netowl

> http://burger-imperia.com や http://pizza-imperia.com からのアクセスがブロックされるように設定すればリファラースパム対策になりますかね?

もしも、そのサイトの宣伝をしたい人間しかいないのであれば。

しかしおそらく、同じ犯人が別のサイトも宣伝しに来たり、
別の人が別のサイトの宣伝でリファラスパムを送りつけたりしてくるので、
リファラを見てブロックするようにしても「いたちごっこ」です。
リファラスパムの情報はウェブ上で公表している人もいますから、先回りして追加していくことは可能ですけれど、
ブロックルールを追加し続けないと阻止しきれないでしょう。
なので、決定的な解決策にはなりません。

---

ネットオウルのアカウントが乗っ取られていることを懸念するのであれば、
パスワード以外にも、ログインに使用するメールアドレスを変更する手もあります。
ただ、FTPのログインに関してはユーザ名は固定なので、パスワードを変えるしか手段はありませんね。

いうまでもありませんが、
もしも、同じパスワードの「使い回し」をしていたら、やめましょう。
ネットオウル以外のよそでパスワードがバレたり、そもそもよその登録したウェブサイト等が邪悪なところだったりしたら、
ネットオウルのアカウントにだって被害を受けてもおかしくありません。

---

DNSクエリは通常は、暗号化されないものです。
なので、途中経路で盗み見られる可能性があります。

追加したてのドメインであっても、
設定確認のためにでも自分で一度でもそのドメインを引いてしまえば、
そのドメインが知られる可能性があるということがいえます。

かりに、自分の通信環境で VPN などを用いて自衛し、
自分のインターネット用の DNS サーバ(Recursive server＝再帰DNSサーバ)を信頼のおけるところ（契約しているISPなど）に設定したり
Cloudflare (1.1.1.1) などの DNS over HTTPS か DNS over TLS を利用したりしたとしてもです。

例えば、自分のドメインの Authoritative server (権威DNSサーバ)が ns{1,2}.star-domain.jp であったならば、
自分の通信環境で利用している再帰 DNS サーバに対して、そのドメインを問合せに行けば、
その再帰 DNS サーバは、ネットオウルの「権威サーバ」に再問合せに行きます。このとき、暗号化されずに通信されるでしょう。
なので、 DNS クエリが盗み見られる可能性があります。

このように、自分では「他人には知られていないつもり」のサブドメインであっても、
インターネットの世界で運用開始してしまうと実際には、他人にもそのうち知られてしまうわけです。

ドメイン名なんて公開情報なんで、「〜から情報が流出している」なんて、自意識過剰ですよ。

・無差別にアクセスされている

あたりでしょ。

# 最近は、サーバーを立てると、だいたい5分もたつと、loginしようとするアクセスがやってきますよ。---loginできないサーバーであっても。

単純に考えて可能性が高いのは、
・IPアドレスベースで、世界中（または日本を狙って）片っ端から巡回している
・とりわけ、TLS(https)を設定していると、バーチャルドメイン（SNI）のウェブサーバであれば同じIPアドレスで設定されている証明書がすべて判るはずなので、各ドメインに対して総当りでスパムを送れる


スパムの件数が極端に多ければ性能低下・サーバ落ちに繋がるようなおそれがあるので、カスタマーサポートに相談でしょうが（サーバ全体やネットワークベースでブロックしたほうがよい）、
スパムがある程度送られてくること自体は普段からあることです。


> アクセス解禁

「アクセス解析」の誤字でしょう

気持ち悪い程度なら、被害がないので普通は放置だと思う。
質問文だけ読む限りでは、心配しすぎ。


あと、リファラスパムを付けているアクセスのIPを調べて、同じものなら、
そのIPを拒否したら、リファラスパムを付けることはできなくなると思う。

短時間に大量アクセスがあるとかなら、netowl運営に相談しては？


■
・アクセス解析は、リファラを見てるだけなので、狂うことはない
・リファラを偽装するのは、簡単。初心者でもできる

■
＞私のサイトのドメイン名がバレている

・ネットオウルの初期ドメイン
・独自ドメイン

情報流出しなくても、公開サイトである限りは、リファラスパムは来る。

・Googleでキーワード検索してヒットしたサイトに無差別に
・独自ドメインなら、新規登録されたものに、無差別に
・ネットオウルのドメインなら、狙い撃ちかもしれないけど、情報流出しなくても、判明する気がするけどなぁ。

