« A3 SportsBack見てきました | メイン | Javascriptで文字コード変換 »
普通にPOSTしてくるコメントスパム
2004年10月26日
今朝、十数通のコメントスパムをありがたくいただきました。

現在施しているコメントスパム対策は、
『ページを表示した時のIPアドレスと、コメントをPOSTしたときのIPアドレスが異なっている場合にスパムと判定』
することにより処理しています。

ところがどっこい今朝のスパムは最初(ページを表示する時点)から素直に踏み台に乗ってきているらしく、このワナにひっかかってくれませんでした。

#困ったなぁー。(イタチゴッコですわよね。)

今回、ちょっと気付いたことがあります。
同じIPアドレスでほぼ同じ時刻に、namazu.cgiと、mt-search.cgiにアクセスがあったのです。
一例をあげてみます。

コメントスパムのログほか(UTFコードで書かれたテキストが開きます)

※検索(mt-search.cgi,namazu.cgi)は、POST後におこなわれているようである。どーして??
※でも、namazuに検索ワードのログが残っていない。→入力なしで検索ボタンが押下されたと考えられます。

※もしかしたら、HTML上にあるformタグを拾って、すべてにPOSTするようなスクリプトを用意しているのかな?っとも考えられます。
メインページから見えるForm(ボタン)は、コメントの確認、投稿。あとはNamazu検索とmt-searchによる検索フォーム。
相手は日本語がわからないだろうから、最初の2件は確認にSubmitしてしまったのも理解できます。
どうなんでしょうねっ。

とりあえずは、今回のコメントスパムの踏み台にされたアドレスは拒否するように.htaccessを指定
(全部公開しちゃいます!)
<Limit GET>
        Order deny,allow
        deny from       200.31.17.45
        deny from       200.35.81.51
        deny from       202.47.247.131
        deny from       210.69.180.250
        deny from       211.147.225.100
        deny from       211.250.81.252
        deny from       212.100.249.230
        deny from       212.165.158.100
        deny from       212.217.2.36
        deny from       213.199.192.37
        deny from       218.10.248.158
        deny from       80.58.3.172
        deny from       139.30.163.40
        deny from       148.208.233.253
        deny from       151.8.7.15
        deny from       195.85.209.50
        deny from       200.57.4.149
        deny from       200.167.242.194
        deny from       202.47.247.131
        deny from       205.208.226.59
        deny from       211.167.4.105
        deny from       213.86.52.193
        deny from       216.148.246.90
</Limit>

あぁどうやって防御すればいいのかなぁー
ダミーのボタンを設けて、そちらにも同時にPOSTされたらコメントスパムとみなすとか?
(それじゃ、なんだか変だわ。)

投稿者 megu : 2004年10月26日 18:06

コメント

こうも書けますよん。
<Limit POST GET PUT>≪改行≫
order deny,allow≪改行≫
deny from 139.30.163.40 148.208.233.253 151.8.7.15 195.85.209.50 200.167.242.194 200.31.17.45 200.35.81.51 200.57.4.149 202.47.247.131 202.47.247.131 205.208.226.59 210.69.180.250 211.147.225.100 211.167.4.105 211.250.81.252 212.100.249.230 212.165.158.100 212.217.2.36 213.199.192.37 213.86.52.193≪改行≫
</Limit>
あら?改行できひんのね・・・

投稿者 とおりすが~り♪ : 2004年10月27日 00:47

とおりすが~りさん、こんにちは♪
なんどもトライしていただいたみたいで、ごめんなさい。

昨日、はてなにURL書いちゃったから、そちらからいらっしゃてくださいました?
どうもです!

denyとallowをペアペアで書くのはいつもやっているんですが、allow all って書くのは本当、躊躇しちゃいますものね。
この順番でこうやって書けばいいんですねっ!
ふむふむ、修正しておきます。
改行の件はごめんなさい。
(データをみてみたのですが、lfが入っていないようです。)

投稿者 megu [TypeKey Profile Page] : 2004年10月27日 05:43

わかりました。
プレビューのときには改行が反映されないんです。
(MovableTypeのデフォルトのままで。)
ごめんなさい。

IPアドレス間は空白ひとつでしょうか?
deny from を全行に書くのはそのままにしてありますが、orderを逆にして、allowをはずしたバージョンが今動いています。
このIPアドレスの中で稼動中(笑)のプロクシがあるので、それでテストしてみました。

投稿者 megu [TypeKey Profile Page] : 2004年10月27日 06:02

コメントしてください




保存しますか?