BugTrack/772

SPAM report



以下は 開発日記/2004-12-29 より移動。

2004/12/29: FrontPage、PukiWikiなどに対する広域 Wiki SPAM にご注意 (PukiWiki, Hiki, FreeStyleWiki, ...)

PukiWiki devサイトを始めとして、Fedora JP Project wiki、gentoo.jp Wiki、Dream-Seed、Vodafone 702NK/Nokia 6630まとめサイト、京ぽん Wiki、里々Wiki、2chlinux.org、PukiWiki-mindmap.jp、JKUG Wiki、Meadow Wiki、Sleipnir Wiki、Lunascape FAQ、Preston Wiki、PPDG Wiki、blogサービス情報交換、Alchemist_Template など、何十箇所にも及ぶPukiWikiの、特に高頻度にアクセスされるページに対する同時 Wiki SPAM が発生しています。(特に12/19、12/27、12/29)

YukiWiki本家、Wikiばな の様にPukiWiki以外のサイトにも同時期同傾向(ただしデータ量は少なめ)のSPAM書き込みが発生していますが、「PukiWiki FrontPage」 にてGoogle検索した結果に多く痕跡が含まれていることから、少なくとも検索エンジンにひっかかるサイトを対象にしたSPAMと思われます(当たり前ですか (^^; )。

特徴として、FrontPageのように特に露出の多いページや、単なるURLを羅列しているページに対し、さもそのサイトの一部であるかのようにURLを埋め込みます。(これもSPAMなので当たり前か (^^; )

個人サイトに対する書き込みも複数箇所確認していますので、有名であるかどうか(例えばそのサイトのPageLank)は関係がないかもしれません。

今回埋め込まれたURLの主な特徴は以下の通りです。このようなフレーズで検索をすることで、今回のSPAMが来ているかどうかを機械的にチェックできるでしょう。


12/29型: Sponsored links SPAM

「Sponsored links:」 とした後に、商品名のフレーズとともに大量のURLを埋め込みます。既存のデータは文字化けしません。以下に該当しない、ユニークなURLも含まれています。Wikiの記法はPukiWikiではないためURLの埋め込みが成立しないものの、URLは自動的にリンクになります。

PukiWiki.org PukiWiki.dev ともにこちらが来ていますが、PukiWiki.orgのFrontPageは凍結されているため、実際に書き込まれたのは devサイトだけ(FrontPageと開発日記の二箇所)でした。


12/19, 12/27-28型: 8cx.net SPAM


簡単なSPAM対策

観察の結果、以下の様なWikiは今回の影響にない様でした。

まずは「FrontPageには維持が必要な情報を置かない様にして凍結する」ことをお薦めします。(それでもMenuBar、 include プラグイン、pcomment プラグイン、calendar_viewerなどによって、動的に情報を提供することは可能です)

開発版でも、FrontPageをデフォルトで「凍結」する様にしました。(「PukiWiki」のページはすでに凍結済み)


ウチにも来ました:


以下は 開発日記/2005-01-01 より移動

2005/01/01: SandBoxを狙った同時SPAMが発生しています (末尾にURLを忍び込ませようとして露見している)

From: official:続・質問箱/515

今回も同時多発のようです。見かけたら、速やかに直してしまいましょう (^^;

書き込まれるSPAMの特徴


PukiWikiの記法を学習しているのがポイントですね。早速 開発日記/2005-01-01 にて、size(1) を無効にする修正を開発版に盛り込みました。また、SandBoxをターゲットにしていることから、SandBoxをデフォルトで凍結する様にしました。


この件に関するコメント


1h1ih"g+*?iPukiWiki ウォネッ BugTrack/772 トップ リロード 新規 一覧 単語検索 最終更新 ヘルプ


1h1ih"g+*? の羅列はなんでしょうね?同時に書き込まれてたアドレスは、すべてabuse.specialnet.bizにつながっているようですが、Account Suspended.になっていました。そーいえば、29日にも変なURLスパムがきてたなぁ。 -- Logue 2005-01-01 (土) 15:59:14


