TODOS・何でも情報交換TOPから是非ご覧ください。
一番下の投稿フォームへ > スレッド一覧 > 記事閲覧
スパム投稿・IPアドレスブロック
日時: 2008/12/30 20:49
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

本日、つい先ほどのも含めて、3件のスパム投稿がありました。
アクセスログでは、ホスト名「 ircnet.net.ru 」
ロシアからのものです。

ここのサーバは、サイト全体にIPアドレスで、アクセスブロックできます。

以前は、一つ一つのCGIの中に、アクセスブロックIPやホストを指定していましたが、一回でできるので、楽です。

今回は、これで対応したいと思います。

また、多くの掲示板サイト設営の方々の参考に、こうした情報は、今後も載せていきたいと思います。

メーリングリストに登録の皆様には、4時台の2件について、該当投稿メールを削除くださるようお願いしました。
つい先ほどのは、文字化け漢字などがタイトルに入っています。
そちらも、不正なリンクがありますので、投稿メールが来た方は、削除ください。


CGIでのアクセス解析では、ホスト詐称もありますが、こちらのサーバでは、全てのログを完全に確認できます。
三回のホスト・IPアドレスは、同一でした。
今月、27回こちらへアクセスしていた模様ですが、日本語必須など、投稿適合に何回かトライしていたかと思われます。

今回、ブロックしたので、また様子を見ていきたいと思います。

http://www.cman.jp/network/support/ip.html
ドメイン/IP検索

http://www.geocities.co.jp/SiliconValley/7695/mask.html
ネットマスク変換スクリプト 
メンテ

*TODOS・何でも情報交換・TOP*<スレッドPage> 最新 | 20 | 19 | 18 | 17 | 16 | 15 | 14 | 13 | 12 | 11 | 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | 1 |

Re: スパム投稿・IPアドレスブロック ( No.1 )
日時: 2008/12/30 23:01
名前: はるか
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=1

同じIPですか、素人ですかね。業者なら投稿ごとにIPを変化させるのが
常識ですが。三回とも見ましたがグーグルのリンクが付いていますね。
ロシア語でなく英語なのはこれいかに?


メンテ
Re: スパム投稿・IPアドレスブロック ( No.2 )
日時: 2008/12/31 07:53
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

>ロシア語でなく英語なのはこれいかに?
「 ircnet.net.ru 」は、踏み台にされているだけかもしれませんね。

>業者なら投稿ごとにIPを変化させるのが常識ですが。

以前来ていた自動投稿スパムは、そうでした。

ですが、それは、CGIスクリプトが読み取ったIPでしたし、CGIスクリプトによって、偽装できるものとできないものとありそうなんですね。

今度のは、うちのサーバが直接吐き出しているアクセスログなので、確かかなとか思うんですが、それも偽装可能でしようか?

偽造可能なら、IPアドレスでアクセスブロックは有効ではなくなります。
しばらく様子を見ます。
メンテ
スパム投稿の痕跡 ( No.3 )
日時: 2008/12/31 15:35
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

画像のように5秒間に15回のスパム投稿をしようとした痕跡がログにありました。
実際には、こちらでかけているトラップに填ってエラー投稿になり、受け付けられなかったものと思います。
これは、「 ircnet.net.ru 」からではありません。
詐称していなければ、関西圏のOCNからのものです。トップのアドレスは消していますが。

もし、通常の参加者がこちらを利用しているときに、裏でこんな動きがあるなら、サーバ負荷エラーにも繋がるかもしれません。

様子を見て、頻発するようでしたら、ログを示してOCNに通報すると、抑止できるでしょうか?

何かご存知の方は、ご助言お願いします。
メンテ
スパム投稿の痕跡 ( No.4 )
日時: 2008/12/31 16:34
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

遡って調べたら、この一週間、関西圏のinfowebから、似たような時間帯で、やはり毎日同じような15回のトライ

ログは、二ヶ月自分の所に保存するような設定にしてあります。

時々、ホストを変えているのか?

