コメントスパム攻撃


先日、自分のサイトのアクセスログを見てたら妙なアクセスが定期的に来ていた。「何だろうなー?」ってログとにらめっこしながら 考えたところ、どうやらうちのサイトにコメントスパムを投稿しようとして失敗しているログだろうという結論になった。
その動きがちょっと面白い。

・最初のアクセスはアメリカから
ここでアクセスしたURLにコメント投稿用のフォームがあるか調べるっぽい。もしフォームがなかったら何もしない。

・実際のコメントスパム投稿は世界中から
最初にアクセスされたURLにフォームがあった場合、同じURLに何故か違うIPからのアクセスが2~3件連続で発生。メソッドがPOSTなのでおそらくコメントを送り込もうとしているのだろう。
不思議なのはこのアクセスが世界中から来る。アメリカ以外にもドイツや中国…。

ちなみにコメントスパムの投稿が失敗しているのはうちのサイトが「baseタグ」を使ってるからみたい。多分、向こうのコメントスパムツールがbaseタグがあるときのリンクパスの挙動を想定しておらず、あさってのURLにPOSTしてる。コメントスパム投稿に失敗するのはいいけど、定期的にログが残るのが気持ち悪い。

と、言うわけで対処してみた。

最初のあアクセスのアクセス元のIPを逆引きしてみるとlayeredtech.comってドメインが出てきた。ググってみるとどうやら常習犯っぽい。
単純にlayeredtech.comからのアクセスを遮断すればよさそうだけど、なんとなく逆引きする時間が普通のアクセスのボトルネックになりそうな予感もして踏み切れない。というわけでアクセス元IPの上位24ビットとマッチするIPをはじく設定をmod_rewriteに入れた。

RewriteCond %{REMOTE_ADDR} !192.168.1 ※IPは変えています。

これで最初のアクセスが全部404 Not foundになり失敗する。すると次にやってくる世界中からのアクセスもピタリと来なくなった。

あと推測だけど世界中からのアクセスはボットと化したPCが行っている気がする。どうでもいいけど昔はボットじゃなくてゾンビって言ってなかったっけ?まぁ本当にどうでもいい話なんだけど。

作成日:2007/06/24 02:18:43
トラックバック  ※トラックバックは承認後に表示されます。
TrackbackURL:このページのトラックバックの受付は終了しています。

トラックバックはありません。
コメント
1
なるほどジョージ 24Jun2007 04:53PM
baseタグなんかで防げるものなんですねぇ。。¢(. .。)
2
そうし 26Jun2007 01:05AM
> ジョージ
今のところコメントスパムにちょっとだけ効果があるって感じかな。
そのうちbaseタグの仕様にも対応したスパムツールができるんだろうね。。。

名前:

タイトル:

コメント: