BugTrack/772
SPAM report†
以下は 開発日記/2004-12-29 より移動。
2004/12/29: FrontPage、PukiWikiなどに対する広域 Wiki SPAM にご注意 (PukiWiki, Hiki, FreeStyleWiki, ...)†
PukiWiki devサイトを始めとして、Fedora JP Project wiki、gentoo.jp Wiki、Dream-Seed、Vodafone 702NK/Nokia 6630まとめサイト、京ぽん Wiki、里々Wiki、2chlinux.org、PukiWiki-mindmap.jp、JKUG Wiki、Meadow Wiki、Sleipnir Wiki、Lunascape FAQ、Preston Wiki、PPDG Wiki、blogサービス情報交換、Alchemist_Template など、何十箇所にも及ぶPukiWikiの、特に高頻度にアクセスされるページに対する同時 Wiki SPAM が発生しています。(特に12/19、12/27、12/29)
YukiWiki本家、Wikiばな の様にPukiWiki以外のサイトにも同時期同傾向(ただしデータ量は少なめ)のSPAM書き込みが発生していますが、「PukiWiki FrontPage」 にてGoogle検索した結果に多く痕跡が含まれていることから、少なくとも検索エンジンにひっかかるサイトを対象にしたSPAMと思われます(当たり前ですか (^^; )。
特徴として、FrontPageのように特に露出の多いページや、単なるURLを羅列しているページに対し、さもそのサイトの一部であるかのようにURLを埋め込みます。(これもSPAMなので当たり前か (^^; )
個人サイトに対する書き込みも複数箇所確認していますので、有名であるかどうか(例えばそのサイトのPageLank)は関係がないかもしれません。
今回埋め込まれたURLの主な特徴は以下の通りです。このようなフレーズで検索をすることで、今回のSPAMが来ているかどうかを機械的にチェックできるでしょう。
12/29型: Sponsored links SPAM†
「Sponsored links:」 とした後に、商品名のフレーズとともに大量のURLを埋め込みます。既存のデータは文字化けしません。以下に該当しない、ユニークなURLも含まれています。Wikiの記法はPukiWikiではないためURLの埋め込みが成立しないものの、URLは自動的にリンクになります。
- *.b3.nu
- *.uni.cc
- *.xs3.com
- *.6x.to
PukiWiki.org PukiWiki.dev ともにこちらが来ていますが、PukiWiki.orgのFrontPageは凍結されているため、実際に書き込まれたのは devサイトだけ(FrontPageと開発日記の二箇所)でした。
- 「PukiWiki」ページに対する書き込みも複数確認しました
12/19, 12/27-28型: 8cx.net SPAM†
簡単なSPAM対策†
観察の結果、以下の様なWikiは今回の影響にない様でした。
- あまりホットな話題が無い (^^; (RecentChangesやrecentプラグインに新しい項目が少ない)
- ホットなページがない (例えばここで言うならFrontPageや開発日記)
まずは「FrontPageには維持が必要な情報を置かない様にして凍結する」ことをお薦めします。(それでもMenuBar、 include プラグイン、pcomment プラグイン、calendar_viewerなどによって、動的に情報を提供することは可能です)
開発版でも、FrontPageをデフォルトで「凍結」する様にしました。(「PukiWiki」のページはすでに凍結済み)
ウチにも来ました:†
- kawara's pukiwiki、wawawaのにも来ました。そろそろAntiSpamな機能を考える必要があるのかもしれないですね。 -- ゆう
- "www.8cx.net"で検索した結果、同じ期間に多数のHikiおよびFreeStyleWiki、YukiWiki本家、VikiWiki本家に対するSpamが行われていることもわかりました。日本語限定の検索でPukiWikiが1件しかGoogleの候補に上ってこないところを見ると、12/19の件に関してPukiWikiはマイナーなのでしょうね。 -- henoheno
- (1/1の件に関するコメントは下に移動しました)
- auth.phpを書き換えて、人間チェック(崩れた -- akira
- (途中でsubmitしちゃった) (崩れた数字を表示して入力させるやつ)みたいなの実装してるのですが、、、クッキーは邪道なのかなぁ? -- akira
- 100WebSpace?.com (詳細を知ろうとするとwww.mpage.jp に転送されるのはどうして?) について回答 -- coq
- mpage.jpはもとはfateback.comがJAP弾きのためにはじめたホスティングなのですが、アメリカの無料ホスティング各社の間で、JAP弾きの転送先として使われている模様です:-( -- coq
以下は 開発日記/2005-01-01 より移動