サーバで設定するアクセス拒否は、IPアドレスなのです。
アドレスは、毎回変わっているので、拒否アドレスを設定してもきりがありません。

WebPatioのCGIのほうで、ホスト名でアクセス拒否設定できますが、同一ホストの方も止めてしまいますからね。

困ったことですが、実際の投稿には至ってないので、良しとするか…悩みます。
メンテ
Re: スパム投稿・IPアドレスブロック ( No.5 )
日時: 2009/01/01 09:56
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

はるかさん、こちらの続きですが

自己紹介はこちら・お話しましょう〜〜〜♪ ( No.209 )
日時: 2009/01/01 00:55


>同じIPを刺してくるのは詐称串でもなさそうです、
>業者なら同じIPは使いません、よほど間抜けなスパムだと思います。

今回のこのスパムのやり方は、以前、アダルトサイトの宣伝投稿に使われていたのと同じです。
いつも、午後2時前後に、一日一回、それぞれのカテゴリーに続けて一つずつスパム投稿をしていました。
私の方で、WebPatioの禁止ワード設定で凌いでいましたが、いたちごっこでした。
で、メールアドレストラップを付けて、そのスパムは、入らなくなりました。
今回のログを見て、投稿は入らなくても、ここの掲示板新URLは検知して、相変わらずスパムしようとしているのだと分かりました。

メールアドレストラップというのは、本当は、このWebPatioにはメールアドレス記入欄がありますが、見えなくしています。
ですから、ちゃんとフォームから書き込み投稿している方は、メールアドレスを書きません。
でも、自動投稿プログラムでは、WebPatioの書き込みスクリプトを検知しますから、メールアドレスも書き込むんですね。
で、トラップというのは、メールアドレスを書き込んだら、不正投稿と判断されるようにしています。

以前は、WebPatioのスクリプトで、ホストやメールアドレス、UserAgentを付けて、設定したアドレスに投稿メールを送るようにしていました。
で、そのときは、一秒間に何通も送っているのに、全て、ホスト、メールアドレス、UserAgentを変えていました。
ですから、ホストで禁止することはできなかったのです。

今回、同じやり口がサーバのログから検知されましたので、サーバは、同一IPアドレスと察知していますが、CGIで送信される内容は、多分、以前のように全て変化させていると思います。
それは、WebPatioのようなスクリプトの仕組みを知っていて、そこでは詐称が有効になっているのだと思います。

今は、メーリングリストで、投稿のあったメールをメンバーに送信するようにしているので、ホスト、メールアドレス、UserAgentは、送信しないように変更しました。
私の方でも同じメールが来るだけなので、そこは確かめられません。

私の推測としては、サーバ直のアクセスログと、動作しているCGI上で検知した内容と違っているのだと思います。


>それに表に出てこないのならお客さんに対して影響は無さそうですし、捨てておいても良いかと思います、しかし時々ログの蓄積状態は点検しなければならないかな。
>知らないうちにサーバに負担がかかってはなりませんからね。

そうですね。様子を見て、考えたいと思います。
isso氏の改造版も機能が付加される分、サーバ負荷が余計にかかりそうなので、必要な部分だけの採用にとどめたいと思い、検討中です。
丸ごとisso氏のWebPatio改造版は使わないと思います。


>それとこれぐらいのスパムではプロバイダーは動きません。
>内容的に犯罪性があれば別ですがスパムでは動かないと思います。
>私の聞いた話では一秒間に何百のDOS攻めにも無視したといいます。

そういうものですか。一日一回というのが、相手も一定の線を保っているのかもしれませんね。
日本語なしの海外スパムだと、もっと凄いみたいですからね。
メンテ
Re: スパム投稿・IPアドレスブロック ( No.6 )
日時: 2009/01/05 19:13
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

三が日は、良かったのですが、昨日、今日と、やはりスパム投稿を試みた形跡がありました。

IPアドレスは両日違っていましたが、ホストは、どちらも関西方面の so-net です。

これまで、OCN、Infoweb、so-netと全部同じ関西のとある県からのものです。

そこで推測ですが…

スパム投稿プログラム実行者は、地域のネットカフェなどを転々として、発信しているのではないでしょうか?

OCNなどは、1カ所から大量の通信量が出るのを制限していると聞きました。
それで、この前身のdoratomoサーバは、もうサーバとして使えなくなってしまったのです。

スパム投稿プログラムを動かせば、一定時間凄い勢いで大量の送信がされるはずです。

うちだけでも、5秒で15通…これが、一回、プログラムを動かせば、全国に何万通か、それ以上か?

当然、自宅で行えば、プロバイダ側が検知してなんらかの対応をするのではないでしょうか?


