調べると、「AI駆動の株式推奨の力を解放しよう」という文字が複数登場してきました。気になるため、Google で検索してみると、大量の Web ページがヒットします。

Google Search

どうやら、現在行われている「(LINEに誘導するための) X のスパム投稿」の前身となっていそうな LP ページのようです。

LINE に誘導するフィッシング LP ページ例

daxorinepulavo[.]click
- https://urlscan.io/result/0196ebcd-2b45-707f-aa39-be85c41854f5/
www[.]lqqgzxo[.]top
- https://urlscan.io/result/0196ebf2-2f2d-7758-8dfd-5cae1d9c5ed5/
www[.]hhpop[.]buzz
- https://urlscan.io/result/0196ebf3-6371-77c6-a03d-0b90bfa26762/
uejdw[.]site
- https://urlscan.io/result/0196ebf4-3ed4-723a-9742-bff037927e47/

また、検索結果の中には Youtube なども混じっています。 hxxps://www[.]youtube[.]com/channel/UChpjgGOY0RaO_2dDtucqO8A

この LP ページに関する注意喚起用のブログなども引っかかってきました。

AI駆動の株式推奨の力を解放しようは要注意！山代貴志と小島美穗 - 儲かる副業検証ブログ、地獄副業名鑑～月収1000万をハンドメイドする男の美学～

このことから、X の投資スパム bot の前は（おそらく）何かしらの方法で LP ページに誘導し、最終的に LINE に誘導していたと思われます。

/mobile/, /pc/ ページの調査

/mobile/, /pc/ ページの深掘りがまだでしたので、調べていきましょう。

/mobile/ ページ

https://urlscan.io/result/0196ec4f-2b40-73d9-8e33-4a175358792b/

/mobile/ ページは、以下のような(FrontEnd の)パスがありました。

/pages/main/payIndia
- https://urlscan.io/result/0196ec61-88b8-749b-ab97-26081bf219e5/
/pages/main/AkPay
- https://urlscan.io/result/0196ec61-5f5f-74e0-b068-0361b0c86741/
/pages/login/login
- https://urlscan.io/result/0196ec62-1655-73c2-a7aa-38b800492fc7/
/pages/main/main
- https://urlscan.io/result/0196ec62-862b-7472-b6d1-1134a9b60a9e/
/pages/main/payResult
- https://urlscan.io/result/0196ec61-3d04-7158-9b0a-e80743355929/

URL Path の中には、 India というパスも含まれていることから、過去にインドで活動していた可能性があります。

また、/mobile/ ページも前回の記事同様、エラーページにいろいろな情報が記載されています。

いくつかの変数

Thinkphp : V6.1.1

|　SERVER_SOFTWARE　|　nginx/1.20.2　|
|　DOCUMENT_ROOT　　|　/www/wwwroot/payment-system/public　|
|　SERVER_NAME　　　|　ayment-system.dev　|

