2006年09月12日

しばらくコメント書けません

こちらの続き

どうも完璧にうちのスパム対策は突破されたようです。

とりあえず、今回の一連のログ↓

softbank219190188237.bbtec.net - - [11/Sep/2006:16:57:59 +0900] "GET /mt-comments.cgi?entry_id=882 HTTP/1.0" 200 4605 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/6.03 (Windows 2000; U) [en]"

221.138.108.229 - - [11/Sep/2006:16:58:22 +0900] "GET /mt-comments.cgi?entry_id=882 HTTP/1.1" 200 4624 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/7.02 Bork-edition (Windows NT 5.0; U) [en]"

221.138.108.229 - - [11/Sep/2006:16:58:40 +0900] "POST /mt-comments.cgi HTTP/1.1" 302 5 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/7.02 Bork-edition (Windows NT 5.0; U) [en]"

61-60-21-226.hinet-ip.hinet.net - - [11/Sep/2006:16:58:48 +0900] "GET /mt-comments.cgi?entry_id=882 HTTP/1.0" 200 5304 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/6.01 (Windows ME; U) [en]"

61-60-21-226.hinet-ip.hinet.net - - [11/Sep/2006:16:59:04 +0900] "GET /mt-comments.cgi?entry_id=882 HTTP/1.0" 200 5304 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/5.02 (Windows 98; U) [en]"

61-60-21-226.hinet-ip.hinet.net - - [11/Sep/2006:16:59:30 +0900] "POST /mt-comments.cgi HTTP/1.0" 302 0 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/5.02 (Windows 98; U) [en]"

61-60-21-226.hinet-ip.hinet.net - - [11/Sep/2006:16:59:32 +0900] "GET /mt-comments.cgi?entry_id=882 HTTP/1.0" 200 6003 "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/5.02 (Windows 98; U) [en]"

softbank219190188237.bbtec.net - - [11/Sep/2006:17:03:02 +0900] "POST /mt-comments.cgi HTTP/1.0" 200 - "http://lunatear.net/mt-comments.cgi?entry_id=882" "Opera/6.03 (Windows 2000; U) [en]"

今回トリガを書けたと思われる「softbank219190188237.bbtec.net 」でググるとあちこちの掲示板に英語でスパム書き込みしているでおそらくボットネットのゾンビPCのIPだと思われます。
(もしくは真性の変質者)

で、手口的にはトリガを書けたPC経由で普通にコメント画面をGETして何らかの判断(人間が指定?)を行う→botnetにコマンド送信→他のbotnetからアタックという手口だと思われます

っていうか、最初のアドレスを

のカスタム版で調べたところAll問題なしだったので、外部DBを使って焼くのは無理そうです。

また、若干のタイムラグから人間が関与している可能性も捨てきれないとするとフォームをデータ的にごまかして人間には普通に入力可能というのはもう無理だと思います。

こんなスパムが掲載された結果割れ窓理論が働いたのか真性の変な人も沸いてしまったので、コメントは当分凍結。

これの対応には非バリアフリーなコードの画像表示での投稿システムを載せざるを得ない感じなので、いっそコメント欄全廃も含めてちょっと検討を行いたいと思っています。

何にしても時間なさ過ぎなので、当分は保留で・・・

Posted by Takuchan at 2006年09月12日 01:55 | トラックバック(0)