新種の攻撃とみられる不審なアクセスですが、その後もコンスタントに続くので結局IP制限しました。
HTTP_REFERERは完璧に偽りのものです。
こんな攻撃、実行するのは簡単。
適当なサイトをみつけ、スクリプトをあらかじめ用意しておいて、
HTTP_REFERERをはじめとする変数を書き換えて、定期的に実行させるんでしょうね。
これなら私にもできる。(←でも、しませんよっ!)
でも....、REMOTE_ADDR はどうなのかな?と不安です。
先頭に"HTTP_"とつく環境変数は、ブラウザ(=プログラムなど)で書き換えることができるけれど、REMOTE_ADDR は偽装できるのか?という疑問が残ったのです。
毎度お決まりのIPアドレス(217.106.90.80)を利用。
匿名プロクシを使っているようでもなく、このIPに対して、pingを打ってもたいてい活きていないんです。
5分おきなどコンスタントにリクエスト(GET)が投げられてきているのに。
うーん。うーん。(←悩んでいる音)
ここまで真似できない!
でも、IP制限かけたら、パタっと来なくなったところをみると、やっぱりあのIPアドレスは本物だったのでしょか?うーん。
っと、ここまで書いてふとひらめきました。
あのIPアドレスは本物だとして....
ご本人さん、知らない間にスパイウエアにでもやられちゃってる??
投稿者 megu : 2005年01月16日 01:30
コメント
初めまして、maroさんのところから来ました。
自分のお仕事もJavaの開発です。
REFERER偽装はうちのところにも来ますね~
最近のルーターなんかはpingに反応出来ないようにICMPをシカトするステルス機能とか付いてますよね。
投稿者 charcoal : 2005年01月18日 00:46
charcoalさん、はじめまして!
どうぞよろしく!
referer偽装攻撃ってめずらしくないんですね。
あまり心配しなくてもよかったかな。
ping、そのステルス(胃がんっていうのを思い出したわ)機能とかで拒絶されちゃっているのかもですね。
投稿者 megu ![[TypeKey Profile Page]](http://blog.kiyo.com/images/nav-commenters.gif)
: 2005年01月19日 06:24
む。HTTPは片っ端から書きかえれたけどADDRは無理だなぁ・・・
トロイか何か仕込まれてるに一票。
投稿者 通りすがる者 : 2006年08月07日 10:39
☆通りすがる者さん
こんにちは!
やっぱり無理ですよね、、、
投稿者 megu : 2006年08月08日 00:32