2005/01/01: SandBoxを狙った同時SPAMが発生しています (末尾にURLを忍び込ませようとして露見している)†
From: official:続・質問箱/515
今回も同時多発のようです。見かけたら、速やかに直してしまいましょう (^^;
書き込まれるSPAMの特徴
- URLをSandBoxページの末尾に4件埋め込もうとする
- *.freelinuxhost.com (同一のサブドメインを2回)
- *.uni.cc (異なるサブドメインを2つ)
- &size(1) を使い、見づらい形でURLを埋め込む ※発見&削除を逃れるためと思われる
- SandBoxページの既存の項目は文字化けを起こす
- とりあえずGoogleで42ページ程度チェックしました。SandBoxに気付かれぬ様にURLを埋め込むことで、そのURLのページランクを上げようとするSEO狙いのSPAMのようです。sizeプラグインで文字を小さくすることで見つけ辛くし、そのハイパーリンクがなるべく長期間維持されることを意図しています。
- 個人のPukiWiki、大学の授業用のPukiWikiなど、まんべんなく書き込まれています。
- 中には9月、7月から同傾向の書き込みがあるものもありました。
- 今回は文字化けのために素早く見つけることができましたが、今後はこれを克服したものが現れるでしょう。 *1
- SPAMのパターンを分析した後は、同じ方法で被害サイトを特定できる補助ソフトウェアがあると便利だな、と手で直しながら思いました。
PukiWikiの記法を学習しているのがポイントですね。早速 開発日記/2005-01-01 にて、size(1) を無効にする修正を開発版に盛り込みました。また、SandBoxをターゲットにしていることから、SandBoxをデフォルトで凍結する様にしました。
この件に関するコメント†
1h1ih"g+*?iPukiWiki ウォネッ BugTrack/772
トップ リロード 新規 一覧 単語検索 最終更新 ヘルプ
1h1ih"g+*?
の羅列はなんでしょうね?同時に書き込まれてたアドレスは、すべてabuse.specialnet.bizにつながっているようですが、Account Suspended.になっていました。そーいえば、29日にも変なURLスパムがきてたなぁ。 -- Logue
- うちの4サイトにも上記のパターンできました。ぱっと見なのですが、手口としては wikiソース or htmlソース を読んで下に追加しようとしているけど、JISコード化されて送信されている?(それともencoding_hintがないから働かない?)のでおかしな文字列になっているって感じですね。 -- みこ
2005/01/02: SandBox狙いふたたび†
1/1に発生したのと同じクライアントによるとおもわれる、同じ手口のSPAMが発生したようです。詳しくは official:続・質問箱/515 をどうぞ。
- えっと、どこにぶら下げてよいのか迷ったけどここに書いちゃいます。SandBox狙いの被害にあった一部のPukiWikiがスパムを貼り付けられた後、そのページを表示する事が出来なくなっています*2。私が気が付いた点としては*3PukiWikiのバージョンには関係なくPHPのバージョンによって表示できなくなっているようです。原因としてはBugTrack/765と同じ原因なんじゃないかなぁ…と妄想中。 :D 具体的に表示できなくなるサイトは私の所のB-WikiとXOOPS日本公式サイトがsf.jpに設置しているPukiWikiがスパムを貼り付けられた後に表示できない状態になりました。どちらもPHP4.1.2を使用しています。何か判ったらまた報告します。きっと明日も来そうだから… :D -- ishii
- お疲れ様です。問題となっているのは cmd=read&page=SandBox でしょうから、 cmd=edit&page=SandBox としてアクセスすると開けると思います。もしまだそのデータがあるならば、ザクザク削っていって、問題となっている部分を割り出すことができると思います :) -- henoheno
- こんな感じにインライン要素が入れ子になっている場合に表示不可能な状態になるのが判りました。XOOPS wikiと私の所で確認できます。ちなみに私の所ではBugTrack/765と同様に優先順位を入れ替えることで表示する事が出来るようになりました。あと、このパターンを入力して更新しようとすると必ず更新の衝突が発生します。さて、次は具体的にどこで落ちているのか追っかけてみますか… -- ishii
- うーん…このネタはBugTrack/765にでも移動したほうがよさげな気がしてきた… -- ishii
- お疲れ様です。上記パターン(ishiiさんのところも見に行きました)を手元の環境で試しましたが、無事に表現されている様です。ということはこれもBugTrack/765と同じ原因の環境異存なのかと思いましたが、BugTrack/765の症状が出る1.4.xお試しサイトでは、今回の件は問題無い様です。もう少し絞込みがいりそうですね。 -- henoheno
- もう少ししたら、別件としてBugTrackを作りましょうか。 -- henoheno