となると、法規などでも、規制するのが難しくなるのでしょうね。
メンテ
Re: スパム投稿・IPアドレスブロック ( No.7 )
日時: 2009/02/22 20:04
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

ただ今、迷惑投稿を削除しましたが

.htaccessでアクセス禁止にしたのは、効いたようです。

*.p-osaka.nttpc.ne.jp - - [22/Feb/2009:19:34:17 +0900] "GET /1patioalacarte/patio.cgi HTTP/1.1" 403 289 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"

403、アクセス禁止のエラーが出たようです。

19秒後、こちらは、スロベニアのプロクシ?

tor.tnode.com - - [22/Feb/2009:19:34:36 +0900] "GET /1patioalacarte/patio.cgi HTTP/1.1" 200 12344 "http://todos.xsrv.jp/1patioalacarte/patio.cgi" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)"


ホスト名は変わっていますが、Mozilla/4.0以下、UserAgentは、そっくり同じです。


サーバ側で、海外プロクシ禁止が設定できると良いのですが、それがありません…
メンテ
Re: スパム投稿・IPアドレスブロック ( No.8 )
日時: 2009/02/23 00:37
名前: Naoyuki
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=11

お疲れ様です。

以前、手動による投稿では?と心配しましたが、どうやらそれは杞憂であったようです。
どうも失礼致しました。 (^^;

プロクシ?というよりは、管理の甘いPCを乗っとっている物と思われます。

そうなると、ホスト名は世界各地に散らばりますので、ホスト名でのブロックは難しいでしょう。
かといって、NGワードでのブロックにも限界があるでしょう。

現時点で最も有効な対策は、旧URLでは閲覧専用として、
新規の投稿を新しいURLに誘導することではないでしょうか…?
メンテ
Re: スパム投稿・IPアドレスブロック ( No.9 )
日時: 2009/02/23 06:58
名前: りり
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

>現時点で最も有効な対策は、旧URLでは閲覧専用として、
>新規の投稿を新しいURLに誘導することではないでしょうか…?

なるほどーーー
さっそく二重構造にしました。

tnode.comというのは、乗っ取られているというか、よく迷惑投稿に使われているようです。
torというのは、プロクシ経由みたいなことが書いてありましたが。

情報は
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)

  Domain Name: TNODE.COM

   Created on: 10-Oct-04

   Expires on: 10-Oct-11

   Last Updated on: 21-Feb-08



  Administrative Contact:

   Milutinovic, Mitar mitar@tnode.com

   Titova 100

   Ljubljana, - 1000

   Slovenia

   1234567   Fax --


いい加減な登録しているみたい?
メンテ
Re: スパム投稿・IPアドレスブロック ( No.10 )
日時: 2009/02/23 09:56
名前: Naoyuki
URL: http://todos.xsrv.jp/2patioweb/read.cgi?no=10

なるほど、大変失礼致しました。_(._.)_
「tor.tnode.com」は、そのままホスト名だったんですね。

僕がよく利用している「IPひろば」でも検索してみたところ、
2月から急激に「検索ランキング」が上がっているようです。
http://www.iphiroba.jp/


追伸:
URLを投稿用と閲覧用に分ける対策は、僕が過去、実際に
Pukiwikiを使用したサイトで実施した経験があります。

当初は負荷対策が目的でしたが、
投稿用のみ.htaccessで徹底的にアクセス制限することで
Spam対策にもなりました。

.htaccessだと閲覧のみ可という設定ができませんので…
メンテ

*TODOS・何でも情報交換・TOP*<スレッドPage> 最新 | 20 | 19 | 18 | 17 | 16 | 15 | 14 | 13 | 12 | 11 | 10 | 9 | 8 | 7 | 6 | 5 | 4 | 3 | 2 | 1 |

楽しい交流と情報交換のTODOS・アップローダーも用意。ぜひTOPからもご覧ください。
ご参考になりましたら、お気軽に一筆お書き込みくださいませ。
題名 スレッドをトップへソート
名前
画像添付
JPEG
GIF
PNG



参照ボタンを押して、PCの画像を指定ください。3枚まで指定できます。縮小画像はクリックで拡大されます。
パスワード (好きなパスワードを。投稿後、右下のスパナマークをクリックし、そのパスワードを入れて修正できます。)
コメント

   クッキー保存
スレッドTOPへ***スレッド一覧