【情報】What's a super.proxy.scanner and why is it

Published: 2006-05-02,
：２００６-０５－０２を発表しました、
Last Updated: 2006-05-02 20:58:42 UTC by Robert Danford (Version: 2(click to highlight changes) )
最新アップデート：２００６-０５-０２　ロバート Danford によっての２０：５８：４２の UTC （バージョン：２（変更を強調するクリック））

Disclaimers:
断り書き：
Visit the urls at your own risk.
自分の責任で URL を訪問してください。

One of our readers has come across an interesting phenomenon in his proxy logs that we're hoping someone can shed some light on.
我々の読者の１人が我々が誰かが若干の光を捨てることができることを希望している彼のプロクシログでの面白い事象を見つけました。

Imagine reviewing your webserver or proxy logs and seeing requests for a website completely unrelated to your organization,
あなたの Web サーバあるいはプロクシログを再検討して、そして完全にあなたの組織と血縁でないウェブサイトのためにリクエストを見ることを想像します、
but an IP address in your address block appears in the hostname.
けれどもあなたのアドレスブロックの中の IP アドレスがホスト名に現われます。

(Thanks to Jeremy for the report and the offer to share. I was able to find plenty of examples on the internet without referencing yours specifically)
（報告と分け合う申し出のためのジェレミーにありがとうございます。私は特にあなたのを参照しないでたくさんの例をインターネットに見いだすことが可能でした）

So here is an example URL that might show up in your logs:
それであなたのログでここに現われるかもしれない例 URL があります：

http://check.216.109.136.53.v.80.pw1.super.proxy.scanner.i.thu.cn/Provy_OK.html
http://check.216.109.136.53.v.80.pw1.super.proxy.scanner.i.thu.cn/Provy_OK.html

running the host command on the above hostname provides:
ホストコマンドを上記のホスト名上で走らせることは供給します：

check.216.109.136.53.v.80.pw1.super.proxy.scanner.i.thu.cn has address 61.135.170.153
check.216.109.136.53.v.80.pw1.super.proxy.scanner.i.thu.cn がアドレス６１.１３５.１７０.１５３を持っています

Hrm. 216.109.136.53 is a an IP in Hoboken, NJ. Thats about 6800 miles away from the host in China (61.135.170.153).
Hrm 。２１６.１０９.１３６.５３がそうである Hoboken 、ＮＪ、での IP . 中国（６１.１３５.１７０.１５３）のホストからおよそ６８００マイルの Thats 。

If you search for the string "super.proxy.scanner" in google you get 3 pages of proxy and web logs showing requests for various URLs that follow the form:
もしあなたがインチが Google で検索する文字列「super.proxy.scanner」を捜すなら、あなたは３ページのプロクシと web ログがフォームの後に続く種々の URL のリクエストを示しているようにします：

http://check.$ip_address.v.80.(pdx8|PCN22|mt1|pw1).super.proxy.scanner.(i.thu.cn|ii.9966.org)/Provy_OK.html
http://check.$ip_address.v.80.(pdx8|PCN22|mt1|pw1).super.proxy.scanner.(i.thu.cn|ii.9966.org)/Provy_OK.html

All of the hostnames resolve to 61.135.170.153. All of the logs I could find show this activity only in the March-April 2006 timeframe so relatively new.
ホスト名のすべては６１.１３５.１７０.１５３に確認します。私が見いだすことができたログのすべてがそれほど比較的新しい３月 - ４月２００６年の timeframe でだけこの活動を見せます。

Visiting one of these hinkey URLs always provides the following (well at least in the few I tried):
これらの hinkey URL の１つを訪問することは常に（よく少なくとも私が試みた少数で）次のことを提供します：

"OK0001"
「OK0001」

The webserver is running lighttpd/1.4.11 (http://www.lighttpd.net/ )
Web サーバは lighttpd/1.4.11 (http://www.lighttpd.net/) を走らせています

Thats about all I could find. The string "super.proxy.scanner" showed up on a few sites as the top search results so someone or some program is looking for this traffic as well.
すべてについての Thats は、私は見いだすことができました。ストリング「super.proxy.scanner」は少数のサイトでトップの検索結果の形で現われました、それで誰かあるいはいずれかのプログラムが同様にこのトラフィックを探しています。