- ん?と、思ってテスト用にサブドメインにいろんなバージョンをインストールしてみた所1.4.4のみ表示できない状態でした…わ、わからん…orz しばらく引き篭って追試してきます。 -- ishii
2005/01/03: I'm Sorry SPAM†
Anti-SPAMming巡礼中に発見。WalWiki本家の「PukiWiki」ページに来ていました。「PukiWiki」という単語(ないしページ)が狙われているかもしれませんね。 => 海外のWiki実装において似た事例を見かけましたので、手口とページ名は一致しないようです
http://digit.que.ne.jp/work/index.cgi?mycmd=diff&mypage=PukiWiki
- 既存のデータの下に文字列を追加
- 「I'm Sorry」という言葉の後に、文字列埋め込みURLを列挙
- 利用されているDNSのパターン
- *.uni.cc
- *.6x.to
- *.bebto.com/*, *.deep-ice.com/*, *.enacre.net/*, *.fateback.com/*, *.imess.net/*, *.hotusa.org/*, *.my-age.net/*, *.noneto.com/*, *.undonet.com/* (F@te Back.com: Domain hosting and multiple domain hosting with free domain names) (fateback.com にアクセスすると www.mpage.jp に転送されるのはどうして?)
- *.sinfree.net/* (不明)
- *.freewebpage.org/* (Your own sub domain)
- *.yoll.net/* (不明)
- *.greatnow.com/* (Free domain)
- *.batcave.net/*, *.freehostpro.com/* (Batcave.net: Free subdomain hosting)
- *.nm.ru/* , *.newmail.ru, *.hotmail.ru/*, *.nightmail.ru/* (Online Resource Center。不明。ロシア語)
- *.pochta.ru/*, *.mail15.com/*, *.fromru.com/*, *.front.ru/*, *.land.ru/*, *.pisem.net/*, *.rbcmail.ru/*, *.smtp.ru/* (不明。ロシア語)
- *.narod.ru (ロシア語。サブドメインを提供しているようだ)
- *.b0x.com/*, *.bannerless.com/* (freewebsites.com. この他にも一覧あり)
- *.8bit.co.uk/*, *.port5.com/* (Free subdomains from Portland Communications)
- *.tabletse.com/*
- *.t35.com/* (Free hosting)
- *.741.com/* (Free subdomain hosting)
- *.topcities.com/* (Free subdomain hosting)
リリース版のPukiWikiでは、PukiWikiのページは既に凍結されています。
2005/01/03 ru SPAM†
YukiWiki本家の「PukiWiki」のページにも何か来ています (^^;
http://www.hyuki.com/yukiwiki/wiki.cgi?mycmd=diff&mypage=PukiWiki
- 特徴:
- 既存のデータの変わりに単純なURLの列挙を書き込み
- ドメインが全て *.ru
2005/01/16 PukiWiki Hidden SPAM†
# NICKNAME: 8cx.net
# Observed at http:// pukiwiki.org/dev/?:CategoryDev/Document/FrontPage, 2005/01/16
.8cx.net
隠しページに対するSPAMという点が新しい。現状のPukiWikiだと、メール通知をするか、定期的にファイルサイズや検索によるチェックをしなければ検出できないと思います。
コメント†
- 情報を整理中。devサイトには、この後 1/25, 1/30, 2/5, 2/13(今日) に来ています。5日から一週間の間隔で動かしているようですね。 -- henoheno
2005/01/18 BugTrack/772 SPAM†
# NICKNAME: 51.net related SPAM set
# Observed at 2005/01/18 http:// pukiwiki.org/dev/?BugTrack/772
.51.net # Whios says Beijing, China. Free sub-domain hosting
.gghggh.com # Whios says Beijing, China. DNS: *.51.NET. Maybe sub-domain related 51.net
.1816.net # Subdomain hosting (not free?)
