質問箱/2515

カテゴリ
サマリ[SPAM] SandBoxが2005-01-01に壊れる
バージョン1.4.3
投稿者あっきぃ
状態完了
投稿日2005-01-01 (土) 07:43:37

質問

題名のとおり、SandBoxが2005-01-01更新で壊れています。始めは荒らしかと思いましたが、自分の近辺のPukiWikiも壊れていて、GoogleでPukiWikiと検索していろいろ見て回っても壊れているようなので、おかしいなと思い投稿しました。 パッと見たところ(2件だけですが)1.4.2では壊れていなかったので、1.4.3, 1.4.4でSandBoxが壊れるようです。 あと、壊れた後の文章に、怪しげなURLが4つほど出てきます。2つほど開いてみましたが、とてもあやしげでした。 こちらに文章を取っておきました。 http://koya.marokun.net/a-wiki/index.php?SandBox

回答

  • PukiWiki1.4.2でもSandBoxが壊れているサイトを発見しました。 -- あっきぃ 2005-01-01 (土) 07:50:22
  • WikiSPAM用のクローラーの仕業のような気がします。ページの内容を取り込んでSPAMを埋め込もうとしたけれど、文字化けしてしまった感じがします。ウチのサイトにはそれらしいログが残っていました。(Reffererがhttp://www.yahoo.comになっているのと、あらゆるディレクトリに?cmd=editとしているのでWikiSPAM用クローラーだと判断しました。*1) -- でぃあばぁ 2005-01-01 (土) 08:18:37
    xx.xx.xx.xx - - [01/Jan/2005:04:17:49 +0900] "POST /memo/?cmd=edit&page=SandBox HTTP/1.1"
    401 5509 "http://www.yahoo.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 3.0)"
  • なるほど、そういうSPAMがあるんですね。ありがとうございます。 -- あっきぃ 2005-01-01 (土) 09:30:30
  • 家にも来たよ~。B-Wikiだけど…。アクセス時間もほぼ同じですねぇ…あと龍司さんの所にも来た模様。みんなでIP晒して拒否でもしてみますか… :p -- ishii 2005-01-01 (土) 11:36:13
  • こんな感じでした。 -- Shinichiro? 2005-01-01 (土) 12:05:26
    example.org 67.70.34.38 - - [01/Jan/2005:03:34:34 +0900] 
    "GET /hoge/wiki/?cmd=edit&page=SandBox HTTP/1.1" 200 12494"
    http://www.yahoo.com" "Mozilla/4.0 (compatible; MSIE 6.0; 
    Windows NT 5.1; Hotbar 3.0)"
    • カナダから PPP ? -- Shinichiro? 2005-01-01 (土) 12:13:47
      ;; ANSWER SECTION:  
      38.34.70.67.in-addr.arpa. 55669 IN      PTR
      Toronto-HSE-ppp3864047.sympatico.ca.
  • うむむ、僕のとこのログ(AccessAnalyzer)にはありませんでした…。 -- あっきぃ? 2005-01-01 (土) 13:18:31
  • とにかく書き込みが成功することを期待して「SandBox」を狙ったものなのかもしれませんね。(orgの同ページは凍結済み) -- henoheno 2005-01-01 (土) 18:18:05
    • 龍司流さんの所の書き込みを見てきましたが、少なくとも末尾にsize(1) を使ったURLを埋め込もうとしている様ですね。これによってSEOを試みているかのようにも見えます。 -- henoheno 2005-01-01 (土) 18:26:26
    • 改めて見直しました。でぃあばぁさんの見立て通りだと私も思います。ボットの手際が良くなくて、改行がなくなってしまっているのと、文字化けを起こしているみたいですね。 -- henoheno 2005-01-01 (土) 19:17:08
    • size プラグインに、最小・最大値を制限するリミッターを実装しておきました :) dev:SandBoxにも来てたみたいですね。 -- henoheno 2005-01-01 (土) 19:56:36
  • ぱんださんの所も来ている模様。 -- ishii 2005-01-01 (土) 20:50:45
    • ぱんださんの所はFireFoxで編集できなくなってる…orz -- ishii 2005-01-01 (土) 20:51:35
    • とりあえあず直して置きました。今回もかなりの数のPukiWikiが被害にあっている様です。 -- henoheno 2005-01-01 (土) 22:23:36
  • 近い将来、国際化とともに流行するおそれがあるんで対策を練った方がよさそうですね。 -- Logue 2005-01-01 (土) 23:15:35

SandBox狙いふたたび

  • 私のPukiWikiにも同様の行為を確認しました。1月1日と2日の2回の行為を確認。現在は凍結して保護しています。 -- Kuro? 2005-01-02 (日) 08:38:34
    • 今後も継続的に行われると判断し、.htaccess により IP アドレスから拒否を開始。 -- Kuro? 2005-01-02 (日) 19:34:00
  • うちも凍結しなかった所は再度本日(1/2)03:10-20 頃やられました。 -- Shinichiro? 2005-01-02 (日) 09:21:40 ログを貼っておきます。(改行いれてます)
    example.org 67.70.34.38 - - [02/Jan/2005:03:20:20 +0900]
    "GET /hoge/wiki/?cmd=edit&page=SandBox HTTP/1.1" 200 12494 "-" "-"
    example.org 67.70.34.38 - - [02/Jan/2005:03:20:42 +0900] 
    "POST /hoge/wiki/?cmd=edit&page=SandBox HTTP/1.1" 302 5 "http://www.yahoo.com" 
    "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 3.0)"
    example.org 67.70.34.38 - - [02/Jan/2005:03:20:43 +0900]
    "GET /hoge/wiki/index.php?SandBox HTTP/1.1" 200 15385 "http://www.yahoo.com"
    "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 3.0)"
    
    $ dig -x 67.70.34.38
    [...]
    ;; ANSWER SECTION:
    38.34.70.67.in-addr.arpa. 86400 IN      PTR
    Toronto-HSE-ppp3864047.sympatico.ca.
  • 今日も来たみたいですねぇ…。 -- あっきぃ 2005-01-02 (日) 12:08:29
  • 1/1のアクセス解析からようやくログを見つけることが出来ました(xreaの生ログですが)。IPアドレスによるアクセス拒否をしています。 -- あっきぃ 2005-01-02 (日) 12:17:30
  • うちにも来てました。 1/1 に 同じ 上記と同じ ppp アドレスから 1時間ぐらい置きに4 回 来てました。別なPukiWiki には 今日来ていました。 -- merlin 2005-01-02 (日) 13:01:23
  • 解説希望: 知識ないので全然わからないのですが、Phpinclude.worm って今回のと関係ないですかね? cf. http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041227/154332/ -- Shinichiro? 2005-01-02 (日) 17:19:05
    • dev:BugTrack/771見ればわかると思うけどPukiWikiは大丈夫。 -- okkez 2005-01-02 (日) 17:41:14
      • ありがとうございます。Phpinclude.Worm のコード出てたようですね。http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php -- Shinichiro? 今回のスパムをみて、最初、やたらと長い 1行の書き込みなので、バッファオーバーフロー狙いかと思いました。^^;
      • このログもおかしい.. (改行いれます) 207.46.98.70 - - [01/Jan/2005:02:17:56 +0900] "GET /wiki/hoge/pukiwiki.php?cmd=backup&page=InterWikiSandBox HTTP/1.0" 200 4953 "-" "msnbot/0.3 (+http://search.msn.com/msnbot.htm)" nterWikiSandBox なんてはなから 1.4 系なのでどこにもないのに-- Shinichiro? 2005-01-02 (日) 22:34:19
      • InterWikiSandBoxは現在SourceForge.jpからダウンロードできるバージョンには全て含まれていますね。以前は違ったのかな? -- でぃあばぁ 2005-01-07 (金) 01:33:51
      • ぅうっ.. なんかとんでもない勘違いしてたようです。デマ飛ばして大変申し訳ありません。前の InterWikiSandBox にかんする情報はまったくの間違いです。お詫びいたします。-- Shinichiro? 2005-01-07 (金) 21:44:15
  • Wiki SPAMに関する情報を dev:BugTrack/772 に集約しました。 -- henoheno 2005-01-02 (日) 20:44:43
  • 2日続けてきたので、SandBox削除しました。「練習用ページ」ならこないです。 -- tsuchi? 2005-01-03 (月) 13:44:19

*1 cubic9.com:PukiWiki/改造/静的コンテンツに偽装/ページでページをディレクトリに偽装しているのでクローラーにはPukiWikiが沢山あるように見えたのだと思います。

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2007-11-14 (水) 10:39:32
Site admin: PukiWiki Development Team

PukiWiki 1.5.2+ © 2001-2019 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u2. HTML convert time: 0.655 sec.

OSDN