Load されているモジュール一覧

1. /www/wwwroot/payment-system/public/index.php ( 0.90 KB )
2. /www/wwwroot/payment-system/vendor/autoload.php ( 0.75 KB )
3. /www/wwwroot/payment-system/vendor/composer/autoload_real.php ( 1.63 KB )
4. /www/wwwroot/payment-system/vendor/composer/platform_check.php ( 0.90 KB )
5. /www/wwwroot/payment-system/vendor/composer/ClassLoader.php ( 15.99 KB )
6. /www/wwwroot/payment-system/vendor/composer/autoload_static.php ( 15.53 KB )
7. /www/wwwroot/payment-system/vendor/symfony/deprecation-contracts/function.php ( 0.99 KB )
8. /www/wwwroot/payment-system/vendor/ralouphie/getallheaders/src/getallheaders.php ( 1.60 KB )
9. /www/wwwroot/payment-system/vendor/guzzlehttp/promises/src/functions_include.php ( 0.16 KB )
10. /www/wwwroot/payment-system/vendor/guzzlehttp/promises/src/functions.php ( 9.89 KB )
11. /www/wwwroot/payment-system/vendor/symfony/polyfill-mbstring/bootstrap.php ( 7.07 KB )
12. /www/wwwroot/payment-system/vendor/symfony/polyfill-mbstring/bootstrap80.php ( 8.58 KB )
13. /www/wwwroot/payment-system/vendor/guzzlehttp/guzzle/src/functions_include.php ( 0.16 KB )
14. /www/wwwroot/payment-system/vendor/guzzlehttp/guzzle/src/functions.php ( 5.56 KB )
15. /www/wwwroot/payment-system/vendor/topthink/think-helper/src/helper.php ( 7.35 KB )
16. /www/wwwroot/payment-system/vendor/symfony/polyfill-php80/bootstrap.php ( 1.50 KB )
17. /www/wwwroot/payment-system/vendor/symfony/polyfill-php72/bootstrap.php ( 1.89 KB )
18. /www/wwwroot/payment-system/vendor/symfony/polyfill-ctype/bootstrap.php ( 1.56 KB )
19. /www/wwwroot/payment-system/vendor/symfony/polyfill-ctype/bootstrap80.php ( 1.61 KB )
20. /www/wwwroot/payment-system/vendor/symfony/polyfill-intl-normalizer/bootstrap.php ( 0.71 KB )
21. /www/wwwroot/payment-system/vendor/symfony/polyfill-intl-normalizer/bootstrap80.php ( 0.70 KB )
22. /www/wwwroot/payment-system/vendor/topthink/think-orm/stubs/load_stubs.php ( 0.16 KB )
23. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Exception.php ( 1.69 KB )
24. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Facade.php ( 2.71 KB )
25. /www/wwwroot/payment-system/vendor/symfony/polyfill-intl-idn/bootstrap.php ( 4.52 KB )
26. /www/wwwroot/payment-system/vendor/symfony/polyfill-php73/bootstrap.php ( 0.99 KB )
27. /www/wwwroot/payment-system/vendor/adbario/php-dot-notation/src/helpers.php ( 0.57 KB )
28. /www/wwwroot/payment-system/vendor/ezyang/htmlpurifier/library/HTMLPurifier.composer.php ( 0.10 KB )
29. /www/wwwroot/payment-system/vendor/mtdowling/jmespath.php/src/JmesPath.php ( 0.36 KB )
30. /www/wwwroot/payment-system/vendor/overtrue/socialite/src/Contracts/FactoryInterface.php ( 0.47 KB )
31. /www/wwwroot/payment-system/vendor/overtrue/socialite/src/Contracts/UserInterface.php ( 1.04 KB )
32. /www/wwwroot/payment-system/vendor/overtrue/socialite/src/Contracts/ProviderInterface.php ( 2.89 KB )
33. /www/wwwroot/payment-system/vendor/symfony/polyfill-php81/bootstrap.php ( 0.72 KB )
34. /www/wwwroot/payment-system/vendor/alibabacloud/client/src/Functions.php ( 5.33 KB )
35. /www/wwwroot/payment-system/vendor/qcloud/cos-sdk-v5/src/Common.php ( 1.53 KB )
36. /www/wwwroot/payment-system/vendor/qiniu/php-sdk/src/Qiniu/functions.php ( 8.20 KB )
37. /www/wwwroot/payment-system/vendor/qiniu/php-sdk/src/Qiniu/Config.php ( 3.56 KB )
38. /www/wwwroot/payment-system/vendor/rmccue/requests/library/Deprecated.php ( 0.53 KB )
39. /www/wwwroot/payment-system/vendor/rmccue/requests/src/Autoload.php ( 9.12 KB )
40. /www/wwwroot/payment-system/vendor/symfony/var-dumper/Resources/functions/dump.php ( 0.79 KB )
41. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/App.php ( 14.17 KB )
42. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Container.php ( 15.38 KB )
43. /www/wwwroot/payment-system/vendor/psr/container/src/ContainerInterface.php ( 1.02 KB )
44. /www/wwwroot/payment-system/app/provider.php ( 0.19 KB )
45. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Http.php ( 6.12 KB )
46. /www/wwwroot/payment-system/vendor/topthink/think-helper/src/helper/Str.php ( 7.28 KB )
47. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Env.php ( 4.64 KB )
48. /www/wwwroot/payment-system/app/common.php ( 8.95 KB )
49. /www/wwwroot/payment-system/vendor/topthink/framework/src/helper.php ( 18.44 KB )
50. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Config.php ( 5.03 KB )
51. /www/wwwroot/payment-system/config/app.php ( 1.02 KB )
52. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/facade/Env.php ( 1.67 KB )
53. /www/wwwroot/payment-system/config/cache.php ( 1.04 KB )
54. /www/wwwroot/payment-system/config/console.php ( 0.39 KB )
55. /www/wwwroot/payment-system/config/cookie.php ( 0.56 KB )
56. /www/wwwroot/payment-system/config/database.php ( 2.25 KB )
57. /www/wwwroot/payment-system/config/filesystem.php ( 0.63 KB )
58. /www/wwwroot/payment-system/config/lang.php ( 0.81 KB )
59. /www/wwwroot/payment-system/config/log.php ( 1.37 KB )
60. /www/wwwroot/payment-system/config/middleware.php ( 0.19 KB )
61. /www/wwwroot/payment-system/config/project.php ( 4.11 KB )
62. /www/wwwroot/payment-system/config/route.php ( 1.54 KB )
63. /www/wwwroot/payment-system/config/session.php ( 0.57 KB )
64. /www/wwwroot/payment-system/config/trace.php ( 0.34 KB )
65. /www/wwwroot/payment-system/config/view.php ( 0.82 KB )
66. /www/wwwroot/payment-system/app/event.php ( 0.35 KB )
67. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Event.php ( 6.96 KB )
68. /www/wwwroot/payment-system/app/service.php ( 0.13 KB )
69. /www/wwwroot/payment-system/app/AppService.php ( 0.26 KB )
70. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Service.php ( 1.67 KB )
71. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Lang.php ( 7.60 KB )
72. /www/wwwroot/payment-system/vendor/topthink/framework/src/lang/zh-cn.php ( 12.88 KB )
73. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/initializer/Error.php ( 3.19 KB )
74. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/initializer/RegisterService.php ( 1.33 KB )
75. /www/wwwroot/payment-system/vendor/services.php ( 0.17 KB )
76. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/service/PaginatorService.php ( 1.52 KB )
77. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/service/ValidateService.php ( 0.99 KB )
78. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/service/ModelService.php ( 1.76 KB )
79. /www/wwwroot/payment-system/vendor/topthink/think-multi-app/src/Service.php ( 1.05 KB )
80. /www/wwwroot/payment-system/vendor/topthink/think-trace/src/Service.php ( 0.77 KB )
81. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Middleware.php ( 6.78 KB )
82. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/initializer/BootService.php ( 0.77 KB )
83. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/Paginator.php ( 11.80 KB )
84. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Validate.php ( 46.10 KB )
85. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/Model.php ( 25.28 KB )
86. /www/wwwroot/payment-system/vendor/topthink/think-helper/src/contract/Arrayable.php ( 0.09 KB )
87. /www/wwwroot/payment-system/vendor/topthink/think-helper/src/contract/Jsonable.php ( 0.13 KB )
88. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/model/concern/Attribute.php ( 17.61 KB )
89. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/model/concern/RelationShip.php ( 26.12 KB )
90. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/model/concern/ModelEvent.php ( 2.27 KB )
91. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/model/concern/TimeStamp.php ( 5.70 KB )
92. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/model/concern/Conversion.php ( 10.41 KB )
93. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Db.php ( 2.87 KB )
94. /www/wwwroot/payment-system/vendor/topthink/think-orm/src/DbManager.php ( 8.49 KB )
95. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Log.php ( 8.50 KB )
96. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Manager.php ( 3.98 KB )
97. /www/wwwroot/payment-system/vendor/psr/log/Psr/Log/LoggerInterface.php ( 3.04 KB )
98. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Cache.php ( 4.79 KB )
99. /www/wwwroot/payment-system/vendor/psr/simple-cache/src/CacheInterface.php ( 4.50 KB )
100. /www/wwwroot/payment-system/vendor/topthink/think-helper/src/helper/Arr.php ( 15.54 KB )
101. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/cache/driver/File.php ( 7.41 KB )
102. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/cache/Driver.php ( 8.06 KB )
103. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/contract/CacheHandlerInterface.php ( 2.25 KB )
104. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Console.php ( 22.65 KB )
105. /www/wwwroot/payment-system/app/Request.php ( 0.14 KB )
106. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Request.php ( 54.04 KB )
107. /www/wwwroot/payment-system/app/middleware.php ( 0.21 KB )
108. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Pipeline.php ( 2.61 KB )
109. /www/wwwroot/payment-system/vendor/topthink/think-trace/src/TraceDebug.php ( 2.94 KB )
110. /www/wwwroot/payment-system/app/common/http/middleware/LikeAdminAllowMiddleware.php ( 1.93 KB )
111. /www/wwwroot/payment-system/app/common/http/middleware/BaseMiddleware.php ( 1.03 KB )
112. /www/wwwroot/payment-system/vendor/topthink/think-multi-app/src/MultiApp.php ( 7.39 KB )
113. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Route.php ( 23.74 KB )
114. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/RuleName.php ( 5.30 KB )
115. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/Domain.php ( 5.41 KB )
116. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/RuleGroup.php ( 13.91 KB )
117. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/Rule.php ( 22.98 KB )
118. /www/wwwroot/payment-system/route/app.php ( 1.16 KB )
119. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/facade/Route.php ( 4.84 KB )
120. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/RuleItem.php ( 9.23 KB )
121. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/dispatch/Url.php ( 3.42 KB )
122. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/dispatch/Controller.php ( 6.61 KB )
123. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/route/Dispatch.php ( 6.93 KB )
124. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/exception/ClassNotFoundException.php ( 1.18 KB )
125. /www/wwwroot/payment-system/vendor/psr/container/src/NotFoundExceptionInterface.php ( 0.15 KB )
126. /www/wwwroot/payment-system/vendor/psr/container/src/ContainerExceptionInterface.php ( 0.18 KB )
127. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/exception/HttpException.php ( 1.20 KB )
128. /www/wwwroot/payment-system/app/ExceptionHandle.php ( 1.37 KB )
129. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/exception/Handle.php ( 10.02 KB )
130. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Response.php ( 8.60 KB )
131. /www/wwwroot/payment-system/vendor/topthink/framework/src/tpl/think_exception.tpl ( 17.03 KB )
132. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/facade/App.php ( 2.73 KB )
133. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/response/Html.php ( 0.98 KB )
134. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/Cookie.php ( 6.28 KB )
135. /www/wwwroot/payment-system/vendor/topthink/think-trace/src/Html.php ( 4.37 KB )
136. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/log/driver/File.php ( 6.17 KB )
137. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/contract/LogHandlerInterface.php ( 0.86 KB )
138. /www/wwwroot/payment-system/vendor/topthink/framework/src/think/log/Channel.php ( 6.54 KB )

一方で、/pc/ のページは /mobile/ とかなり違うようです。

https://urlscan.io/result/0196ec6a-3bb5-72c9-9342-b944cc957318/

まず、 /_nuxt/ から JS をロードしていることから、Nuxt.js が利用されているように見えます。
（ソースマップファイルがあったら嬉しかったのですが、軽く調べた限り見つからなかったので残念です。）

何かのテンプレサイトだと思いますが、時期が 2022年のものであることから、若干古めであることが推測できます。おそらくは PC, Mobile の二つのテンプレートがあり、mobile だけで開発をした可能性がありそうです。

Cloudflare 裏のサーバーが 47.245.31[.]42 であるかを確認する

さて、ここまで「Cloudflare 裏にあると 思われる IP」を調査してきました。しかしながら、現状動いているフィッシングサイトが本当にこの IP から来ているとは限りません。

そこで、フィッシングサイトの調査に再度戻り、IP が 47.245.31[.]42 である確証を得れないか頭を捻ってみます。

フィッシングサイトの再調査

改めて、フィッシングサイトの調査をしているとき、内部のモジュールにもう少しフォーカスして調べてみることにしました。

具体的には前回の記事・今回の記事にも登場しているエラーログ発生時の Thinkphp のデバッグ部分です。

kefu というモジュールが読み込まれている。
- これ？https://github.com/d105653296/kefu
  - ただ、ロードされる Kefu.php はこのリポジトリには含まれていない
  - あまり有用な情報は見当たらない（そこまでしっかりみてない）
- 一般公開されているGitLabにそれっぽいのがあるけど、これ？ hxxp://114.215.101[.]231:8099/daidong/chemai/blob/d833e221d413ee90b67c63e9bb833c67f29a528f/addons/kefu/install.sql
  - これもちゃんとみてない。

