 Re: スパム投稿・IPアドレスブロック ( No.91 ) |
- 日時: 2009/10/23 21:47
- 名前: june
- りり様こんばんは
>昨日は、狙いの分からない英文スパム投稿がたくさんありました。
私は英語がさっぱり分かりませんので削除して良いものかどうか悩みました・・・(涙)
でも翻訳サイトである程度の内容が分かりましたので実行した次第です
仰るように何が狙いなのかさっぱり分かりませんね・・・・。
素早い対策、ビックリ&お疲れ様です。
ご紹介のサイトではないのですが、私も同じ様な対策(1+2)をした事があります。
でも残念ながら有名どころの場合何故か進入されてしまいました・・・・
知識がないのでその後は検索ロボット禁止にしてしまいました。
難しいものですね。
|
| Re: スパム投稿・IPアドレスブロック ( No.92 ) |
- 日時: 2009/10/24 09:16
- 名前: りり
- あの単なる何かの文のような英文はなんでしょうね?
考えられるのは、自動投稿テストかいたずらかな…
自動投稿テストで通ったら、次に怪しいリンクや表現を入れてくるとか?
うちは、検索でたくさんの方が閲覧されているので、ロボット禁止にはできないんですよね。
で、この対策(1+2)ですが、なかなか面白い発見がありました。
(1)のCGIのファイル名を変える…は、あまりやりたくなかったのです。過去の投稿に対する検索ができなくなってしまいますので。
でも、(2)だけでは防げなかったので、CGIファイル名を変えました。
案の定、直後に、スパム屋がアクセスしてきて、404エラーで退散していました。
でも…
やはり検索で調べに来た方も、404エラーで見られなくなり…
一部の方は、404.htmlでリンクしているトップページから、閲覧くださったのですが、ログがこう多いと、該当の部分を捉えるのは、無理なようでした。
http://todos.xsrv.jp/404.html
で、朝は時間がなかったのですが、帰宅してから、まず、元のread.cgiも入れてみました。
本当は、todos.cgiで動くのですが、元のread.cgiも、同じ記述が入っていますから、閲覧はできて、大成功でした。
こちらの例をご覧ください。
http://todos.xsrv.jp/11patioalacarte/read.cgi?no=7
read.cgiとなっていますね。上のURLは、todos.cgiです。
で閲覧は、read.cgiからでも自由にできるのですが、そこから投稿するとなると
試してみてください。「不明な処理です」が出て、投稿できないはずです。
これは、このWebPtioは、init.cgiという設定ファイルが別にあり、それを読み込んでから、掲示板が動いているのですが、
そのinit.cgiで、
# 掲示板閲覧CGI【URLパス】
$readcgi = './todos.cgi';
と設定してあり、閲覧はOKでも、投稿フォームがtodos.cgiからでないと、動かないようなんですね。
まあ、検索からヒットして、投稿しようとする方も、「不明な処理です」が出てしまう可能性は、ありますが、一回でも、ページ移動等すれば、todos.cgiに移ります。
元のread.cgiを入れておくだけで、閲覧だけはOKになるとは、大発見でした。
本当は、read.cgiを戻して、こちらから、閲覧はできて、書き込めない設定をしようかと思っていたのです。
これは、init.cgiという設定ファイルを別に持っている掲示板で、同じように使えるかもしれません。
本来なら、掲示板に書かず、メーリングリストの管理ご協力の皆様にだけ配信するところですが、スパム屋は、投稿など読まないでしょうし、他の方のスパム対策のご参考に、こちらに書き込みました。
で、今朝もスパム屋さんがアクセスしてきたので、ちょっと公開
いきなり、どこかのスレッドのどこかのページを検知して出してきているのですよ。
*.bnut3702.dsl.brasiltelecom.net.br - - [24/Oct/2009:07:00:28 +0900] "GET /2patioospro/read.cgi?mode=&no=30&p=2 HTTP/1.1" 200 11033 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
*.bnut3702.dsl.brasiltelecom.net.br - - [24/Oct/2009:07:00:35 +0900] "POST /2patioospro/regist.cgi HTTP/1.1" 200 893 "http://todos.xsrv.jp/2patioospro/read.cgi?mode=&no=30&p=2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
よくある自動投稿は、いきなりPOSTなのですが、これは、GETしてからPOSTまでに、7秒かかっていますね。
自動投稿ではなく、フォームに書き入れているようにも思えます。
で、read.cgi?modeでは、regist.cgiが動かず、07:00:35の投稿は、失敗に終わった模様です。
もちらん、時間が経てば、todos.cgiも検知される恐れはあります。
でも、このファイル名は、いくらでも変えられます。そして、read.cgiをそのままにしておけば、検索ヒットからも閲覧できます。
今までは、フォルダー名を変え、元のフォルダーは、そっくりログのコピーを入れて、書き込み禁止にして検索ヒット用に二重にしていたのですが、今回の方法は手間が少しで済むし、ログ自体も、検索用も同じログを参照するので、一つのフォルダーで済ませられます。
それに、patio.cgiには、手を触れていないので、トップページのリンク変更も必要なくなり、とても楽でした。
juneさんの掲示板でも、応用できないでしょうかね?
 |
| Re: スパム投稿・IPアドレスブロック ( No.93 ) |
- 日時: 2009/10/24 10:48
- 名前: june
- さすが りりさまですね
転んでも只では起きない?
手軽に設置変更が出来るようになり、何よりです。
私には内容が難しすぎて理解出来ませんが雰囲気は分かったような気がします。
>juneさんの掲示板でも、応用できないでしょうかね?
少し調べてみたのですが設定用のファイルが有るタイプじゃないようです
残念ながら本体を触るとなるとお手上げです。
ウチの場合、少人数で話しをするBBSですので検索に掛かる必要無し
まあエエか!で行きます(笑)
|
| Re: スパム投稿・IPアドレスブロック ( No.94 ) |
- 日時: 2009/10/24 11:26
- 名前: りり
- あっ、juneさん、先ほどは、メールをありがとうございました。
*******************************
>このリンクなのですが
>http://todos.xsrv.jp/1patiokk/patio.cgi
>こちらになっている事が多いです。
>今回の設定変更と何か関係があるのでしょうか?
*******************************
はい。関係有りました。
(2)の投稿モード名を変える では、read.cgi(今は、todos.cgi)のvalue="regist"の名前を変える必要がありました。
さらに、このcgiは、役割分担されているので、regist.cgiのif ($mode eq "todos") { ®ist; }、も変更する必要がありました。
regist.cgiには、メール通知の設定が入っていて、私が、それを忘れて、todos.cgiと同じように全部のカテゴリーに、一部変更した同じもののコピー入れてしまったのでした。
つまり、元のread.cgiで、動かなかったのは、(2)の設定変更がこちらにはされていなくて、元のままだったからです。それで投稿に必要なregist.cgiが、動かなかったのです。
この幸運な結果は、(1)と(2)の対策を両方行ったことにより、出てきたものだと言えるでしょう。
それにしても、juneさんは、細かく見てくれてありがたいです。
ただ今、メール通知のところを直したので大丈夫と思いますが、なにしろカテゴリーがたくさんありますので、どこかにまたミスがあれば、また、どうぞお知らせください。
juneさん、うちのサーバーは、FTPアカウントが自由に発行できるので、フォルダーを指定して、複数でトライできるところに、みんなでWeb用のファイルを入れて試したこともあります。
何か確認したいことがあったら、そういう場所を用意しますので、どうぞご利用ください。
そうしたら、電右衛門さんにも、自前Webサイトの更新練習をしていただけるかもしれませんしね。
電右衛門さんも、多分、契約プロバイダに、無料ホームページスペース分があるんじゃないかと思うのですが…
|
| Re: スパム投稿・IPアドレスブロック ( No.95 ) |
- 日時: 2009/10/24 19:01
- 名前: りり
- あの猥褻投稿の
p-osaka.nttpc.ne.jp が、復活してきたようです。
CGIファイル名対策をしたので、
*.nas926.p-osaka.nttpc.ne.jp - - [24/Oct/2009:18:40:00 +0900] "POST /11patioalacarte/regist.cgi HTTP/1.1" 200 893 "http://todos.xsrv.jp/11patioalacarte/read.cgi?mode=form" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
と、投稿エラーになったようです。
もう契約解除されたから良いと思って、p-osaka.nttpc.ne.jpのアクセス禁止は、解いていたのでした。
200というのは、アクセスできたことを示しますが、次に来る送信容量 893 というのは、少ない容量で、投稿エラーになったときは、この数値になるようです。
CGIファイル名対策は、国内からの迷惑投稿にも、有効ですね。
ですが、他の掲示板で迷惑投稿を再開していそうです。
|
| Re: スパム投稿・IPアドレスブロック ( No.96 ) |
- 日時: 2009/11/03 08:41
- 名前: りり
- スパム投稿側に検知された場合
*(1)CGIのファイル名を変える…
*(2)投稿モード名を変える …
この(1)+(2)対策は、かなり強力です。
対策後、今では、投稿拒否、アクセス拒否どころか、スパム屋のアクセス自体も無くなっています。
エラーになるので、検知リストから外すのでしょう。
あと、CGI名も、ディフォルトと変えると、やはり検知ワードに載らなくて、新しく検知もされないのだと思います。
URL変更は、フォルダー名の変更ではダメですね。
CGI名そのもののの変更が有効です。
で、同じログを使える元のCGIファイルを残しておけば、検索から来られる方にも閲覧のみは、してもらえます。
元のCGIファイルは、(2)投稿モード名を変える対策をしていますから、閲覧のみで投稿できないのです。
個別スレッド閲覧から、スレッド一覧に戻れば、次からは、新しいCGIファイルのほうで動いて、どしどし閲覧してもらえます。
これは、このWebPatioが、個別スレッドとスレッド一覧表示が、別々のCGIファイルで動かしているので可能でした。
