ついに来た、トラックバックSPAM

投稿日: 2005年2月1日 作成者: かずき

我が家の非力なマシンでは80件もの連続トラックバックによるRebuildに耐え切れず、本日数回にわたりkernel panicでお亡くなりになっておりました。
ついに来るものが来たという感じです。
ごく一部のルールを無視するアホのせいで、大多数の普通の人々が不利益をこうむるのは、いつの世も、社会のどこにでもよくある光景ではあります。
ですが、ここは僕の家。
これは僕のサーバ。
このリソースは僕が金と労力を払って維持しているものです。
許さん。
と言いたいところですが、自爆テロのように、どこから突っ込んでくるか分からないものから身を守るのは不可能です。
誰がアホなのかを調べるのではなく、みんながアホじゃないことを確認しなければならないなんて、情けない限りですが。


以下、トラックバック元のIPを曝します。
どうせ、踏み台ですが。
httpd.confにて、該当するDirectoryディレクティブにAllowOverride Limit命令を追加の上、httpdを再起動し、mt-tb.cgiが存在するディレクトリに、以下の内容で.htaccessを設置。
– 追記 –
IPのリストが膨大になったので、ここに別ファイルで曝しておきます。

        Comment     Trackback
date    500   403   200   403
----  -----  ----  ----  ----
2/01    225     0   138     0
2/02   1190     0    20     0
2/03    681   673    64    92
2/04    569   806   155   155
2/05    399   798     2     0
2/06     71    65     0     0
2/07    465   565   238   449
2/08    128    70    29     0
2/09    130   170   225   633
2/10    418  1001     1     0
2/11     40    23     1     0
2/12    715   313   352   138
2/13    101     2     1     0

ヘッダの数字はHTTP応答コード
500 : Internal Server Error (スクリプトを改造し、SPAMにエラーを返している)
403 : Forbidden (.htaccessによるアクセス制限など)
200 : OK (成功)

カテゴリー: コンピュータ パーマリンク

ついに来た、トラックバックSPAM への11件のフィードバック

  1. はるか のコメント:
    2005年2月2日 10:20 PM

    今日も来てます、トラックバックスパム。
    本日はワタシがいままさに手作業にて消しておるところです。
    少なくとも、15以上はありましょうか。
    リアルタイムでついてるところなのでまだつくかもなぁ。
    ・・・ほんと、悪質。

  2. かずき のコメント:
    2005年2月3日 12:43 AM

    なんで出張中に狙ってくるんでしょうか。
    思えば以前、sshdの穴をつかれてサーバをクラックされたときも、木更津に出張中だったような・・・
    さて、続報です。
    66.180.233.4から、当方の80番ポート(WEBサーバ)に対して、DoS攻撃と思われるログ(TCP SYN RES SET)が、1/31から2/1の2日間に390件記録されていました。
    どうやら、こいつも関係しそうです。

  3. かずき のコメント:
    2005年2月3日 11:18 PM

    今日も派手にやられております。
    2/3日だけで、730件ものトラックバックSPAMがありました。
    すべて、.htaccessで拒否。

  4. はるか のコメント:
    2005年2月4日 9:45 PM

    今日もすごいです。
    メールが受信できなくなり、どしたー?と思ってGmailでメール見てみたら・・・。
    夥しい数のトラックバックスパムが。
    これは、私のエントリのみなので、一樹にも同じだけ来てるとすればすごい数になります。
    どうりで・・・。
    そろそろ、私がサーバ管理者的なことを覚えねばならないのでしょうか(涙)

  5. かずき のコメント:
    2005年2月4日 11:24 PM

    いやぁ、たまりませんな。
    毎晩同じ時間帯に、同じ内容のトラックバックSPAMが来ますね。
    今夜も200件以上。
    接続元の踏み台ホストも多岐に渡っており、後手後手の対策じゃまったく意味を成しません。
    IDS導入、本気で考えないと。

  6. かずき のコメント:
    2005年2月5日 3:01 PM

    とりあえず月並みではありますが、mt-tb.cgiを改造して、概要が英数字のみのトラックバックを落とすことにしました。
    コメントスパム対策と同様です。
    ま、いずれ変なギリシャ文字とか混ぜてこられると、抜け道になっちまうんですが。

  7. かずき のコメント:
    2005年2月5日 3:15 PM

    どうしていっつも僕の出張中にサーバが攻撃されるのか。
    僕はここで出張のスケジュールを事前に晒すことはありません。
    さすがに、マイドメインを持っていて、素直にwhoisデータベースに現住所を晒しているわけですから、わざわざ不在だと世界に知らしめる必要はありません、そのくらい配慮してます。
    では、僕のスケジュールを事前に把握している誰かか?
    それって、会社の上司じゃないか?
    と、たわいも無い会話で盛り上がる休日の午後でした。

  8. かずき のコメント:
    2005年2月6日 2:10 PM

    .htaccessでアクセス制限し始めて気づいたこと。
    コメントSPAMの半分以上が、今回のトラックバックSPAM送信元とダブっているという事実。
    やはり、同じ穴の狢。

  9. かずき のコメント:
    2005年2月7日 11:45 PM

    5, 6日とパタリと止んだかと思ったら、今日からまた再開ですよ。
    spammerも土日はお休みですか。
    Trackback成功の238件は、全て対策済みのスクリプトによって途中で弾かれているので、実際には被害を受けていません。
    拒否リストのIPアドレスは218箇所に上っています。

  10. NAOJI のコメント:
    2005年2月15日 9:54 PM

    トラックバックのスパムなんてあるんですね~、コメントスパムは経験あるのですが初めて聞きました。私も今のPC5年になるので買い替えを検討していて今使っているPCにLINUXをインストールしてあるので自宅サーバ実験してみたいと思うのですがセキュリティに関する知識が無くて出来ません。この間のニュースで知らない間に自分のPCにフィッシングのサイトが開設されていたなんて恐ろしいですね…

  11. LIKE A ROLLING STONE のコメント:
    2005年2月15日 10:13 PM

    こんなスパムも

    さかい家.NETさんでトラックバックスパムという行為があることを初めて知りました。幸いにも私の所はまだ被害にあっていません。しかし別なスパムの被害にあった…

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください