Jeans & Development コンピューターのことなどを綴ったメモ (旧：目から鱗 w/SQLite)

　１２月１２日、午前６時３分（ＧＭＴ）から午前６時１２分までの９分間の間に、妻のブログ（Nucleusで構築）へのコメントスパムの連続攻撃だと思われるアクセスがあった。ログを見て分かったことのメモ。

　まず第一に、この攻撃にはまず間違いなく IP-address が"209.59.210.159"のコンピュータが関与している。"209.59.210.159"からのアクセスは、

"209.59.210.159" "GET /blog/index.php?blogid=1&archive=2005-10"
"209.59.210.159" "GET /blog/index.php?catid=5"

のようなものから始まった(Google などの検索エンジンから調べてきた可能性が高い)。このイントロダクションの後に、連続 POST が行われた。

連続 POST でのアクセスのパターンは、

"209.59.210.159" "GET /blog/index.php?item=xxx"
"別のＩＰ #1" "GET /blog/index.php?item=xxx"
"別のＩＰ #1" "POST /blog/index.php?item=xxx"
"209.59.210.159" "GET /blog/index.php?item=xxx"

というような感じで、このパターンの繰り返しであった。『別のＩＰ』と述べた部分は、POST ごとに異なる IP address である。これらの IP address のうちの一部は、proxy のようにも思える host name を持っている。あるいは、IP 詐称でアクセスしているものもあるかもしれない。

このスパム攻撃から分かったことは、

１） 禁止 IP address を指定しても、ブロックできない。
２） 連続投稿を防止しても、ブロックできない。
３） POST の前にページを読みに来ているかのチェックを行っても、ブロックできない(ただし、読みに来てから POST するまでの時間経過をチェックすればブロックできる)。

である。

このスパム攻撃が NP_JSEncode で防げるかどうかは、分からない。一方、"209.59.210.159"からのアクセスがメインページだけに限られていて、別ページの javascript の取り込みは行われていないことから、NP_ProtectByMD5 で防げることは分かった。

攻撃を受けたブログは別の方法（２つ以上の『http://』 を禁止）で防いでいたので、スパムコメントの書き込みはすべてブロックした。もしブロックされていなければ、攻撃がさらに長い間続いたか、別の日に新たな攻撃が来ていたのかもしれない。