IPアドレスブロックも、ホスト名は入れないようにし、最小限にしましたら、動きも良いようですし、.htaccessファイル容量が十分の一になりましたーーー
|
| Re: スパム投稿・IPアドレスブロック ( No.97 ) |
- 日時: 2009/11/05 05:46
- 名前: りり
- 久しぶりに
ircnet.net.ru からのスパム投稿がありました。
深夜の削除、ありがとうございました。
ここは、IPアドレスから、ホスト変換すると、ちゃんとircnet.net.ruなのですが…
ircnet.net.ruを禁止ホストにしても、止まらなかったところです。
ただ今、IPアドレスで禁止にしてみました。
ここは、似たような単語を使いますし、
おなまえ:Owen
というのも、以前使ったような記憶が…
ありました
投稿日時:2009/08/14 04:44 おなまえ:Owen
なにか、製品ぽいフォルダー名を使ったURLと、最後に文字化けの様な感じが付いてくるパターンです。
ここは、投稿フォームではなく、
[05/Nov/2009:01:02:16 +0900] "GET /1patioculture/patio.cgi HTTP/1.1" 200 8258 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
スレッド一覧のpatio.cgiをゲットしてから
[05/Nov/2009:01:02:17 +0900] "GET /1patioculture/todos.cgi?mode=form HTTP/1.1" 200 3851 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
新規スレッド投稿フォームに移り
[05/Nov/2009:01:02:18 +0900] "POST /1patioculture/regist.cgi HTTP/1.1" 200 949 "http://todos.xsrv.jp/1patioculture/todos.cgi?mode=form" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
[05/Nov/2009:01:02:19 +0900] "POST /1patioculture/regist.cgi HTTP/1.1" 200 1475 "http://todos.xsrv.jp/1patioculture/todos.cgi?mode=form" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
投稿終了まで、3秒です。
投稿は、人手なのでしょうか?
もう少し様子を見て、対応を考えたいと思います。
ptio.cgiのファイル名まで変えるのは、なかなか難しいです。作業は、簡単ですが、ログの閲覧とか…
|
| Re: スパム投稿・IPアドレスブロック ( No.98 ) |
- 日時: 2009/11/23 18:11
- 名前: りり
- 今日は、文字化け漢字のあるスパムが入りましたが、早々の削除、ありがとうございました。
今度のは、ドイツのFREENET-POOL-NET経由でした。
IPアドレスで禁止処置をしました。
これは、検知は、ロボットですが、投稿は、4秒かかっており、人の手によるもののようです。
CGIファイル名を変えても、検知されるようになってしまいましたか…
しばらく様子を見たいと思います。
|
| Re: スパム投稿・IPアドレスブロック ( No.99 ) |
- 日時: 2009/11/26 19:34
- 名前: りり
- いつも管理にご協力ありがとうございます。
昨日、今日のタイトル文字化けは、bac.pppool.de からのものです。で、IPアドレスの上二つは、共通しているので、その 77.130. を禁止設定してみました。同じホストから、少しずつアドレスが違うのが入るので。
あと、dynamic.ufanet.ru も、投稿はできていませんが、不審なアクセスをしています。アドレスの 94.41. が、共通しているので、これも禁止にしてみました。
ですが、dynamic.ufanet.ru は、全く違うIPアドレスからも入っているので、IPアドレスを把握するのが厄介です。
ホスト名禁止だと早いのですが、サーバー負荷に繋がるようなので、できるだけ、IPアドレスで設定していきたいと思います。
このスパム投稿に使われているIPアドレスについて、何か情報のある方は、よろしくお願いします。
|
| Re: スパム投稿・IPアドレスブロック ( No.100 ) |
- 日時: 2009/11/27 23:48
- 名前: o6asan
- りりさん,こんばんは。
こんなページを見つけました。
http://blog.kumacchi.com/gagagagaga/country/cchk.cgi
見つけたばかりなので,どのくらい信頼性があるのかわからないのですが,
dynamic.ufanet.ru や bac.pppool.de
をチェックすると下のような解析結果が得られるので結構あてになるのかも。
ちなみに,我が家のTBスパムの発信元74.86.238.186の解析結果は,74.86.0.0/16 #US xanhlacay.info
でした。
|
スパム投稿・IPアドレスブロック