このページに来ていました :) このパターンは他の海外サイト(MoinMoinとか)でも見かけています。例えば:
# SPAM observed at http://peerfear.org/nm-wiki/PageSize , 2005/01/04
.1816.net # Obs: *._ # Whois says Guangdong, China.
.gghggh.com # Obs: u._/*
.88118888.com # Whois says Tianjin, China.
YukiWiki周りなどにも良く来ている様ですので要注意。みんなで元通りに直してしまいましょう。(その1ページだけではなく、そのサイトのほかのページもチェックが要ります)
とりあえず某所のYukiWiki(※PukiWikiに移行する前はYukiWikiだった)はすごかった (^^; 目をかけなくなったWikiはread only化することを忘れない方がいいですね。(極端な話、permissionを落とす等)
2005/01/25 51dragon SPAM†
# NICKNAME: Beijing Nilands Future Tech Co.,Ltd
# Observed at 2005/01/25 http:// pukiwiki.org/?%E7%B6%9A%E3%83%BB%E8%B3%AA%E5%95%8F%E7%AE%B1%2F555 etc.
# Whois says Beijing, China.
.51dragon.com # Observed. This is just a SPAM-link-only site.
.91i.net # Reserved. Whois says the same owner, Hosting site seems providing xxx.91i.net to other URL
.xintongyi.com # Reserved. Whois says the same owner, and seems equal to 91i.net
- たったいま、orgの方にwikispamがきてました。400個くらいのURLを埋め込んでいます。パターンは *.51dragon.com 中国系みたいですね。 -- teanan
2005/02/02 online casino SPAM†
- Google:wiki government-grants
- Google:wiki lator-motor
- Google.en:wiki online-casino
# NICKNAME: GO DADDY online-casinos
# Observed at 2005/02/08 http:// pukiwiki.org/?WebLog etc.
# Whois says these are registered through Go Daddy Software, Inc. (GoDaddy.com),
# allows free "domain forwarding & masking" to its costomer
tradeserve.net # Reserved.
udcorp.com
giochi-carte.com
government-grants.ws
government-grants.org
lator-motor.com
casino-jp.com
casinos-jp.com
best-online-casinos-tips.com
easy-online-casinos.com
jackpot-online-casinos.com
on-line-kasino-de.com
online-casino-deutsch.com
online-casinos-choice.com
online-casinos-matrix.com
case-da-gioco.com
casino-de-paris-fr.com
casinos-en-ligne-de-france.com
casino-in-italia.com
casino-in-italiano.com
perfect-online-casinos.com
sure-online-casinos.com
- 既存のページの中身を削除する
- 以前からblog, weblog といったキーワードを持ったページにコメントスパムをしていた所によるものだろう。
- 書き込み時、3つのIPアドレスを用いて同時に書き込んでいた。ただしタイミングと内容でバレバレ。
コメント†
- 新しいタイプのがorgに来ていた模様。official:〓〓〓〓〓〓〓違〓〓〓blog.inc.phpなどのように既存のページ名を文字化けさせたものをページ名にしてカジノのアドレスをaタグで囲んで書き込んでいくタイプ。既にページの削除はしました。 -- okkez
- blog系プラグインのページをターゲットにしたコメントSPAMのつもりだった模様。 -- okkez
- ですです> blog系。okkezさんがPukiWikiに現れる前から、この手のコメントスパムが同じページに来ていましたから、傾向としては変わっていないものの、手口が若干変化したようです。 -- henoheno
- これって毎週火曜日辺りに動いてるっぽいですね。 -- okkez
- ついさっきも、来ていたので小人さんと一緒に処理しておきました。これは何か根本的な対策*4をしないと面倒ですね。 -- okkez
