別のコメントスパム
2005年9月23日
今度は別の例でIP 202.38.52.5(パキスタン)からのアクセス。
refererは"-"となっていないものはすべて"http://fkmac01.phc.chalmers.se/nucleus/index.php?itemid=10"
『Yah, comming soon』という、不気味なコメントを残していった。特徴は、最初の18回のアクセスが通常のものと区別できないことである。ただし、そのあとitemid=10を3回読み直した後にPOSTする所は、スクリプトを用いているように思われる。前の記事で書いたjavascriptによる防御が有効かどうかは不明である。しかし、最初の18回のアクセスはおそらくダミーで、実際のスパムスクリプトの読み込みは21回目のアクセスの様な気がする。そうだとすると相変わらずjavascriptでの防御は有効だと思う。様子を見てみたい。
しかし、こういったことはイタチごっこだから、最終的にはjavascriptの防御も効かなくなるだろう。そうなると次にやってみたい防御は、文字を含んだ画像ファイルを表示し、その文字の内容を送信者に入力してもらうというものである。こういった方法をとっているブログもある。
NP_BlackListというプラグインもあるらしいが、当面はこれを使わずに撃退を試みてみようと思う。
[21/Sep/2005:21:40:34 +0200] "GET /nucleus/index.php?itemid=10 HTTP/1.0" "-" [21/Sep/2005:21:40:38 +0200] "GET /nucleus/skins/default2/default_left.css HTTP/1.0" [21/Sep/2005:21:40:40 +0200] "GET /nucleus/skins/default2/nicetitle.css HTTP/1.0" [21/Sep/2005:21:40:41 +0200] "GET /nucleus/skins/default2/nicetitle.js HTTP/1.0" [21/Sep/2005:21:40:47 +0200] "GET /nucleus/skins/default2/images/bg.gif HTTP/1.0" [21/Sep/2005:21:40:47 +0200] "GET /nucleus/skins/default2/images/header.jpg HTTP/1.0" [21/Sep/2005:21:40:47 +0200] "GET /nucleus/skins/default2/images/bgcontainer01.gif HTTP/1.0" [21/Sep/2005:21:40:47 +0200] "GET /nucleus/skins/default2/images/nucleus.gif HTTP/1.0" [21/Sep/2005:21:40:47 +0200] "GET /nucleus/skins/default2/images/dot.gif HTTP/1.0" [21/Sep/2005:21:40:48 +0200] "GET /nucleus/skins/default2/images/bgcategory.gif HTTP/1.0" [21/Sep/2005:21:40:49 +0200] "GET /nucleus/skins/default2/images/dotv.gif HTTP/1.0" [21/Sep/2005:21:40:50 +0200] "GET /nucleus/skins/default2/images/bgpostedby.gif HTTP/1.0" [21/Sep/2005:21:40:50 +0200] "GET /nucleus/skins/default2/images/commentquote01.gif HTTP/1.0" [21/Sep/2005:21:40:51 +0200] "GET /nucleus/skins/default2/images/commentquote02.gif HTTP/1.0" [21/Sep/2005:21:40:53 +0200] "GET /nucleus/skins/default2/images/sidetitlebg.gif HTTP/1.0" [21/Sep/2005:21:40:53 +0200] "GET /nucleus/skins/default2/images/arrow.gif HTTP/1.0" [21/Sep/2005:21:40:53 +0200] "GET /nucleus/skins/default2/images/bgcomment.gif HTTP/1.0" [21/Sep/2005:21:40:54 +0200] "GET /nucleus/skins/default2/images/bgtb.gif HTTP/1.0" [21/Sep/2005:22:00:04 +0200] "GET /nucleus/index.php?itemid=10 HTTP/1.0" "-" [21/Sep/2005:22:07:36 +0200] "GET /nucleus/index.php?itemid=10 HTTP/1.0" "-" [21/Sep/2005:22:09:52 +0200] "GET /nucleus/index.php?itemid=10 HTTP/1.0" "-" [21/Sep/2005:22:10:19 +0200] "POST /nucleus/index.php?itemid=10 HTTP/1.0" [21/Sep/2005:22:10:33 +0200] "GET /nucleus/index.php?itemid=10 HTTP/1.0" "-" [21/Sep/2005:22:10:33 +0200] "GET /nucleus/index.php?itemid=10 HTTP/1.0"注)user-agentは"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; {4E980A5C-EE20-B902-28C2-DDA9263BB6E2}; .NET CLR 1.1.4322)"
refererは"-"となっていないものはすべて"http://fkmac01.phc.chalmers.se/nucleus/index.php?itemid=10"
『Yah, comming soon』という、不気味なコメントを残していった。特徴は、最初の18回のアクセスが通常のものと区別できないことである。ただし、そのあとitemid=10を3回読み直した後にPOSTする所は、スクリプトを用いているように思われる。前の記事で書いたjavascriptによる防御が有効かどうかは不明である。しかし、最初の18回のアクセスはおそらくダミーで、実際のスパムスクリプトの読み込みは21回目のアクセスの様な気がする。そうだとすると相変わらずjavascriptでの防御は有効だと思う。様子を見てみたい。
しかし、こういったことはイタチごっこだから、最終的にはjavascriptの防御も効かなくなるだろう。そうなると次にやってみたい防御は、文字を含んだ画像ファイルを表示し、その文字の内容を送信者に入力してもらうというものである。こういった方法をとっているブログもある。
NP_BlackListというプラグインもあるらしいが、当面はこれを使わずに撃退を試みてみようと思う。