2010.03.12
ブログに来るコメントスパムの大半(ほぼ100%に近い)がその UserAgent として IE6 を名乗っています。実際に使っているかどうかはわかりません。UserAgent はアクセス時にツールで偽装できますから、コメントスパムを送り込むツールの設定がそうなってるだけのことかもしれません。それらのツールを使ってる「コメントスパムを送り込む連中」はツールの設定などわからず、単純に操作してるだけだから、とも思います。
したがってツール提供者が別の偽装をすれば意味のない規制になってしまうのですが、現在の状況としては現実として「コメントスパムの UserAgent は IE6 ばかり」なのです。
このブログでは IE6 でのアクセスをはじくことにしました。
IE6についてはサイドバー下方にある「IE6をお使いの方へ」 でお知らせしてるように、すでに過去の物です。Youtube など大手のサービスでIE6のサポートが廃止されつつあります。仕事場でInternet Explorer6しか使えないとか、何か理由があってInternet Explorer6のみの方は、ここのような個人ブログにどうしてもアクセスしなければならないということはないのではないでしょうか。
ここにいくら書いてもはじいてしまったら読めないのですが、意見表明としてここに書いておきます。Internet Explorer6ユーザーの方、ごめんなさい。なにか私の気がついていない「Internet Explorer6を排除すると~が困るよ、まずいよ」ということがあったらぜひ教えて下さい。それによっては設定をまた変更いたします。
関連してそうな投稿
2010.03.05
2月26日のニュース
Microsoftがボットネット対抗作戦、Waledacの通信断ち切る
上記のニュースを読み、もしかしたらコメントスパムも減るかもと、試しに .htaccess の拒否設定をなしにしてみました。
ニュースを読んだのが2月26日。実行したのが27日。それから数日、まったくスパムが来ませんでした。ほぉ、マイクロソフト大成功じゃないか、でもたまたま来てないだけかもと思ったし不安だったのでまた .htaccess を復活。これがいつだったかな。3月2日です。
そしたら、翌3月3日 .htaccess で弾いているのに、怒濤のスパム来襲にあいました。
ごらんのように、昨年末に大量コメントスパムを受けて以来、1月も2月もほとんど押さえ込めています。3月に入って一気に296個のスパム。それに対しての対策はしなかったのに、その後はゼロ状態が続いてます。
.htaccess での拒否はそのまま復活したのになぜ? もしかして何か設定間違えたかなと思い、よく見直しましたが戻し間違いはしてない。以前ここでも載せたあの大量のスパム発信アドレスとはまったく違うところから大量にスパムがきました。
これをまた一つ一つネットワークアドレスを調べてネットマスクごと登録して、と考えたらガックリしたので、もういいやと無視することにしたのです。
コメントスパムはスパムとして記録に残るだけで、実際には画像認証のおかげで自動には書き込まれないし、手動で来たのか、ごくたまに実際に書き込みされても「初めての人の書き込みは認証待ちにしてある」「Akismet のスパム判断」「複数URLが書いてあると認証待ち」と関所がいくつもあるので、スパムの被害は発生しません。記録さえ見なければ気にしないでいい。.htaccess で弾いても、受け入れてもトラフィックが減る分けじゃないし、サーバの負荷は変わらないだろうし、要は実害がなければ気にするかしないかだけの問題。
と、せっかく開き直って大量のコメントスパムをそのまま受け止めようとしたのに、その直後から、この怒濤のスパムはぴたっと止まりました。見なきゃ気にしないでいいからって言って、記録見てるじゃないかって? 見てます(笑) 数日はしょうがないですよ。どう変化していくのか気になるじゃないですか(笑)
もしかしたらこのニュース(3月4日)「大規模ボットネットの「Mariposa」摘発、首謀者ら3人を逮捕」って関係してませんかね。 犯人達は、壊滅されたあと別のボットネットを瞬時に立ち上げコメントスパムの再開、その動きを待って首謀者を突き止めた、という筋書きを想像してます。
いずれにしても、無数のコメントスパム、その配信先アドレスを登録して弾くのは無意味そう。そこが基地なわけじゃなく、ボットネットに感染してる普通の方のパソコンから来るんだから、極端に言えば全世界の全ネットワークアドレスを相手にすることになってしまう。今回マイクロソフトがそれを断ち切ったんだから、「いまこの時点でくるスパム」は固定のそういう業者経由の疑いが濃いのかな。.htaccess を白紙に戻して様子見です。同じところから来るようなら、それらだけを抜き出して登録することにします。
関連してそうな投稿
2010.02.01
開設当初以来、いろいろと対策してきました。WordPress 附属の Akismet のみに任せてみたり、.htaccess の書き方を工夫してみたり、画像認証の「SI CAPTCHA Anti-Spam」を導入したり。
結論から言いますと、いろいろやりましたが、結局はコメントスパムが来るたびに、こまめに .htaccess に書き足していき、アクセスそのものを弾くという原始的な手法に落ち着いています。
何も対処せず、WordPress 附属のコメントスパム対処ツール「Akismet」のみに頼ると、コメントスパムは一度書き込まれます。そして非公開のまま、オーナーの確認待ちをします。一つや二つならいいですけど、数百も来たら正当なコメントで確認待ちしてるのと見分けるのが大変になりそう。
(続きを読む…)
関連してそうな投稿
2009.12.10
百度とは中国発祥の世界ナンバーワンクラスの検索サイトのことです。そこからのクロール(検索ロボット巡回)が半端じゃないのと、以前に「百度」を スパム(SPAM)書き込みが来るようになってきた のエントリーで .htacces で弾いたらスパムが来なくなったと、以下のように書きました。
中国の検索サイトになんか載らないでもいいんで、こいつもアクセス制限をかけました。そしたらですね。なんと不思議なことに増えつつあったゲストブックへのコメントスパムがぱたっと止まりました。偶然かもしれませんが、こいつがウチの情報をテンプレ化して流してたんじゃないかと疑ってます。ほんとに偶然かもしれませんがね。スパムコメントで困ってる方、.htaccess が使えるなら「百度」を弾いた方が良いかもしれませんよ。
ずっとそのまま .htaccess で弾いてきました。先日書き込み時の画像認証(キャプチャ:SI CAPTCHA Anti-Spam)を導入して、.htaccess 内の他のアクセス拒否はほとんどを削除しましたが、それでも「百度」と「トレンドマイクロ」はそのまま残してありました。スパムではなく、単純にイヤだったからですね。
昨日、ふと思い直し、「百度」からの検索ロボットも受け入れた方がいいかな、メジャーな検索サイトらしいし、Google で調べてもそんなに悪いウワサは出てないみたいだしってことで、.htaccess から外しました。
そしたらところがなんとまあびっくりぎょうてんでありますのことよ(笑)
みてくださいな、この百花繚乱の国旗。これ全部昨晩数時間の出来事、それも「百度」からのアクセス制限を外した直後から私が寝るまでの二時間くらいの間です。弾いていたときにエラーログに入ったそれをみると一日だいたい20~30回「百度」からのアクセスがあります。一時間に一回以上来てるから、制限を外してすぐに入り込んできてるのは間違いない。検索ロボットの記録は採ってない(単にログがふくれるだけなんで、有名どころは記録しない設定にしてあります)ので、いつ来たのかはブログのログではわかりません。サーバのログ見ればわかるけど面倒なのでパス。
この多国籍アクセスで Internet Explorer6のやつはすべてスパムです。認証画像を読めないので実際には書き込めてませんが、認証コードを入れずに書き込みまで進もうとしてエラーになったことはログに残ってます。
百度が悪さをしていると言いたいのではなく、スパムを送信するやつら、「百度の検索結果をなんらかの方法で使ってスパムを送ってる」のだとしか思えません。寝る前に再び .htaccess に百度を拒否する設定にしましたら、その百花繚乱国旗騒ぎはピタっと止まり、朝のチェックではいつもどおりの記録しかありませんでした。つまり、たまにぽつんぽつんとスパムが来てる状態。「百度」にいったん収まった検索結果を使うなら、一度そうなった以上、ずっとそれを利用したスパムが来続けてもおかしくないだろうに、「百度」を拒否したらぴたっと止まったというのが、なんともかんともであります。たった二度ではありますが、前回もそうだったわけですからね。
参考までに、うちの .htaccess にある百度の拒否設定は以下のとおりです。日本法人の百度と中国からくる百度の両方を拒否してます。
2010/03/24 編集
