[spam] List B-2: Jacked sites, and Spam domains†
- ページ: BugTrack2
- 投稿者: henoheno
- 優先順位: 普通
- 状態: 提案
- カテゴリー: その他
- 投稿日: 2007-01-01 (月) 21:07:43
- バージョン:
メッセージ†
spamを送信する側の手口として、以下のカテゴリに該当するものについてまとめます。
- 他者のサイト、システム、ないしコンテンツを乗っ取る (あるいは、善意の第三者が立てた様に見せた脆弱なサイトを構築してそれを使う)
- スパム専用のドメインを取得する
コメント: オンラインゲーム関係のWiki関係†
- 某国方面からのアカウントハッキングの標的になっているゲーム関連のWikiを管理しております。
攻撃的spamが目に触れる状態になることが利用者の被害*1に直結している状態のため、関係者団体や、有志で積極的にblockリストをメンテしています。
成果物みたいなもの(Yブロックが独自追加分)があるのですが、こうゆうのはなんかの参考にならないでしょうか。-- Ymlpha
- 情報ありがとうございます。そちらのリストと、ragnarok/1170419695/1-701 と、 smith.xrea.jp/?Security のリストは反映させていただきました。判断がつかずに掲載していないものもあります*2し、調査した結果さらに追加したものもあります。分類やグルーピングの仕方、残している情報なども違います。これについては、どのように記録/維持すべきかまだ検討しながら進めています*3。オンラインゲームのまとめサイトの管理者の方は、いまURI追加型spamで一番苦労されていると思います。現状のこの仕組みで、負担を多少和らげる事はできるかもしれませんが、残念ながら複数のサイトで情報を共有するような部分はまだありません。しかし、必要があったからこそとはいえ、複数のサイトで運営担当の方が情報やノウハウを共有しようという動きになっているというのは、(こうした欠点をカバーするだけでなく、それ以上のメリットが見込めるため)素晴らしい事だと思います。 -- henoheno
- オンラインゲームを標的とした spamの場合、BSWikiさんのリストにもあるように、特定のIPアドレス(範囲)に集中していますので、そうゆう方面から攻めることができたらある程度先回りできていいなぁと模索しているところです。 -- Ymlpha
- (恐らくは攻撃側のコスト的な都合によって)複数の危険なドメインが同じIPを指すことがあるようなので、「リンク先のホストのIPアドレス」が、既存の「危険と認定されたホスト」のIPアドレスと同一かどうかをチェックすることで、同じ意図によって運営されているグループであるかどうかを推測(探索)する手法についてですね。 -- henoheno
- 完全自動とはならない要素がいくつかあります。今思いつく一つは、攻撃側が、彼らが運営しているホストを直接晒さずに、BugTrack2/207 にあるような redirection サイトや、既存の脆弱なサイトを踏み台として使ってきた場合です。機械的にこれらを除外するには、それぞれ別のblocklistにまとめた上で、事前にフィルタ(分離)する機構を作れば、ある程度濃度を高めることができるでしょう。*4 redirectの手法が自明であるredirectionサイトについては、やり方次第で、ある程度その先も追えるかもしれませんが、リアルタイムに実施するにはコストがかかりすぎるでしょう。 -- henoheno
- もう一つは、BSWikiさんの所にもある通りで、同じIPだと言っても同じ経営者であるとは言い切れない事があります。例えば共有型のホスティングサービスであったり、reverse proxyや、dynamic DNS はそうした状況を作り出します。そのため、厳密な判断は(できれば一定の基準に基づいた)人間によるものとなるでしょうし、事故は起こりえます。疑わしい要素の一つとしてカウントする程度にするならば、自動化は可能でしょう。 -- henoheno
- 大変ではありますが、それでもこの手法は魅力的です。spam.ini.phpにリストアップしたホストのIPアドレスを一旦全部調べた後に比較してみれば、もう少し上手なグルーピングができるのではないかと、そう思ったりもしています。 -- henoheno
- DNSサーバーへの問い合わせが必要なので、リアルタイムにこれを実施するのは
少々結構ストレスがかかります。 -- henoheno
- とりあえず、5月の連休前の連続スパムの様子を見ると、大半がCHINANET Guangdong province networkで、片っ端から弾いてみたらTelstra Internetを踏み台にアクセス*5してきていましたね。この様子だと7月下旬頃からもあるかも。心配なのは、国内のサーバーを踏み台にしたスパムですね。*6踏み台になっているらしいサーバー:http://stopbadware.org/home/pr_050307 -- Logue
- Wiki spamで事実上サイトが成り立たなくなっている実例。
そのサイトへのリンクを含む新規ページ投稿(blocked)で存在を知ったというのがなんともはや。 -- Ymlpha
コメント†