■
https://www.yougetsignal.com/tools/web-sites-on-web-server/

たとえば、上記でIPアドレス入れるだけで、そこを使っているドメインの一部がわかるけど・・・。

まあ、これをスターサーバーのサイトを狙い撃ちといえばそうなるけど、
たぶん、レンタルサーバー系すべてにやってる可能性もあるよね。

■
＞不正ログインされた

不正ログインされたと思われるのなら、パスワードを変更したほうが良いのでは？
それ以外できることはないと思うが・・。

■
不正ログイン、Netowlから情報が流出している場合は、
・DNSレコードを書き換えられる
・管理しているWebサイトに、いろんなものを仕込まれる

とかのほうが心配で
リファラスパムのために、そこまでしないと思うけどね。
だって、リファラスパムのために、そんなことしても意味ないから。

■
ウイルスに関しては、
PC側に、ウイルス対策ソフトが入ってるのなら、通常は大丈夫では？

サーバー側は？という話だけど、
管理しているサイトに、ウイルスらしきものがない限り
心配しすぎだろうし

かつ、ブラウザで見たときに、PC側のウイルス対策ソフトが反応することが多いと思うよ。

＞ドメイン追加後なにもアップしていないサイトにもスパムサイトから
＞アクセスがくるのですが

アクセス解析よりも
アクセスログで、詳細を見ては？

https://www.star.ne.jp/manual/homepage_access_log.php

ライトプラン以上なら、アクセスログが取得可能なので、
アクセス元のIPアドレスもわかるはず。

アクセス解析のデータが狂ってるかも
アクセスログ（生データ）をみれば、判明するはず。


IPアドレス見て、どこからアクセスされたか見れば、詳細分かると思う。

■
＞スパムサイトから

ご存知の通り、リファラスパムは、リファラが偽装されてるから、そのURLからアクセスされてるわけではないです。

まあIPアドレスも偽装可能だけど、リファラスパム程度でそこまでしないと思うので、たぶん正しいIPアドレスのことが多いと思う

どうにも気になるのであれば、
この掲示板で一般ユーザであれこれ詮索するより、
カスタマーサポートに相談しても悪いことはないわけですが。


> httpsにしているサイトにもしていないサイトにもスパムサイトからアクセスがあることになっています。

SNIのTLS証明書実装を利用するというのはあくまでも一手法です。
（とりわけ、運用してから期間の経ったドメインなら）全世界に既知だと思っていいわけですから（回答 No.8318 にも書いてあるとおり、第三者でも調べようがある）。

追加したてのドメインにすぐ来るというのであれば、
それはDNSレコード（ゾーン）の方を読まれている可能性もあるわけで、
ネットオウルのDNSサーバ以外を使っているのであれば、ネットオウルの側には原因はないかもしれません。

---
スパム元の IP アドレスも、犯人自身ではなくて「踏み台」ってことも多いので、そんなにアテになるわけでもないのではないかなあと思います。

パソコンにマルウェアが仕込まれているという可能性も否定はしきれませんが（そもそも、疑うのならまずウイルススキャンをしましょう）、
パソコンではなくルータがやられているということもあります（ルータも、ファームウェアの更新と再起動をやりましょう）。

世の中、俗にいう IoT で、いわゆる「ボットネット」の世の中なので、
昔では想像のつかなかったようなスパム送信や攻撃も、いまや日常化していますよ。

> ウイルス対策ソフトは入ってますが作動させていません

とりわけ Windows だったら、これは悪手です。


> 中古ドメイン探しでよく変なサイトに転送されたりするのでたまにウイルスに引っかかるんです

「中古ドメイン」という発想自体が、私には斬新（というか奇特）なのですが。

そもそもドメインは知的財産権で、有体物ではないので。
なので、既登録のドメイン名を譲ってほしくば、正当な権利者から買い受けるものです。

また、商標権などで紛争になることもありますし、取得しても申し立てられて権利を失うこともあります。
かりに、過去に使われていたドメイン名に「タダ乗り」をしようというのであれば、とてもリスキーで、まともな社会人なら手を出してはいけません。