So let us know if you have any theories (or maybe you know exactly whats going on here) See Below for new information. Also if you have any web/proxy log entries (or even better pcaps of all traffic related to one of these IPs) feel free to send them in. We'll post whatever we find in the diary.
それで我々にあなたがどんな理論でも（あるいは多分あなたはここで先へ進んで正確に whats を知っています）が新しいインフォメーションのために下を見るようにするかどうか知らせてください。同じくもしあなたが Web / 代理を持っているなら、ログ参加者（あるいはこれらの IPs の１人と関係があるすべてのトラフィックのもっと良い pcaps さえ）が（彼・それ）らを呼び入れることを遠慮なくします。我々は我々が日記に見いだすものは何でも公表するでしょう。

One interesting tidbit, while researching this I fat-fingered a lookup and the DNS server gave me an interesting IP back:
これを研究する間にルックアップと DNS サーバーが面白い IP 前に私に与えた私が脂肪 - 指で触った１の面白いかけら：

dig any suprt.proxy.scanner.ii.9966.org
;; QUESTION SECTION:
;suprt.proxy.scanner.ii.9966.org. IN ANY

;; ANSWER SECTION:
suprt.proxy.scanner.ii.9966.org. 300 IN A 61.135.170.153
suprt.proxy.scanner.ii.9966.org. 300 IN NS ns1.suprt.proxy.scanner.ii.9966.org.
suprt.proxy.scanner.ii.9966.org. 300 IN NS ns2.suprt.proxy.scanner.ii.9966.org.

;; AUTHORITY SECTION:
suprt.proxy.scanner.ii.9966.org. 300 IN NS ns2.suprt.proxy.scanner.ii.9966.org.
suprt.proxy.scanner.ii.9966.org. 300 IN NS ns1.suprt.proxy.scanner.ii.9966.org.

;; ADDITIONAL SECTION:
ns1.suprt.proxy.scanner.ii.9966.org. 300 IN A 61.135.170.159
ns2.suprt.proxy.scanner.ii.9966.org. 300 IN A 61.135.159.152

Here is what I would have gotten without my typo:
私のタイプミスなしでここに私が手に入れたであろうものがあります：
dig any super.proxy.scanner.ii.9966.org
;; QUESTION SECTION:
;super.proxy.scanner.ii.9966.org. IN ANY
;; ANSWER SECTION:
super.proxy.scanner.ii.9966.org. 300 IN A 61.135.170.153

;; AUTHORITY SECTION:
ii.9966.org. 86400 IN NS ns2.ii.9966.org.
ii.9966.org. 86400 IN NS ns1.ii.9966.org.

Some results from google:
check.216.109.136.53.v.80.pdx8.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.216.109.136.53.v.80.pw1.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.216.109.136.53.v.80.PCN22.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.63.245.201.35.v.80.mt1.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.66.34.248.90.v.80.pcn22.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.147.251.3.78.v.80.PCN22.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.147.251.3.39.v.80.PCN22.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.130.71.96.35.v.80.mt1.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.141.225.152.87.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.207.73.173.23.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.63.245.201.36.v.80.pw1.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.207.73.173.23.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.58.188.232.10.v.80.PCN22.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.63.245.201.35.v.80.PCN22.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.207.210.74.70.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.151.100.18.65.v.80.PCN22.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.212.192.114.3.v.80.mt1.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.128.243.107.6.v.8080.PCN22.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.192.107.81.22.v.80.pw1.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.192.107.81.22.v.80.PCN22.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.130.85.162.106.v.80.pw1.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.130.85.162.106.v.80.pw1.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.167.196.204.113.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html
check.212.192.114.3.v.80.mt1.super.proxy.scanner.ii.9966.org/Provy_OK.htmlcheck.207.210.74.70.v.80.pdx8.super.proxy.scanner.ii.9966.org/Provy_OK.html

Interesting entry from the web log for a webcam:
WebCam への web ログからの面白いエントリー：

Camera 1: Security alert:
カメラ１：セキュリティーの警告：
user from IP address: 61.135.170.159 is trying to read file:
IP アドレスからのユーザー：６１.１３５.１７０.１５９がファイルを読もうとすることです：
check.70.60.215.15.v.8080.PCN22.super.proxy.scanner.i.thu.cn/Provy_OK.html
check.70.60.215.15.v.8080.PCN22.super.proxy.scanner.i.thu.cn/Provy_OK.html

Update: 5/2/06:
更新してください：５/２/０６：

Thanks to everyone who wrote in with theories and facts.
理論と事実で手紙を書いた皆にありがとうございます。

