[spam] Wiki Spamming



メッセージ

2004年末から、とうとう日本語のWikiもSPAMボットの対象に含まれてきた様です。一度に数十単位のWikiサイトが自動修正ロボットによる書き込みを受けています。以下にその概要、動向などをまとめます。

関連情報: 既存のブロックリスト

関連情報: 既存のスパム対策

歪曲文字画像によるセキュリティ

関連情報: 検知について

関連情報: 駆除作業のこつ

調査件駆除中: SPAMからのメッセージ

海外のWiki SPAMを探索中に同じメッセージを何度も見かけると、さすがに慣れて来ます。それでこれがまた、検索のキーにもなるんですよね。

おまえのリンクも消してやる (HOW and who are YOU)

PLEASE, IF YOU ADD YOUR LINKS DON'T DELETE MY LINKS. 
IF YOU'LL DELETE MY LINKS I'LL DELETE YOURS!!!

※下に続くのは他のサイトでもSPAMされているURLの列挙

日本のすばらしいリンクを毎日お届け

Hiki方面には2004/10ごろから登場していたようですね。

**************Please do not delete,I send this message only one time,
in order to  introduce some japan website.IF you delete,I will publish
every day.***************

I am from JAPAN,I want to introduce some very good JAPAN sites to you,
so you can find something about JAPAN cluture,people.

※直後に続くのは他の漢字文化圏のサイトへのリンク。例えば: *.ec51.com

漢字文化圏であることを利用して、日本を隠れ蓑にしているようです (^^;

調査件駆除中: ドメインおなかいっぱい (2005/01/04)

ところで上記の ec51, 周辺のSPAMに使われているドメインを確認したところ、いずれも所有者が同一人物の様で・・・。

# NICKNAME: Something importer
# Whois says Shenzhen, Guangdong, China.
#.computer-importers.org
#.consumer-electronics-importers.org
#.electrical-components-importers.org
#.food-importers.org
#.furniture-importers.org
#.fashion-accessories-importers.org
#.garden-tools-importers.org
#.home-appliances-importers.org
#.home-decoration-importers.org
# NICKNAME: Something manufacturer
# Whois says Shenzhen, Guangdong, China.
#.auto-accessories-manufacturers.org
#.baby-products-manufacturers.org
#.ceramics-manufacturers.org
#.chemicals-manufacturers.org
#.clothing-manufacturers.org
#.gifts-manufacturers.org
#.glass-manufacturers.org
#.instruments-manufacturer.org
#.kitchenware-manufacturer.org
#.lamps-manufacturer.org
#.leather-manufacturer.org
#.tools-manufacturer.org
# NICKNAME: Importer King
# Whois says Shenzhen, Guangdong, China.
.ec51.com       # EC51 Importer
.ec51.net       #
.ec51.org       # Whois Registrant Name:the same. Reserved.
.ec61.com 
.china-wiki.org
.exporters-wiki.org
.importers-wiki.org

これらのドメインを取得した側の意図を推測するのは非常に難しい :P (※ニックネームはhenohenoによる)


SPAM report

old reports

これ以前のものは./old_reportへ移動しました。

2005/04/11

2005/07/16

特徴

コメント

2006-07-18 PukiWiki official/devに対する、新規ページを多数作成したり、多数のページに追記するspam

trackerへのspam攻撃

2007/01/22 Attachを利用したspam攻撃 by Logue

手口

  1. 任意のページに誘導するための任意のファイルを添付。
  2. 様々な被スパムblogにその添付ファイルへのリンクを張る
  3. スパムblogサイトをGoogleなどの検索ロボットがクロールするときに、該当添付ファイルへのリンクが評価される
  4. 該当添付ファイルが上位にヒットしDDos攻撃まがいのアクセス集中発生。
  5. 添付ファイル同士で疑似サイトを生成する

被害状況

該当添付ファイルが添付されたのは、22日で削除したのは翌日。ただし、多数のblogサイトに該当ファイルへの添付への直リンクが張り巡らせてあるため、1週間後になってからDDoS攻撃まがいのアクセスの集中が起きた。

また、htmlファイルと読み込ませないようにmime-typeを指定してあったにもかかわらず、Googleがしっかりと添付ファイルの内容をクロールしている点が気になる。

もちろん、トップページを凍結していれば防げた可能性もあるが、添付ファイルに直リンクし、被リンク数が多ければ重要だろうとされるGoogleの性質を悪用してあるため、深い階層に知らないうちに添付されている添付ファイルの場合、発覚が遅れる可能性が高い。

対策案


先ほどの85.17.103.104からのアクセスを弾いたところ、ファイルを添付するような行動はみられなくなりましたが、依然としてアクセスが異常に増大している点と、リンク元に被害にあったほかのWikiからの異常なアクセスが目に付きました。

サーバーログを見てみると、unknown.hostforweb.comからのアクセスおよび、User-AgentがWWW-Mechanize/1.0のアクセスが異常に増大している点が見受けられました。そこで、85.17.103.104以外に、この2点を制限したところ、普段通りのアクセス数に近くなりました。

おそらく、攻撃者は、ファイルの多重添付以外に、別の場所に設置した単純なスクリプト(おそらく、cronで定期的に動かしていると思われる)によるリファラースパムも同時に行っていると推測できます。ただ、攻撃者は、なぜ、このスクリプトのUser-Agentを偽造しないのか疑問に思います。

アクセス元解析に利用しているTrackfeedのサービスの性質(JavaScriptで環境変数を取り込む)からは、このようなwikiサイトからのリファラーは一切記録されておらず、このことから推測すると攻撃者の意図はJavaScript型アクセス解析に足跡が残らないようにするために、このような処置をした可能性があります。(反対に、PukiWikiのリンク元記録はサーバーで処理するため残る)

unknown.hostforweb.comについてのwhoisをしてみても結果が奇妙です。このunknownが含まれるホストについて、少し気になったので調べてみましたが、どうやらこれは、正しいIPアドレスの逆引きホスト名が登録されていないという意味らしいです。

そうなると、攻撃者はこのhostforweb.comの脆弱性を踏み台にしてリファラースパム行為を行っているものと推測できます。別のサーバサイドスクリプトからPukiWikiの内容に干渉できる可能性は低いと思いますが、unknown.hostforweb.comに限らず、unknownを名前に含むホストは、すべて弾いてしまったほうがいいかもしれませんね。 -- Logue 2007-03-11 (日) 20:50:51

コメント

別件のSPAMを見かけましたら、お知らせください。

ただ、Torを悪用したbotの対処方法が思いつかない・・・。


*1 自分以外の人も削除していると考えるとかなりの頻度?
*2 ここでいいのかな?
*3 調べてみたのですが、ページ名を自動的にふる機能があるため少々面倒です (^^;
*4 わー、ごめんなさい、ごめんなさい、ごめんなさい、ぶたないで~

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2013-07-08 (月) 23:40:59
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.342 sec.

OSDN