blog/2007-02-19
恐怖のWikiスパム
このサイトは、どちらかというとかなりセキュリティ面に力を入れている方である。今までのwikiスパムは、コメントにURLを入れるぐらいで内容をいじくるものは少なかったが、去年の4月あたりから広域にわたってページの内容を改変したり、丸々広告に載せるタイプが多くなってきた。特に悪化したのは、去年の10月あたり。毎日数ページがいたずらされている。その多くは、ひたすらURLを打ち込み「Nice Site!」とか神経逆撫でするコメントとともに、カジノ、抗欝剤、バイアグラの宣伝をする。このうち、日本語だったりサイトの内容と関連性があるものは、EventWikiであったBot、エミュ、RMT、アカウントハックの6件とThorWikiのリンク先改変の1件の合計7件だけであった。(フォーラムは、投稿規制を原則的にかけていないから目立ってるかもしれないが)
で、対策案として、
- .htaccessによるプロクシキック
- ページ更新時のIPアドレスの保存
それから、スクリプト側でのアップデートで
- セッション管理
- BDNSL
- URL弾き
などの対策を行った。これによってwiki部のスパムはとりあえず収まった。が、先月の22日にFrontPageに妙なファイルを添付された。まぁ、よくあるスパムだろうとアップされてから24時間もたたないうちに削除した。
しかし、本当の恐怖はこれからであった。
日曜日になるとやたらとアクセスカウントが増えている。リンク元を見てみると、削除したはずの添付ファイルにリンクが張られている。しかも、その添付ファイルの内容がアダルト系の上にGoogleに拾われている。これほど殺意を覚えた日はない。あわてて、Robots.txtに添付ファイルをクロールされないようにした。
その週は異例のAccept Languageに日本語が含まれていないブラウザをキックすることにした。2月に入りアクセス制限を解いて事態は収束したかに見えたが、翌週つまり先週に入ってきてから、また異常な量のアクセスが来ていた。リンク元を見ると全部PukiWikiサイトの添付ファイル内からのアクセス。リンク元のファイルの中身を確認するとウィルスコードとともに色々なWikiの添付ファイルへと相互リンクが張られているようだ。その様子は添付ファイルを使ったP2Pサイトである。
とりあえず、リンク元のwikiサイトの添付ファイルの状況を見てみたら、バックアップの多さに驚かされた。おそらくそのwikiサイトの管理人も削除しているのだろう。最初はそう思った。で、PukiWikiの公式サイトにリダイレクトするファイルとすり替えてみた。しかし、奇妙なことに5分もたたないうちに内容が戻っている。それ以前にファイルのカウンターがすぐにリセットされているのだ。再びファイルの添付履歴を見ると、その数が増大している。ひどいところでは数百個にわたるバックアップが存在していた。このことから、wikiの添付ファイルを削除して再添付する作業をすべて行っているということになる。
添付ファイルの名前は、070104-60.htmlとか、0129-p1-08-t02.html名前でどこのサイトに行ってもほぼ同じだったので、そのファイル名でGoogleで検索してみると、TikiWikiベースのサイトで。85.17.103.104からPukiWikiのと思われるファイルへの直リンク付きのスパムを行っている事を確認した。
また、添付ファイルの内容にもだんだん手口が悪質化している様子が取れる。最初の時点では単純に別ページに飛ばすリダイレクトのみだったのが、最近ではJavaScriptのエスケープを悪用したコードの隠蔽を行っている者があった。
Last Modified: 2007-02-19 20:43:14