* [spam] badhost: list of Jacked sites, and Spam domains [#j76b7a5e]
* [spam] List B-2: Jacked sites, and Spam domains [#j76b7a5e]

- ページ: [[BugTrack2]]
- 投稿者: [[henoheno]]
- 優先順位: 普通
- 状態: 提案
- カテゴリー: その他
- 投稿日: 2007-01-01 (月) 21:07:43
- バージョン: 

#contents

** 関連 [#e8767459]
- [[BugTrack2/200]]: [spam] URI spamフィルタ (Part 1) とブロック機構
- [[BugTrack2/207]]: [spam] badhost: A list of URI redirection or masking services

** メッセージ [#g154bb51]

- [[cvs:spam.ini.php]]

spamを送信する側の手口として、以下のカテゴリに該当するものについてまとめます。

+ 他者のサイト、システム、ないしコンテンツを乗っ取る (あるいは、善意の第三者が立てた様に見せた脆弱なサイトを構築してそれを使う)
+ スパム専用のドメインを取得する


--------
** コメント: オンラインゲーム関係のWiki関係 [#je7a1c08]

- 某国方面からのアカウントハッキングの標的になっているゲーム関連のWikiを管理しております。&br;攻撃的spamが目に触れる状態になることが利用者の被害((PC再インストールなど駆除の手間やゲーム内財産))に直結している状態のため、[[関係者団体>http://www.eldgasyk.jp/~hunter/index.php?%B1%BF%B1%C4%2FRO%A5%B5%A5%A4%A5%C8%B4%C9%CD%FD%BC%D4%CF%A2%CD%ED%B2%F1]]や、[[有志>http://gemma.mmobbs.com/test/read.cgi/ragnarok/1185352481/l50]]で積極的にblockリストをメンテしています。 &br;[[成果物みたいなもの>http://www.eldgasyk.jp/~ymlpha/tmp/spam.ini.php]](Yブロックが独自追加分)があるのですが、こうゆうのはなんかの参考にならないでしょうか。-- [[Ymlpha]] &new{2007-03-06 (火) 02:39:59};
-- 情報ありがとうございます。そちらのリストと、ragnarok/1170419695/1-701 と、 smith.xrea.jp/?Security のリストは反映させていただきました。判断がつかずに掲載していないものもあります((どうしても差はできますから、独自の除外リストは、今後も維持されると良いと思います))し、調査した結果さらに追加したものもあります。分類やグルーピングの仕方、残している情報なども違います。これについては、どのように記録/維持すべきかまだ検討しながら進めています((例: 時刻をいくつか記録する必要があるだろうけれども、現行のままでは管理負荷が高くなりすぎる))。オンラインゲームのまとめサイトの管理者の方は、いまURI追加型spamで一番苦労されていると思います。現状のこの仕組みで、負担を多少和らげる事はできるかもしれませんが、残念ながら複数のサイトで情報を共有するような部分はまだありません。しかし、必要があったからこそとはいえ、複数のサイトで運営担当の方が情報やノウハウを共有しようという動きになっているというのは、(こうした欠点をカバーするだけでなく、それ以上のメリットが見込めるため)素晴らしい事だと思います。 -- [[henoheno]] &new{2007-03-12 (月) 01:20:59};
- オンラインゲームを標的とした spamの場合、[[BSWikiさんのリスト>http://smith.xrea.jp/?Security#u9057b3c]]にもあるように、特定のIPアドレス(範囲)に集中していますので、そうゆう方面から攻めることができたらある程度先回りできていいなぁと模索しているところです。 -- [[Ymlpha]] &new{2007-03-21 (水) 00:11:39};
-- (恐らくは攻撃側のコスト的な都合によって)複数の危険なドメインが同じIPを指すことがあるようなので、「リンク先のホストのIPアドレス」が、既存の「危険と認定されたホスト」のIPアドレスと同一かどうかをチェックすることで、同じ意図によって運営されているグループであるかどうかを推測(探索)する手法についてですね。 -- [[henoheno]] &new{2007-03-21 (水) 10:28:20};
-- 完全自動とはならない要素がいくつかあります。今思いつく一つは、攻撃側が、彼らが運営しているホストを直接晒さずに、[[BugTrack2/207]] にあるような redirection サイトや、既存の脆弱なサイトを踏み台として使ってきた場合です。機械的にこれらを除外するには、それぞれ別のblocklistにまとめた上で、事前にフィルタ(分離)する機構を作れば、ある程度濃度を高めることができるでしょう。((ある程度大雑把に分類されているけれど、まだ分割されていないサンプルが1つ存在している事をご存知だと思います :) )) redirectの手法が自明であるredirectionサイトについては、やり方次第で、ある程度その先も追えるかもしれませんが、リアルタイムに実施するにはコストがかかりすぎるでしょう。 -- [[henoheno]] &new{2007-03-21 (水) 10:33:11};
-- もう一つは、BSWikiさんの所にもある通りで、同じIPだと言っても同じ経営者であるとは言い切れない事があります。例えば共有型のホスティングサービスであったり、reverse proxyや、dynamic DNS はそうした状況を作り出します。そのため、厳密な判断は(できれば一定の基準に基づいた)人間によるものとなるでしょうし、事故は起こりえます。疑わしい要素の一つとしてカウントする程度にするならば、自動化は可能でしょう。 -- [[henoheno]] &new{2007-03-21 (水) 10:39:44};
-- 大変ではありますが、それでもこの手法は魅力的です。spam.ini.phpにリストアップしたホストのIPアドレスを一旦全部調べた後に比較してみれば、もう少し上手なグルーピングができるのではないかと、そう思ったりもしています。 -- [[henoheno]] &new{2007-03-21 (水) 10:41:20};
-- DNSサーバーへの問い合わせが必要なので、リアルタイムにこれを実施するのは%%少々%%結構ストレスがかかります。 -- [[henoheno]] &new{2007-03-21 (水) 10:47:33};
- とりあえず、5月の連休前の連続スパムの様子を見ると、大半が&color(blue){CHINANET Guangdong province network};で、片っ端から弾いてみたら&color(blue){Telstra Internet};を踏み台にアクセス((IPが漏れていたプロクシだったので判明))してきていましたね。この様子だと7月下旬頃からもあるかも。心配なのは、国内のサーバーを踏み台にしたスパムですね。((参考:http://www.youtube.com/watch?v=1FPky3IfHe4))踏み台になっているらしいサーバー:http://stopbadware.org/home/pr_050307 -- [[Logue]] &new{2007-05-11 (金) 18:12:33};
- Wiki spamで事実上サイトが成り立たなくなっている[[実例>http://sv.kerosoft.com/~soundtemp/]]。&br;そのサイトへのリンクを含む新規ページ投稿(blocked)で存在を知ったというのがなんともはや。 -- [[Ymlpha]] &new{2007-05-20 (日) 12:24:00};

#comment
--------
** コメント [#n7c0c8a9]
#comment

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.055 sec.

OSDN