This activity appears to be related to a scanning tool call "proxy_scanner" which was released in Chinese hacker circles in 2004.
この活動は２００４年に中国のハッカーサークルでリリースされた走査のツールコール「proxy_scanner」と関係があるように思われます。
The site was.io8.org was used to distribute this tool and traffic related to that site was sent in to us as well.
サイト was.io8.org はこのツールを配布するために使われました、そしてそのサイトと関係があるトラフィックが同様に我々に提出されました。
(Note: we don't have a copy of the toolkit yet, so if anyone has a copy we can analyze.....)
（ノート：我々はまだツールキットのコピーを持っていません、それでもし誰かがコピーを持っているなら、我々は．．．を分析することができます。）

proxy_scanner details:
proxy_scanner の細部：

Scans for proxies by breaking the sender queries into multiple parallel processes
多数の平行したプロセスの中に送り主の問合せを破ることによって、代理を走査します
Uses libpcap to listen for responses.
libpcap を回答に聞き耳をたてるために使います。
Target selection list is randomized
目標セレクションリストが randomized されます

Here's an excerpt from a known Chinese hacker repository:
ここに周知の中国のハッカー倉庫からの抜粋があります：

http://proxy-scanner.thu.cn/proxy_scanner-0.0.14.tar.gz
http://proxy-scanner.thu.cn/proxy_scanner-0.0.14.tar.gz
It depends on libevent, and can run on Linux/FreeBSD box.
それは libevent に依存して、そして Linux / FreeBSD ボックス上で走ることができます。
No any document here now, all things is in source.
いいえ今、すべてものがソースでそうであるここのどんなドキュメントでも.
It's ugly but it's power full. it can scan whole B network in
それは醜いです、しかしそれはそれがＢネットワーク全体を走査することができるパワー full. です
60 seconds
http://was.io8.org/me/project

Related Hosts Details (thanks to Team CYMRU's wicked whois server):
関連した主催者の細部（チーム CYMRU の邪悪な whois サーバーのおかげで）：
AS Name
名前として
AS | IP | BGP Prefix | CC | Registry |

JINGXUN Beijing Jingxun Public Information Technology Co., Ltd
JINGXUN 北京 Jingxun 公共の情報技術社
9803 | 211.100.33.61 | 211.100.32.0/19 | CN | apnic |
９８０３　　 | ２１１.１００.３３.６１　　 | ２１１.１００.３２.０ / １９　　 | CN | apnic 　　 |

CHINANET-BACKBONE No.31,Jin-rong Street
4134 | 61.183.15.41 | 61.183.0.0/19 | CN | apnic |
4134 | 61.183.15.62 | 61.183.0.0/19 | CN | apnic |

CHINA169-BJ CNCGROUP IP network China169 Beijing Province Network
4808 | 61.135.159.152 | 61.135.128.0/19 | CN | apnic |
4808 | 61.135.170.153 | 61.135.0.0/16 | CN | apnic |
4808 | 61.135.170.159 | 61.135.0.0/16 | CN | apnic |

Note: If you see an IP you own in one of the above URLs you might want to check your proxy configuration.
ノート：もしあなたが上記の URL の１つであなたが所有する IP を見るなら、あなたはあなたのプロクシ形状をチェックすることを望むかもしれません。
Here is are a few resources regarding open proxies and how to secure them:
ここにそうである、公開されているプロクシと（彼・それ）らをしっかり固定する方法に関して：少数のリソースです
http://www.ftc.gov/secureyourserver/
http://www.us.sorbs.net/faq/proxy.shtml
http://en.wikipedia.org/wiki/Proxy_server

You can also refer to this list of open proxies and see if your site is listed:
あなたは同じく公開されているプロクシのこのリストに言及して、そしてあなたのサイトが目録に載っているかどうか見ることができます：
http://www.publicproxyservers.com/page1.html

The background as to why the proxies are entered into DNS is still a little sketchy.
プロクシがなぜ DNS に入力されるかについてのバックグラウンドはまだ少し概略だけです。
Several bright folks wrote in hypothesizing how this method might be capable of detecting nested proxy networks.
いくつかの頭が良い人々がこの方法がネストされたプロクシネットワークを検出することができるかもしれない方法を仮定して手紙を書きました。

Robert - SANS ISC Handler
ロバート－ ISC 調教師なしで

（出展：ＳＡＮＳ）