既登録のドメイン名を探しているのなら、
レジストラのウェブサイト等で、オークションや売買仲介などが行われているので、そうしたところに行くべきでしょう。
有効期限切れになる見込みのドメイン名を直ぐ取りたいのであれば、まともなバックオーダー業者を見つけて依頼すべきです。

そうやってちゃんとやっていれば、「変なサイトに転送される」というのはあまりないことです。

それに、信用ならないウェブブラウジングをするのならば、
・ブラウザのプロファイルを分ける
・別のブラウザを使う
さらには
・そもそも普通のブラウザを使わない（テキストブラウザや curl でアクセスする）
というような自衛をすべきです。
反対に、Windows でウイルス対策ソフトなしだと最悪です。

■
アクセスログの「bot」にも着目しては？

・bingbot
・Nimbostratus-Bot

bingbotが来れるということは、リファラスパムだって普通にこれるのでは？

・bingbotが不正な手段でサイトを見つけて、アクセスしている
・bingbotでななくて偽装されている

とかいう可能性もあるけど、確率低いよね。


bingに登録したからというなら別だけど、
それでも、Nimbostratus-Botとかも来てるよね。

■
アクセスログのIPが偽装されてないのなら、
自身のPCから直接何かされてはいない。
間接的には不明だけど、そういうの言い出すと切りないから
確率論で・・。


■
ネットオウルには、サーバーの管理画面に不正ログインがなかったかどうかを聞けば良いのでは？


■
PCがウイルスに感染してないかどうかは、ウイルス対策ソフトを起動してチェックすればよいのでは？

■
不安事項を、１個ずつ消していくのが、問題点をはっきりさせるとよいと思うよ。

一般論になったら、問題が拡大して、なにがなんだかわからなくなるだけだから。

■
Webページも、海外サイトの画像を貼り付けてるように見えるが
向こうには参照元としてログが残るわけだから、
そういうのを利用されて、スパム行為されてたら、簡単にドメインも判明するよね。

＞ほとんどのサイトにアクセスがあります

たとえば、同じサイトの画像を貼り付けてるとかだと、つじつまが合うけど・・。

例えば 185.220.101.26 は Tor ネットワークの出口に使われているみたいなので、
それと UA 情報などがほぼ同じアクセス履歴は、IPアドレスが異なっていても、Tor など踏み台を経由したものと推測してよいと思います。
IPアドレスは多数になっていても、おおもとの犯人は一か所か数か所程度という可能性があり、
そうすると実質的にはそれほど多くのところからはアクセスされていないということになります。

Tor はネットワーク内の通信は秘匿されていたとしても、出入口は見えます。
また、Tor ネットワーク内もすべて万全だということも言い切れないかもしれません。

自分のパソコンやアカウントがやられているのではなく、うちの外で通信が盗聴されている可能性もあります。
例えば、たといTLS暗号化をしたとしても、通信内容自体は暗号化されても通信元や通信先は秘匿されません。
かりに自分の使っている通信経路が Tor だったり VPN だったりするのならば、そちらが盗聴されているということもありえます。

zgrabとかも来てるようだけど・・。

＞ 171.67.70.48 - - [22/Jan/2019:12:13:52 +0900] "GET / HTTP/1.1" 200 3372 "-" "Mozilla/5.0 zgrab/0.x"

>>
収集されたデータは ZGrab というライブラリーによって、プロトコルを解析し、構造化. データに加工される。構造化されたデータはデータベースに格納される。Censys による. 情報収集の方法は SHODAN と同様であるが、Censys が用いている
https://www.ipa.go.jp/files/000052712.pdf
<<

少なくとも下記４つは同じ犯人だと思っていいと考えられるでしょう。
http://burger-imperia.com
http://pizza-imperia.com
http://hundejo.com
http://pizza-tycoon.com

UA同じだし、Chrome バージョン 41 っていくらなんでもいまどきないでしょう。
IPアドレスは Tor とかで変えているだけのことでしょう。
もしも、これを複数だと誤認していたとしたら、おそらく勘違い。

スパムでなくとも、攻撃目的やセキュリティ監査目的で手当り次第スキャンしてくるのはいますし、
ひとたび公知のドメインになってしまえば、早晩、検索エンジンのボットも来るでしょう。

概ね、わずかなものを過大に思い違えているだけでしょう。

ただ、100%問題ないとまで言い切るのは無責任なので。（本人に心当たりがあるのならウイルススキャンをするのは当然のことで、そもそも心当たりの起こらないように普段行動するのが正しい。）

最初に見つけたのが、どのような方法で見つけたのか、ということは問題にはなりうるものの、
もしも過去に他人が登録していたドメイン名を登録して使用したとしたら、「また登録された」ということが捕捉される可能性がとりわけ高いので、
取得したばかり、設定したばかりのドメインでも、いきなりアクセスされてしまう可能性はかなり高い。
そうでなくとも、ドメインを取得したり検索したりしたときには捕捉されることはかなりあります。
普通名詞や一般的なサブドメインを設定したら、向こうは決めうちでアクセスしてくるので見つかることがよくあります。
あなたが考えている以上に、業界は凄いところですよ。ほとんどの人は知らないだけで。ドメイン業界に絞って言っても。

（概ね、質問者は業界についてナイーブ、少なくとも業界を甘くみていて、それなのに無謀なことをしようとしているのが、問題の本質という気がしますね。）

> 中古ドメイン探しでよく変なサイトに転送されたり

中古ドメイン探しで、ドメイン名を入力して検索した時点で、ドメイン名が収集されている可能性は高いですよ。

中古ドメインの売買サイト(なんて、元々怪しい業界ですからね)の中には、検索した段階で、他で入手すれば通常価格で購入できるドメイン名にプレミア価格をつけてくるものもあるようですし。

*.love の中古ドメインなんて、漏れている以前に、最初から「狙ってください」と言っているようなものです。

> 概ね、質問者は業界についてナイーブ、少なくとも業界を甘くみていて、

同感だな。
少なくとも、別のサイトを見にいくときは、クッキーの消去とか、トラッキングの拒否とかしておかないとそこから漏れていてもおかしくない。

> Webページも、海外サイトの画像を貼り付けてるように見えるが

これって、自分でリファラースパムをしているようなものだ。
類は友を呼ぶ.. だな。

例えば同じGoogleアナリティクスやGoogleアドセンスの広告タグを複数のサイトで使いまわしていたら、それらのサイトは同一人物が運営しているであろうことが簡単にわかると思います。

ここでの過去の質問を探すと
他人のサイト構成を無断借用していたり
他人の著作物の無断使用を指摘されていたり
中古のドメインに執着していたりするんですよね。

たぶんほかのところ（知恵袋やTwitterなど）でも同じようなことをしているので、＠Wikiにまとめが作られてしまっているんでしょう。

他人の成果に乗っかって楽に儲けようということしか考えていないので、逆襲されてもしょうがないんじゃないでしょうか。


>ウイルス対策ソフトは入ってますが作動させていません

Windows8.1あるいは10だとデフォルトでWindows Defenderが入っているはずです。
それすら止めているのなら、PC内に素性の悪いものを自分で入れていて対策ソフトが動作するとそれらが削除されてしまうので困るということですよね。
Windowsを使っているが、アップデートもしていないし、悪意のあるソフトウェアの削除ツールも動作させられないなら、そのPCはネットにつなぐべきではないと思います。


https://secure.netowl.jp/bbs/detail.cgi?td=3622
https://secure.netowl.jp/bbs/detail.cgi?td=3623
https://secure.netowl.jp/bbs/detail.cgi?td=3862

これ以外にも多数あったはずですが、自作自演で即回答を閉める行為は、ここのように総質問数が少ないところでは悪目立ちするだけなのでやめた方がいいですね。

https://secure.netowl.jp/bbs/detail.cgi?td=3610

投稿者を見落としてましたが、この方だったんですね。

> たぶんほかのところ（知恵袋やTwitterなど）でも同じようなことをしているので、＠Wikiにまとめが作られてしまっているんでしょう。

もしかしたら、これかな？
https://***************************************