「百度 .htaccess」のキーワードで検索してここを見る人が妙に多いので、この枠内に書いた旧いデータは消しておきます。
関連してそうな投稿
2009.10.24
といっても、まだ大騒ぎするほどは来てないです。WordPress に同梱されてくるスパム撃退プラグイン「Akismet」をほぼ最初から動かしてまして、いまのところ100%捕捉してくれてます。開設二ヶ月で25件ですからまだまだ少ない。
Akismet は25件のコメントスパムからあなたのサイトを保護しました。
こういうのは増えてからじゃ面倒なので、スパムが来るたびにその IP を .htaccess に追加してます。スパムは一度来ると同じところから何度もしつこく来ますから。アクセス制限掛けちゃえば少なくともそこからは来なくなる。スパムリストだから晒してもいいのか。晒しておきますね。そこを使ってるってだけの単なるISPの羅列だとは思いますけど、以下の国から日本語だけのウチに来てもらわなくてもかまわないですから遠慮無く制限かけちゃってます。
#Russian: Federation Artem Zhirkov
deny from 91.212.226.0/24
#Russian: Federation ZAO “Delovaja set” Ufa
deny from 81.30.218.0/23
deny from 81.30.220.0/23
#RUSSIAN: FEDERATION MOSCOW CITY MOSCOW RU-CORBINA-20081010
deny from 95.24.0.0/13
#RUSSIAN: FEDERATION BASHKORTOSTAN UFA UBN
deny from 94.41.0.0/17
#Cyprus: Centralux Ltd
deny from 91.199.112.0/24
#brazil: viagera.cyallis MPS Informatica
deny from 200.160.16/20
deny from 212.95.51.0/24
deny from 212.95.52.0/24
#Moldova: SC STARNET SRL Chisinau
deny from 89.28.114.0/24
#Germany: Sedo Domain Parkingc/o Plusline
deny from 82.98.86.0/24
#GERMANY: BERLIN BERLIN NL-INTERNETUNLTD
deny from 213.131.234.0/28
#GERMANY: BAYERN NUERNBERG HETZNER-RZ-NBG-NET
deny from 85.10.192.0/20
#CHINA: BEIJING BEIJING CMNET-yunnan
deny from 218.202.0.0/18
#Belize: ALTUSHOST-NET
deny from 91.214.44.0/22
#百度株式会社
deny from 119.63.192.0/21
ロシアとドイツが多くて、意外なのは中国が少ない。で、スパムコメントが書き込まれる場所は全部同じところ。「ゲストブック(もどき)」。スパムコメントはわざわざここまで来て手動で書き込む分けじゃなく、自動なわけです。自動にするためにはそのためのテンプレート(書き込み先リスト)が必要。ウチの「ゲストブック(もどき)」に書き込むためのテンプレートが出回ったということです。処理しきれなくなったらコメント書き込みできないようにすればいいんだろうけど、ここだけに集中させておけば「スパムホイホイ」になっていいかもしれない。
でね、ふと思ってサーバのアクセスログをしげしげと眺めてみました。検索ロボットのアクセスは Wprdpress の解析ツールで除外してます。アクセス記録そのものが解析に含まれず見えないようにしてある。アクセスログを見て第一に感じたこと。
Baiduspider ←コレ多すぎ。Baidu って「百度」です。中国系の検索ロボット。そこの日本法人から半端じゃない数のアクセスがある。
中国の検索サイトになんか載らないでもいいんで、こいつもアクセス制限をかけました。そしたらですね。なんと不思議なことに増えつつあったゲストブックへのコメントスパムがぱたっと止まりました。偶然かもしれませんが、こいつがウチの情報をテンプレ化して流してたんじゃないかと疑ってます。ほんとに偶然かもしれませんがね。スパムコメントで困ってる方、.htaccess が使えるなら「百度」を弾いた方が良いかもしれませんよ。
関連してそうな投稿
