気になるスパム
2006年10月22日
Apache のログを見ていると、少し変な POST が連続して行われていることに気が付いた。
Nucleus の管理メニューから『管理操作履歴』を見てみると、
Login failed for hi all! sorry for that... <a href="http://xxxxxxx.com/~acaciabackup">the acacia strain</a> <a href="http://xxxxxxx.com/~acaciabackup">acacia</a> <a href="http://xxxxxxx.com/~acaciabackup">acacia tree</a>......
といった具合である。どう見てもコメントスパムなのであるが、ログインのトライをしてきた。コレはどう考えても、こちらの HTML を理解し、POST で処理するフォームがあれば何でも良いから送信してきているように見える。
しかも、アクセスしてくる IP アドレスをみると、殆ど同じコメントスパムのように見えるにもかかわらず異なる IP アドレスから、しかも、スペインから、クウェートからと接続してくる国が多種多様である(ホントにクウェートから接続しているのか?)。
もうひとつの特徴は、一日の接続は一度きり、しかも、POST を一回してくるだけでその前後の接続は全くない。スパムロボットの多くは、コメントを送りつけてきた後にそれが書き込まれたかどうかの確認をよくするが、それも全くない。
情報が一方通行的に来ている可能性を考えると、コレはもしかしたら、IP詐称かも。
と、関心する前に何か対策…ログインフォームを javascript で保護するとか…を考えてみるかな。ま、今のところ鬱陶しいだけで、実害はないのだけれど。
(061031 追記)
この件の対策のために、新しくプラグイン(NP_JSEncode)を作成した。うまく動いている様子。
Nucleus の管理メニューから『管理操作履歴』を見てみると、
Login failed for hi all! sorry for that... <a href="http://xxxxxxx.com/~acaciabackup">the acacia strain</a> <a href="http://xxxxxxx.com/~acaciabackup">acacia</a> <a href="http://xxxxxxx.com/~acaciabackup">acacia tree</a>......
といった具合である。どう見てもコメントスパムなのであるが、ログインのトライをしてきた。コレはどう考えても、こちらの HTML を理解し、POST で処理するフォームがあれば何でも良いから送信してきているように見える。
しかも、アクセスしてくる IP アドレスをみると、殆ど同じコメントスパムのように見えるにもかかわらず異なる IP アドレスから、しかも、スペインから、クウェートからと接続してくる国が多種多様である(ホントにクウェートから接続しているのか?)。
もうひとつの特徴は、一日の接続は一度きり、しかも、POST を一回してくるだけでその前後の接続は全くない。スパムロボットの多くは、コメントを送りつけてきた後にそれが書き込まれたかどうかの確認をよくするが、それも全くない。
情報が一方通行的に来ている可能性を考えると、コレはもしかしたら、IP詐称かも。
と、関心する前に何か対策…ログインフォームを javascript で保護するとか…を考えてみるかな。ま、今のところ鬱陶しいだけで、実害はないのだけれど。
(061031 追記)
この件の対策のために、新しくプラグイン(NP_JSEncode)を作成した。うまく動いている様子。