今、コメントスパムの予防策はしていないですが、記録を取っています。
「いつひっかかってくれるかなぁ~」
と心待ちにしていたのですが、今日やっと来てくれました。
#スパムがうれしいなんて、今日くらい(笑)。
わかったことがいくつかあります。
(1)ヤツはダサいことに、ひとつひとつコメントしているらしい。
→だからhiddenに標準でない項目を追加したって駄目なんです。
(2)コメントをPOSTするときだけ、一時的にIPアドレスを変えている。
→ブラックリスト対策かも。これじゃ、いくら禁止IPに登録しても太刀打ち不可です。
(3)でも、ひとまずアクセスするとき(コメントフォームを表示するとき)に使うIPアドレスはだいたい決まっているらしい。
っということです。
一発屋なんかじゃなかったんです。悪さをするとき、一瞬だけIPアドレスを変えていたのです。
ログを晒します。ふっふっふ...(不気味)
まず、コメントスパムを送ってきた人が最初にコメントFormを表示してきたときに使ったIPアドレスです。
コメントスパムは6通あったのですが、対するFormの表示、まんま6回ありました。
私の予想では、一回だけFormを表示して中身をチェックしてから何かツールを使ってばんばんPOSTしてくるのかと思ったら違った....(笑)。
(意外と原始的な方法だったのですね。)
65.75.146.170 host170.easymanaged.com
65.75.166.200 host200.easymanaged.com
65.75.166.210 host210.easymanaged.com
今回使われたのは、この3つのIPアドレスでした。
おそらく、皆様のブラックリストにはこのIPは登録されていないのではないかと思います。
なぜって....このIPでは悪さはしないから。(ただ、コメント用のフォームを表示するだけなので。)
お手軽にコメントスパム対策をするならば、このホスト(easymanaged.com)をアクセス禁止にするといいかも。....でもすぐに別のでくるだろうけれど。
※追記
この3つのホストのうち、
host170.easymanaged.comはオンラインカジノのサイトです。
ほかの2つもサーバはあがっているようです。
オンラインカジノのスパムに関しては、こちらのホストに対してアクセス制限をすればなんとかなるかも。
※追記おわり
※さらに追記
上に、皆様のブラックリストに...というくだり、これは誤りのようです。
どうやら、一瞬IPアドレス変異現象にはいきさつがありそうです。
過去には*.easymanaged.comなんてIPで普通にコメントがPOSTされていたのかもしれません。
それで、いっせいにeasymanaged.comが禁止IPに登録されたものだから、敵は一瞬芸を使うようになった???よーな気がしてきました。
※さらに追記おわり
ひとつだけ例にとって説明します。
(1)敵はまず、http://blog.kiyo.com/archives/2004/08/post_16.htmlにアクセスしました。
※そのとき、Formタグのmt-comments.cgiに下記のようなパラメタをSSIでもって付与しておきました。
damedamespam_15051905_host170.easymanaged.com_65.75.146.170
(2)その後、コメントをPOSTしてきました。
QUERY_STRINGにはしっかり、damedamespam_15051905_host170.easymanaged.com_65.75.146.170が設定されてきました。何も改ざんされていません。そのものです。
ただ、IPアドレスだけは違っていました。
65.75.146.170ではなくて、198.165.90.74 (cache-sp-01.cheznoo.net)です。
アクセスされた日時は"15:05:30 05/Sep/2004"でした。
上のサイトを表示してから、POSTを受付けるまでの時間は、たったの11秒です。
強力プロキシ切り替えツールでも使っているのでしょうか?(笑)
USER_AGENTからは、"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461; AIRF)"ということになっているのですが...。
それとも、インターネットオプションの接続のLANの設定を開けっ放しにしておいて、オペレーションしているのでしょうか?(だとしたら笑える)
前回、もしかしたらイケるかも?と書いたあの方法だと、すでにIPアドレスが異なる時点で、このコメントスパムは除去できたワケです。
あとはセーブしておいた情報の保持期間(表示してもすべての人がコメントしてくださるわけでないので)の制御など、考えなくてはなりません。
セッションを使えればいいのですけれどね。アプリケーションサーバが必要になってしまう...やっぱりphpなのかな??
でも、comments.cgi自体はperlなので、コンテンツだけをphpにしても駄目ですね。
とりあえずはセッションなんて考えないで、普通にファイルに保持して、使われない場合は適当な期間で削除していくようにするつもりです。
ただ、この方法にしたって、まともにひとつのIPアドレスで、内容だけがスパムなものをコツコツとPOSTされてしまったらひとたまりもないわけです。
「全部英語だったらスパムと判断する。」
なんていう方法も見かけたけれど、今日、「カジノさん」からPOSTがありました。
敵は日本語も覚えたようです(笑)。
話は変わりますが、スパムメールに下のような内容のものがありました。
最近電話くれないね、嫌いになったの? 彼女出来たのかな?たまには連絡ほしいな。 美香
普通に読んで何も問題のない内容、もちろんSpamAssassinだってスパムとは判断しないし、クライアント側に仕込んだウィルスバスターだって無反応。
Fromアドレスはごくごく普通の一般的なプロバイダのアドレス。踏み台だって使ってやしない。
これと同じで、まともにコメントされちゃって、その内容だけがSPAMじゃね....。
手でこつこつIP禁止指定したって、イタチごっこだろうしね....。
本当、皆さまご苦労さまです...。
※またまた追記
その後、やっぱり気になって"easymanaged.com"でググってみたら、
NET侍さんのサイトがヒットしました。
あれま、host170.easymanaged.comにはアクセスしちゃいけなかったんですね。
ここからリンクしてみた上に、確認のために何回もアクセスしちゃいました。
host200(空白のサイトがあった)もhost210(確かTESTとか出た)も、存在しないホストも試しに...
tracerouteもしたし、pingも打ったし。
わはははは....
もう笑うしかありません。
#ストーリーは決めたものの、まだ仕込んでいないんです。
だって眠たいんですもの。明日は朝早いし、月曜日だし....泣。
大丈夫かな?
※またまた追記ここまで
投稿者 megu : 2004年09月05日 21:54
コメント
kakkontoe 改め、pineapple です。
〜カジノという名前で、私の知り合いのところのブログにも出現しています。
本文英語、名前日本語。
同じ人物でしょう。
私のところには来てくれません。
下らないレスで済みません。
投稿者 pineapple : 2004年09月06日 02:23
pineappleさん、お久しぶりです:-)
時々お邪魔させていただいてました~!!
そうなんです。カジノさん、名前だけがカジノさんなんです。
そのうち本文にもちょこっとだけカジノなんて入れたりしてくるかもしれませんよね。
コメントスパムは、「来ない来ない」と書いているうちにきてくれるようになりました(笑)。
投稿者 megu ![[TypeKey Profile Page]](http://blog.kiyo.com/images/nav-commenters.gif)
: 2004年09月06日 12:21
今朝、普通にコメントしてくるコメントスパム(IPアドレスを偽らない、大量生産スクリプトなど使わず正常なオペレーションでひとつひとつコピペ(?)でコメント入力してくるらしい)が来ました。ひさしぶりです。
ログを調べると、2/11にはひさびさにspammer.txtにログが増えていました。
投稿者 megu : 2005年02月13日 08:13
