**[[続・質問箱/515]] [#z31dbb25]
#author("2018-03-11T14:36:40+09:00;2007-11-14T10:39:32+09:00","","")
**[[質問箱/2515]] [#z31dbb25]
|RIGHT:70|LEFT:410|c
|~カテゴリ||
|~サマリ|[SPAM] SandBoxが2005-01-01に壊れる|
|~バージョン|1.4.3|
|~投稿者|[[あっきぃ:http://koya.marokun.net]]|
|~状態|完了|
|~投稿日|&new{2005-01-01 (土) 07:43:37};|
***質問 [#f03ccb38]
題名のとおり、SandBoxが2005-01-01更新で壊れています。始めは荒らしかと思いましたが、自分の近辺のPukiWikiも壊れていて、GoogleでPukiWikiと検索していろいろ見て回っても壊れているようなので、おかしいなと思い投稿しました。
パッと見たところ(2件だけですが)1.4.2では壊れていなかったので、1.4.3, 1.4.4でSandBoxが壊れるようです。
あと、壊れた後の文章に、怪しげなURLが4つほど出てきます。2つほど開いてみましたが、とてもあやしげでした。
こちらに文章を取っておきました。
http://koya.marokun.net/a-wiki/index.php?SandBox

***回答 [#m340cc3e]
-PukiWiki1.4.2でもSandBoxが壊れているサイトを発見しました。 -- [[あっきぃ:http://koya.marokun.net]] &new{2005-01-01 (土) 07:50:22};
-WikiSPAM用のクローラーの仕業のような気がします。ページの内容を取り込んでSPAMを埋め込もうとしたけれど、文字化けしてしまった感じがします。ウチのサイトにはそれらしいログが残っていました。(Reffererがhttp://www.yahoo.comになっているのと、あらゆるディレクトリに?cmd=editとしているのでWikiSPAM用クローラーだと判断しました。(([[cubic9.com:PukiWiki/改造/静的コンテンツに偽装/ページ#dir]]でページをディレクトリに偽装しているのでクローラーにはPukiWikiが沢山あるように見えたのだと思います。))) -- [[でぃあばぁ]] &new{2005-01-01 (土) 08:18:37};
 xx.xx.xx.xx - - [01/Jan/2005:04:17:49 +0900] "POST /memo/?cmd=edit&page=SandBox HTTP/1.1"
 401 5509 "http://www.yahoo.com" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 3.0)"
-なるほど、そういうSPAMがあるんですね。ありがとうございます。 -- [[あっきぃ:http://koya.marokun.net]] &new{2005-01-01 (土) 09:30:30};
-家にも来たよ~。B-Wikiだけど…。アクセス時間もほぼ同じですねぇ…あと[[龍司]]さんの所にも来た模様。みんなでIP晒して拒否でもしてみますか… :p -- [[ishii]] &new{2005-01-01 (土) 11:36:13};
-こんな感じでした。 -- [[Shinichiro]] &new{2005-01-01 (土) 12:05:26};
 example.org 67.70.34.38 - - [01/Jan/2005:03:34:34 +0900] 
 "GET /hoge/wiki/?cmd=edit&page=SandBox HTTP/1.1" 200 12494"
 http://www.yahoo.com" "Mozilla/4.0 (compatible; MSIE 6.0; 
 Windows NT 5.1; Hotbar 3.0)"
--カナダから PPP ? --  [[Shinichiro]] &new{2005-01-01 (土) 12:13:47};
 ;; ANSWER SECTION:  
 38.34.70.67.in-addr.arpa. 55669 IN      PTR
 Toronto-HSE-ppp3864047.sympatico.ca.
-うむむ、僕のとこのログ(AccessAnalyzer)にはありませんでした…。 -- [[あっきぃ]] &new{2005-01-01 (土) 13:18:31};
-とにかく書き込みが成功することを期待して「SandBox」を狙ったものなのかもしれませんね。(orgの同ページは凍結済み) -- [[henoheno]] &new{2005-01-01 (土) 18:18:05};
-- 龍司流さんの所の書き込みを見てきましたが、少なくとも末尾にsize(1) を使ったURLを埋め込もうとしている様ですね。これによって[[SEO]]を試みているかのようにも見えます。 -- [[henoheno]] &new{2005-01-01 (土) 18:26:26};
-- 改めて見直しました。[[でぃあばぁ]]さんの見立て通りだと私も思います。ボットの手際が良くなくて、改行がなくなってしまっているのと、文字化けを起こしているみたいですね。 -- [[henoheno]] &new{2005-01-01 (土) 19:17:08};
-- size プラグインに、最小・最大値を制限するリミッターを実装しておきました :) [[dev:SandBox]]にも来てたみたいですね。 -- [[henoheno]] &new{2005-01-01 (土) 19:56:36};
-[[ぱんだ]]さんの所も来ている模様。 -- [[ishii]] &new{2005-01-01 (土) 20:50:45};
--[[ぱんだ]]さんの所はFireFoxで編集できなくなってる…orz -- [[ishii]] &new{2005-01-01 (土) 20:51:35};
-- とりあえあず直して置きました。今回もかなりの数のPukiWikiが被害にあっている様です。 -- [[henoheno]] &new{2005-01-01 (土) 22:23:36};
-近い将来、国際化とともに流行するおそれがあるんで対策を練った方がよさそうですね。 -- [[Logue]] &new{2005-01-01 (土) 23:15:35};

** SandBox狙いふたたび [#gc925d24]
-私のPukiWikiにも同様の行為を確認しました。1月1日と2日の2回の行為を確認。現在は凍結して保護しています。 -- [[Kuro]] &new{2005-01-02 (日) 08:38:34};
--今後も継続的に行われると判断し、.htaccess により IP アドレスから拒否を開始。 -- [[Kuro]] &new{2005-01-02 (日) 19:34:00};
-うちも凍結しなかった所は再度本日(1/2)03:10-20 頃やられました。 -- [[Shinichiro]] &new{2005-01-02 (日) 09:21:40};
ログを貼っておきます。(改行いれてます)
 example.org 67.70.34.38 - - [02/Jan/2005:03:20:20 +0900]
 "GET /hoge/wiki/?cmd=edit&page=SandBox HTTP/1.1" 200 12494 "-" "-"
 example.org 67.70.34.38 - - [02/Jan/2005:03:20:42 +0900] 
 "POST /hoge/wiki/?cmd=edit&page=SandBox HTTP/1.1" 302 5 "http://www.yahoo.com" 
 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 3.0)"
 example.org 67.70.34.38 - - [02/Jan/2005:03:20:43 +0900]
 "GET /hoge/wiki/index.php?SandBox HTTP/1.1" 200 15385 "http://www.yahoo.com"
 "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 3.0)"
 
 $ dig -x 67.70.34.38
 [...]
 ;; ANSWER SECTION:
 38.34.70.67.in-addr.arpa. 86400 IN      PTR
 Toronto-HSE-ppp3864047.sympatico.ca.
-今日も来たみたいですねぇ…。 -- [[あっきぃ:http://koya.marokun.net]] &new{2005-01-02 (日) 12:08:29};
-1/1のアクセス解析からようやくログを見つけることが出来ました(xreaの生ログですが)。IPアドレスによるアクセス拒否をしています。 -- [[あっきぃ:http://koya.marokun.net]] &new{2005-01-02 (日) 12:17:30};
-うちにも来てました。 1/1 に 同じ 上記と同じ ppp アドレスから 1時間ぐらい置きに4 回 来てました。別なPukiWiki には 今日来ていました。 -- [[merlin]] &new{2005-01-02 (日) 13:01:23};
-解説希望: 知識ないので全然わからないのですが、Phpinclude.worm って今回のと関係ないですかね? cf. http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041227/154332/ -- [[Shinichiro]] &new{2005-01-02 (日) 17:19:05};
--[[dev:BugTrack/771]]見ればわかると思うけどPukiWikiは大丈夫。 -- [[okkez]] &new{2005-01-02 (日) 17:41:14};
---ありがとうございます。Phpinclude.Worm のコード出てたようですね。http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php -- [[Shinichiro]] 
今回のスパムをみて、最初、やたらと長い 1行の書き込みなので、バッファオーバーフロー狙いかと思いました。^^;
---%%このログもおかしい.. (改行いれます)%%
%%207.46.98.70 - - [01/Jan/2005:02:17:56 +0900]%%
%%"GET /wiki/hoge/pukiwiki.php?cmd=backup&page=InterWikiSandBox%%
%%HTTP/1.0" 200 4953 "-" %%
%%"msnbot/0.3 (+http://search.msn.com/msnbot.htm)"%%
%%nterWikiSandBox なんてはなから 1.4 系なのでどこにもないのに%%-- [[Shinichiro]] 2005-01-02 (日) 22:34:19
---InterWikiSandBoxは現在SourceForge.jpからダウンロードできるバージョンには全て含まれていますね。以前は違ったのかな? -- [[でぃあばぁ]] &new{2005-01-07 (金) 01:33:51};
---ぅうっ.. なんかとんでもない勘違いしてたようです。デマ飛ばして大変申し訳ありません。前の InterWikiSandBox にかんする情報はまったくの間違いです。お詫びいたします。-- [[Shinichiro]] 2005-01-07 (金) 21:44:15
-Wiki SPAMに関する情報を [[dev:BugTrack/772]] に集約しました。 -- [[henoheno]] &new{2005-01-02 (日) 20:44:43};
-2日続けてきたので、SandBox削除しました。「練習用ページ」ならこないです。 -- [[tsuchi]] &new{2005-01-03 (月) 13:44:19};


//#comment

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.053 sec.

OSDN