ロードされているモジュール一覧

1. /www/wwwroot/pinebridge/public/index.php ( 0.88 KB )
2. /www/wwwroot/pinebridge/thinkphp/start.php ( 0.72 KB )
3. /www/wwwroot/pinebridge/thinkphp/base.php ( 2.60 KB )
4. /www/wwwroot/pinebridge/thinkphp/library/think/Loader.php ( 21.07 KB )
5. /www/wwwroot/pinebridge/vendor/composer/autoload_static.php ( 17.58 KB )
6. /www/wwwroot/pinebridge/vendor/symfony/polyfill-php80/bootstrap.php ( 1.50 KB )
7. /www/wwwroot/pinebridge/vendor/symfony/polyfill-mbstring/bootstrap.php ( 7.07 KB )
8. /www/wwwroot/pinebridge/vendor/symfony/polyfill-intl-normalizer/bootstrap.php ( 0.71 KB )
9. /www/wwwroot/pinebridge/vendor/symfony/polyfill-php72/bootstrap.php ( 1.89 KB )
10. /www/wwwroot/pinebridge/vendor/symfony/polyfill-php72/Php72.php ( 6.55 KB )
11. /www/wwwroot/pinebridge/vendor/symfony/polyfill-intl-idn/bootstrap.php ( 4.52 KB )
12. /www/wwwroot/pinebridge/vendor/symfony/deprecation-contracts/function.php ( 0.98 KB )
13. /www/wwwroot/pinebridge/vendor/ralouphie/getallheaders/src/getallheaders.php ( 1.60 KB )
14. /www/wwwroot/pinebridge/vendor/guzzlehttp/psr7/src/functions_include.php ( 0.15 KB )
15. /www/wwwroot/pinebridge/vendor/guzzlehttp/psr7/src/functions.php ( 13.09 KB )
16. /www/wwwroot/pinebridge/vendor/guzzlehttp/promises/src/functions_include.php ( 0.16 KB )
17. /www/wwwroot/pinebridge/vendor/guzzlehttp/promises/src/functions.php ( 9.89 KB )
18. /www/wwwroot/pinebridge/vendor/guzzlehttp/guzzle/src/functions_include.php ( 0.16 KB )
19. /www/wwwroot/pinebridge/vendor/guzzlehttp/guzzle/src/functions.php ( 9.70 KB )
20. /www/wwwroot/pinebridge/vendor/symfony/polyfill-php73/bootstrap.php ( 0.99 KB )
21. /www/wwwroot/pinebridge/vendor/symfony/polyfill-php73/Php73.php ( 0.85 KB )
22. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/abs.php ( 0.81 KB )
23. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/acos.php ( 1.04 KB )
24. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/acosh.php ( 0.90 KB )
25. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/acot.php ( 0.74 KB )
26. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/acoth.php ( 0.76 KB )
27. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/acsc.php ( 0.83 KB )
28. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/acsch.php ( 0.86 KB )
29. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/argument.php ( 0.81 KB )
30. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/asec.php ( 0.83 KB )
31. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/asech.php ( 0.85 KB )
32. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/asin.php ( 1.01 KB )
33. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/asinh.php ( 0.91 KB )
34. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/atan.php ( 1.34 KB )
35. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/atanh.php ( 1.08 KB )
36. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/conjugate.php ( 0.74 KB )
37. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/cos.php ( 0.92 KB )
38. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/cosh.php ( 0.90 KB )
39. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/cot.php ( 0.83 KB )
40. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/coth.php ( 0.74 KB )
41. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/csc.php ( 0.82 KB )
42. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/csch.php ( 0.84 KB )
43. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/exp.php ( 0.92 KB )
44. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/inverse.php ( 0.87 KB )
45. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/ln.php ( 0.94 KB )
46. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/log2.php ( 1.06 KB )
47. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/log10.php ( 1.08 KB )
48. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/negative.php ( 0.76 KB )
49. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/pow.php ( 1.27 KB )
50. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/rho.php ( 0.84 KB )
51. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/sec.php ( 0.71 KB )
52. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/sech.php ( 0.74 KB )
53. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/sin.php ( 0.87 KB )
54. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/sinh.php ( 0.90 KB )
55. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/sqrt.php ( 0.81 KB )
56. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/tan.php ( 1.21 KB )
57. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/tanh.php ( 1.11 KB )
58. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/functions/theta.php ( 1.25 KB )
59. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/operations/add.php ( 1.26 KB )
60. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/operations/subtract.php ( 1.28 KB )
61. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/operations/multiply.php ( 1.41 KB )
62. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/operations/divideby.php ( 1.75 KB )
63. /www/wwwroot/pinebridge/vendor/markbaker/complex/classes/src/operations/divideinto.php ( 1.75 KB )
64. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/adjoint.php ( 0.69 KB )
65. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/antidiagonal.php ( 0.74 KB )
66. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/cofactors.php ( 0.70 KB )
67. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/determinant.php ( 0.71 KB )
68. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/diagonal.php ( 0.70 KB )
69. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/identity.php ( 0.70 KB )
70. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/inverse.php ( 0.69 KB )
71. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/minors.php ( 0.69 KB )
72. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/trace.php ( 0.69 KB )
73. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Functions/transpose.php ( 0.71 KB )
74. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Operations/add.php ( 0.93 KB )
75. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Operations/directsum.php ( 0.95 KB )
76. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Operations/subtract.php ( 0.96 KB )
77. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Operations/multiply.php ( 0.98 KB )
78. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Operations/divideby.php ( 0.96 KB )
79. /www/wwwroot/pinebridge/vendor/markbaker/matrix/classes/src/Operations/divideinto.php ( 1.00 KB )
80. /www/wwwroot/pinebridge/vendor/topthink/think-helper/src/helper.php ( 2.88 KB )
81. /www/wwwroot/pinebridge/vendor/karsonzhang/fastadmin-addons/src/common.php ( 15.07 KB )
82. /www/wwwroot/pinebridge/thinkphp/library/think/Route.php ( 60.23 KB )
83. /www/wwwroot/pinebridge/thinkphp/library/think/Config.php ( 6.38 KB )
84. /www/wwwroot/pinebridge/thinkphp/library/think/Hook.php ( 4.71 KB )
85. /www/wwwroot/pinebridge/vendor/overtrue/wechat/src/Kernel/Support/Helpers.php ( 2.63 KB )
86. /www/wwwroot/pinebridge/vendor/overtrue/wechat/src/Kernel/Helpers.php ( 1.89 KB )
87. /www/wwwroot/pinebridge/vendor/topthink/think-captcha/src/helper.php ( 1.59 KB )
88. /www/wwwroot/pinebridge/thinkphp/library/think/Validate.php ( 41.63 KB )
89. /www/wwwroot/pinebridge/vendor/topthink/think-queue/src/common.php ( 1.19 KB )
90. /www/wwwroot/pinebridge/thinkphp/library/think/Console.php ( 23.13 KB )
91. /www/wwwroot/pinebridge/thinkphp/library/think/Error.php ( 3.75 KB )
92. /www/wwwroot/pinebridge/thinkphp/convention.php ( 10.38 KB )
93. /www/wwwroot/pinebridge/thinkphp/library/think/App.php ( 21.51 KB )
94. /www/wwwroot/pinebridge/thinkphp/library/think/Request.php ( 49.78 KB )
95. /www/wwwroot/pinebridge/application/config.php ( 11.73 KB )
96. /www/wwwroot/pinebridge/thinkphp/library/think/Env.php ( 1.21 KB )
97. /www/wwwroot/pinebridge/application/database.php ( 2.28 KB )
98. /www/wwwroot/pinebridge/application/extra/addons.php ( 0.29 KB )
99. /www/wwwroot/pinebridge/application/extra/site.php ( 2.03 KB )
100. /www/wwwroot/pinebridge/application/extra/upload.php ( 0.82 KB )
101. /www/wwwroot/pinebridge/application/tags.php ( 1.18 KB )
102. /www/wwwroot/pinebridge/application/common.php ( 22.33 KB )
103. /www/wwwroot/pinebridge/thinkphp/helper.php ( 17.30 KB )
104. /www/wwwroot/pinebridge/thinkphp/library/think/Debug.php ( 7.13 KB )
105. /www/wwwroot/pinebridge/thinkphp/library/think/Log.php ( 6.05 KB )
106. /www/wwwroot/pinebridge/addons/kefu/Kefu.php ( 12.57 KB )
107. /www/wwwroot/pinebridge/vendor/karsonzhang/fastadmin-addons/src/Addons.php ( 7.05 KB )
108. /www/wwwroot/pinebridge/addons/umeditor/Umeditor.php ( 0.56 KB )
109. /www/wwwroot/pinebridge/thinkphp/library/think/Cache.php ( 6.10 KB )
110. /www/wwwroot/pinebridge/thinkphp/library/think/cache/driver/File.php ( 7.27 KB )
111. /www/wwwroot/pinebridge/thinkphp/library/think/cache/Driver.php ( 5.98 KB )
112. /www/wwwroot/pinebridge/thinkphp/library/think/View.php ( 6.77 KB )
113. /www/wwwroot/pinebridge/thinkphp/library/think/view/driver/Think.php ( 5.64 KB )
114. /www/wwwroot/pinebridge/thinkphp/library/think/Template.php ( 44.90 KB )
115. /www/wwwroot/pinebridge/thinkphp/library/think/template/driver/File.php ( 2.24 KB )
116. /www/wwwroot/pinebridge/thinkphp/library/think/Lang.php ( 7.23 KB )
117. /www/wwwroot/pinebridge/application/common/behavior/Common.php ( 2.67 KB )
118. /www/wwwroot/pinebridge/application/api/config.php ( 0.10 KB )
119. /www/wwwroot/pinebridge/application/api/common.php ( 0.01 KB )
120. /www/wwwroot/pinebridge/application/api/lang/ja.php ( 0.02 KB )
121. /www/wwwroot/pinebridge/extend/fast/Form.php ( 39.71 KB )
122. /www/wwwroot/pinebridge/thinkphp/library/think/exception/ClassNotFoundException.php ( 0.97 KB )
123. /www/wwwroot/pinebridge/thinkphp/library/think/exception/HttpException.php ( 1.13 KB )
124. /www/wwwroot/pinebridge/application/api/library/ExceptionHandle.php ( 0.93 KB )
125. /www/wwwroot/pinebridge/thinkphp/library/think/exception/Handle.php ( 8.44 KB )
126. /www/wwwroot/pinebridge/thinkphp/tpl/think_exception.tpl ( 17.75 KB )
127. /www/wwwroot/pinebridge/thinkphp/library/think/Response.php ( 8.28 KB )
128. /www/wwwroot/pinebridge/thinkphp/library/think/debug/Html.php ( 4.17 KB )
129. /www/wwwroot/pinebridge/thinkphp/library/think/Db.php ( 6.67 KB )

