先日、自分のサイトのアクセスログを見てたら妙なアクセスが定期的に来ていた。「何だろうなー？」ってログとにらめっこしながら 考えたところ、どうやらうちのサイトにコメントスパムを投稿しようとして失敗しているログだろうという結論になった。
その動きがちょっと面白い。

・最初のアクセスはアメリカから
ここでアクセスしたURLにコメント投稿用のフォームがあるか調べるっぽい。もしフォームがなかったら何もしない。

・実際のコメントスパム投稿は世界中から
最初にアクセスされたURLにフォームがあった場合、同じURLに何故か違うIPからのアクセスが2～3件連続で発生。メソッドがPOSTなのでおそらくコメントを送り込もうとしているのだろう。
不思議なのはこのアクセスが世界中から来る。アメリカ以外にもドイツや中国…。

ちなみにコメントスパムの投稿が失敗しているのはうちのサイトが「baseタグ」を使ってるからみたい。多分、向こうのコメントスパムツールがbaseタグがあるときのリンクパスの挙動を想定しておらず、あさってのURLにPOSTしてる。コメントスパム投稿に失敗するのはいいけど、定期的にログが残るのが気持ち悪い。

と、言うわけで対処してみた。

最初のあアクセスのアクセス元のIPを逆引きしてみるとlayeredtech.comってドメインが出てきた。ググってみるとどうやら常習犯っぽい。
単純にlayeredtech.comからのアクセスを遮断すればよさそうだけど、なんとなく逆引きする時間が普通のアクセスのボトルネックになりそうな予感もして踏み切れない。というわけでアクセス元IPの上位24ビットとマッチするIPをはじく設定をmod_rewriteに入れた。


これで最初のアクセスが全部404 Not foundになり失敗する。すると次にやってくる世界中からのアクセスもピタリと来なくなった。

あと推測だけど世界中からのアクセスはボットと化したPCが行っている気がする。どうでもいいけど昔はボットじゃなくてゾンビって言ってなかったっけ？まぁ本当にどうでもいい話なんだけど。

名前:

タイトル:

コメント: