いろいろ -- henoheno

添付ファイル機能を踏み台にしたspam

「第三者にファイル添付を許可している」(古いバージョンや、そのように改造/設定変更した)PukiWikiを踏み台にしたspamを今週から観測しています。

攻撃側はそのような(甘い)サイトがないかどうか探索するため、第三者によるファイル添付を許可している限り、この攻撃を防ぐことは基本的にできません。

公開の場でファイル添付機能を活用したい場合、以下のような運用をせざるをえないと思われます。

  1. 第三者によるファイル添付を無効にする
  2. ユーザーが別の方法で管理者にデータを受け渡す
  3. 管理者がデータの信頼性をチェックする
  4. 管理者がPukiWikiに添付する

今まで第三者にファイル添付を許可していた場合、即座にファイル添付を無効にしていただき、既に踏み台になっていないかどうか確認して下さい。

対応をよろしくお願いします。

攻撃側の手口

  1. 第三者にファイル添付を許可しているサイトを探す
  2. ファイルを添付する。中身はspamのための文面やJavaScriptを含むHTMLなど (実行ファイルなど、他のものを添付する事ができるため、ここは一つではない)
  3. spamの文面を生成する。その際に、該当添付ファイルを示すURLを織り交ぜる
  4. spamを多数のサイトにばら撒く
  5. spamに含まれるURLを第三者がクリックした場合、(第三者にファイル添付を許可していた)サイトに添付されたファイルが表示/実行される (広告の表示、別のサイトへの強制転送、ファイルダウンロードなど)

対応例

  1. (第三者に許可していた場合) 既に踏み台になっていた場合の影響を減らすために、attachプラグインをひとまず撤去する事が望ましい
    • plugin/attach.inc.php を別の名前、例えば _attach.inc.php にするだけでも無効になります
  2. 第三者によるファイル添付を拒否する
    • 例: plugin/attach.inc.php の設定を変更する 
        (1.4.5以降)  PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY => TRUEにする
  (それより前) ATTACH_UPLOAD_ADMIN_ONLY        => TRUEにする
    • 例: plugin/attach.inc.php を撤去する
  3. 既存の添付ファイルを確認する
    • JavaScript を無効にしたWebブラウザを用意する
    • 現在のサイトで作業できない場合: 安全な場所に用意したPukiWikiを用意する (該当サイトの別の場所に作業用のPukiWikiを設置するか、別のサイトに容易したPukiWikiにattachディレクトリの内容をコピーする)
    • plugin=attach&pcmd=list を参照し、問題のあるファイルがあれば完全に削除する
      • 作業後にもう一度見直して下さい
    • PukiWiki全体のアップデートも検討して下さい
  4. 復帰
    • 別のサイトで確認した場合、確認済みのデータ(や、新バージョンのPukiWiki)と入れ替える

事例

直近の話題としては以下で取り上げられています。

以下のようなコメントを昨日しておいたのですが、採用はされていない様子。

Hi. I'm one of maintainers of PukiWiki.

I also found this type of attach-spamming, on the old version's
PukiWiki at several site, from this week.

About kde.gr.jp, I noticed it at December 12, then they update and/or
cleanup and/or stop these PukiWikis. (I'm surprized they notice me
closing by one hour)

About fansub.andrewlb.com, I found and noticed about one PukiWiki
yesterday. The webmaster said s/he will notify that to the client,
and will correct by her/himself if the client didn't correct that
by one day.

About laszlo.jp, I don't find the doubtful path of URL, but I
noticed this topic to the webmaseter.

I will (re-)post this matter to PukiWiki users by ML and official
site.

一般人に商業的な wiki spam 行為をさせようとする Viral/Buzzマーケティング

こんなGoogleの広告を見かけました。*1

2006-12-16_wikiviral_pressblog.gif

広告を出向した主と、掲載されているサイトが同一かは判断できませんが、はた迷惑極まりない。

blog向けのViral/Buzzマーケティングサービスはこの様な流れになっていると思います。

  1. blogの所有者が、自分しか書けないスペースに紹介記事を織り交ぜる
  2. blogの所有者が掲載申請をする
  3. マーケティングサービス側がその記述を審査する
  4. 所定の金額を所定の条件で支払う

オープンスペースにあるWikiにこのプロセスを適用するのは間違っています。誰でも(何でも)書き込めるスペースではない し、上に示した課金のためのプロセスが終わるより前にそのコンテンツは(迷惑行為と判断され)消される可能性があります。

仮に問題にならないように実行する場合、書き手が限定されているWikiで、各自に許されている範囲で行うと良いでしょう。

(追記) まさにそのようなシチュエーションのために作られた、PukiWiki Plus! ベースのサイトがあるようですね。

(追記) 件の広告は、今はこうなっているようです

2006-12-22_wiki-affiliates_lets_add_our_press_to_your_blog.gif

ブロックする場合

それでもオープンスペースにあるWikiをターゲットにするために、あれこれ考えたサービスが発生した場合について。

書き込まれる内容と、マーケティングサービスのURLは基本的には関連がありません。

しかし、マーケティングサービス側が(彼らの販促のために)何か特別な事・・・例えばそのサービスに対するバナーを記事に含める事を求めた場合、コンテンツの中には、そのサービスに対するURLが含まれます。

また、マーケティングサービス自体のURLを直接記述させる事があるでしょう。

そのため、可能なら「このようなサイトに関連するURLを貼り付ける事ができない様にしておく」事で、こうした動きをある程度阻害できると思います。

イメージとしてはこんな感じで。

// Viral/Buzz marketers' site, try to make people
// as commercial Wiki spammers
// http://pukiwiki.sourceforge.jp/image/2006-12-16_wikiviral_pressblog.gif
array('pressblog.jp', '*.pressblog.jp'),
*1 今なら Google:wiki blog で出てくるようです
トップ   編集 凍結解除 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2006-12-24 (日) 15:19:26
Site admin: PukiWiki Development Team

PukiWiki 1.5.4+ © 2001-2022 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.319 sec.

OSDN