この中から、Framework にバンドルされたものや、一般的なものはのぞいて、特徴的なものを探していきます。

すると、karsonzhang/fastadmin-addons から、特徴的なファイルに辿り着くことができました。

karsonzhang/fastadmin-addons Google で調べると、トップにこのリポジトリが出てくる GitHub - fastadminnet/fastadmin-addons: addons package for fastadmin
（(1) の拡張ではなく）元の fastadmin というパッケージを調べる GitHub - fastadminnet/fastadmin: 基于 ThinkPHP 和 Bootstrap 的极速后台开发框架，一键生成 CRUD，自动生成控制器、模型、视图、JS、语言包、菜单、回收站。
エラーページのスタックトレースには /www/wwwroot/russellinvestments.cc/public/index.php というファイルであることが明記されていることから、(2) の fastadmin 上の /public/ 配下の同一ファイルが無いか調べてみる

すると、同一ファイルを見つけることができました。

fastadmin/public/assets/img/32px.png at 1.x · fastadminnet/fastadmin · GitHub

以上から、fastadmin が裏で動いていることがわかりました。
ここを足がかりに、どうにか法律に触れない範囲で、IPを特定できないか見ていきます・・・。

・・・っと、ここからが一番面白いところなのですが、特定した方法を攻撃者に教えたくないので、ここから先は書けないです・・・すみません。
前回同様、警察とかセキュリティリサーチャーとか、クローズドな会であれば、共有するので、気になる方は連絡ください。

「法律に触れない方法」でサーバー IP を特定した時の記念スクショ

おわりに

とりあえず現状書きたいことは全て書き終えれました。

有給1日をコンバートして書き上げた記事なので、楽しんでいただけたようなら嬉しいです。いつもはもうちょっと読み直しとかしてるのですが、疲れたので今日は店じまいとします。

補足というか愚痴ですが、モジュール周りのところで Gobuster とかで適当に Directory 総当たり(辞書)して列挙できたらなーと思いました（法律周りで怒られが発生するのでやってません）

ぶるーたるごぶりん

UI, UX, セキュリティとか😘

X に蔓延る投資 bot (フィッシング詐欺)の調査と対策について - Part 2 Cloudflare 裏のサーバーIPを特定する