2005/01/02: SandBox狙いふたたび

1/1に発生したのと同じクライアントによるとおもわれる、同じ手口のSPAMが発生したようです。詳しくは official:続・質問箱/515 をどうぞ。

2005/01/03: I'm Sorry SPAM

Anti-SPAMming巡礼中に発見。WalWiki本家の「PukiWiki」ページに来ていました。「PukiWiki」という単語(ないしページ)が狙われているかもしれませんね。 => 海外のWiki実装において似た事例を見かけましたので、手口とページ名は一致しないようです

http://digit.que.ne.jp/work/index.cgi?mycmd=diff&mypage=PukiWiki

特徴

リリース版のPukiWikiでは、PukiWikiのページは既に凍結されています。

2005/01/03 ru SPAM

YukiWiki本家の「PukiWiki」のページにも何か来ています (^^;

http://www.hyuki.com/yukiwiki/wiki.cgi?mycmd=diff&mypage=PukiWiki

2005/01/16 PukiWiki Hidden SPAM

# NICKNAME: 8cx.net
# Observed at http:// pukiwiki.org/dev/?:CategoryDev/Document/FrontPage, 2005/01/16
.8cx.net

隠しページに対するSPAMという点が新しい。現状のPukiWikiだと、メール通知をするか、定期的にファイルサイズや検索によるチェックをしなければ検出できないと思います。

特徴

コメント

2005/01/18 BugTrack/772 SPAM

# NICKNAME: 51.net related SPAM set
# Observed at 2005/01/18 http:// pukiwiki.org/dev/?BugTrack/772
.51.net # Whios says Beijing, China. Free sub-domain hosting
.gghggh.com     # Whios says Beijing, China. DNS: *.51.NET. Maybe sub-domain related 51.net
.1816.net       # Subdomain hosting (not free?)

このページに来ていました :) このパターンは他の海外サイト(MoinMoinとか)でも見かけています。例えば:

# SPAM observed at http://peerfear.org/nm-wiki/PageSize , 2005/01/04
.1816.net       # Obs: *._ # Whois says Guangdong, China.
.gghggh.com     # Obs: u._/*
.88118888.com   # Whois says Tianjin, China.

YukiWiki周りなどにも良く来ている様ですので要注意。みんなで元通りに直してしまいましょう。(その1ページだけではなく、そのサイトのほかのページもチェックが要ります)

とりあえず某所のYukiWiki(※PukiWikiに移行する前はYukiWikiだった)はすごかった (^^; 目をかけなくなったWikiはread only化することを忘れない方がいいですね。(極端な話、permissionを落とす等)

特徴

2005/01/25 51dragon SPAM

# NICKNAME: Beijing Nilands Future Tech Co.,Ltd
# Observed at 2005/01/25 http:// pukiwiki.org/?%E7%B6%9A%E3%83%BB%E8%B3%AA%E5%95%8F%E7%AE%B1%2F555 etc.
# Whois says Beijing, China.
.51dragon.com   # Observed. This is just a SPAM-link-only site.
.91i.net        # Reserved. Whois says the same owner, Hosting site seems providing xxx.91i.net to other URL
.xintongyi.com  # Reserved. Whois says the same owner, and seems equal to 91i.net

特徴

2005/02/02 online casino SPAM

特徴

コメント

2005/02/02 1x1 Ad-graphic SPAM (Web Bug)

2005/03/09

# 202.101.42.136
dzjp.futurenet.com.cn
fygs.futurenet.com.cn
www.cnfti.org.cn
www.czwin.com.cn
www.futurenet.com.cn
www.necsi.com.cn
www.wccm6-apcom04.org.cn
zcgs.futurenet.com.cn
zxmr.futurenet.com.cn
# 66.186.10.220
lllhhh.freewebpage.org
# 219.153.10.36
www.go4it.com.cn

*1 UTF-8化サイトだと、文字化けは起きなかったりするのかな?
*2 SandBoxのリンクをクリックしても画面が遷移しない状態
*3 ここからチョット妄想です、具体的な裏づけはまだない… :p
*4 PukiWikiとしてというよりも、まずPukiWiki.orgというサイトとして

トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-02-27 (水) 10:31:49
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.977 sec.

OSDN