- まずはPukiWiki.orgとしての対応という件。まずはorgサイトを1.4.5_1相当にアップデートして、rel="nofollow" となるようにして、相手の挙動が変化するかどうかを観察する方向で行きましょうか。PukiWiki.orgはページランクが高そうなので彼らが手口を変えるとは思いませんが、とりあえずorgサイトをアップデートするモチベーションにつなげる方向で。 -- henoheno
- ・・・しかし最近は攻撃範囲が大きく、復旧するのが手間ですね (^^; 一応手元には書き込み内容のURLをチェックして書き込み自体をキャンセルするテスト実装が・・・1.4.5リリースの作業中にうっかり消していなければ・・・あるのですが、1.4.5リリースが難産だったのと、ただキャンセルするだけでは面白くないのと、Recentほげほげを一般化する関数がまだまともな状態だと思っていないのと、メール送信関数の一般化がまだ終わっていないのとで、表に出せていないのですよね。 -- henoheno
- とりあえず未整理ながら上のリストを更新。新顔のudcorp.com(というよりtradeserve.net)が怪しい。 -- henoheno
- 本日も来ていたようですね。 -- henoheno
2005/02/02 1x1 Ad-graphic SPAM (Web Bug)†
- Google:オートギャラリーササガワ
- Google:spam "jeys.co.jp"
- Google:spam "sky-dream.com"
- Google:spam "tooree.com"
# NICKNAME: AutoGallery SaSagawa related domains
# Observed at 2005/02/11 http:// pukiwiki.org/?PukiWiki%2F%E3%83%97%E3%83%A9%E3%82%B0%E3%82%A4%E3%83%B3%2F1.4
# Whois says Osaka, Japan.
.jeys.co.jp # Reserved. "Auto Gallery Sasagawa,co.ltd". Admin email domain of .sky-dream.com, tooree.com, and j-luna.com.
.sky-dream.com # Observed. Administrative contact says: Sasagawa / Osaka, Japan.
j-luna.com # Reserved. The same as .sky-dream.com + "AutoGallery SaSagawa Co.Ltd"
tooree.com # Reserved. The same as .sky-dream.com + "AutoGallery SaSagawa Co.Ltd"
tousatsu-file.com # Reserved. Admin e-mail domain is tooree.com.
000-net.com # Reserved. Admin e-mail domain is tooree.com.
79797.com # Reserved. Admin e-mail domain is tooree.com.
fire-fire-fire.com # Reserved. Admin e-mail domain is tooree.com. Admin info had been disguised.
yappoo.com # Reserved. Admin e-mail domain is tooree.com. Admin info had been disguised.
bijin-kan.net # Reserverd. Redirected from .jeys.co.jp and .yappoo.com but whois says "not match"
- official:PukiWiki/プラグイン/1.4にrefプラグインを利用したSPAMが来ていました。sizeプラグインと同様に、指定できる画像の大きさの範囲を設けていただけませんか。 --
- 対応ありがとうございます。来てますね。しかも日本ですね。これはSPAMというかWebバグの側面を持っていますので、きちんと封じるのでしたら「画像のURLを書いた場合、それをインラインイメージとして表示する」機能を禁止することを考えた方がいいようです。 -- henoheno
- 画像のサイズ指定ですが、 10x10 を最小値とするようにするのは多分可能でしょう。しかし、クライアントの行動を調査しようとする意図(それがWebビーコンとかWebバグの目的です)には効果がないと思われます。透明な画像を使用することができるからです。 -- henoheno
- ちょっと調べ始めたら、止まりませんので途中で打ち切り。とりあえず迷惑がられているドメイン名のようです。 -- henoheno
2005/03/09†
# 202.101.42.136
dzjp.futurenet.com.cn
fygs.futurenet.com.cn
www.cnfti.org.cn
www.czwin.com.cn
www.futurenet.com.cn
www.necsi.com.cn
www.wccm6-apcom04.org.cn
zcgs.futurenet.com.cn
zxmr.futurenet.com.cn
# 66.186.10.220
lllhhh.freewebpage.org
# 219.153.10.36
www.go4it.com.cn
- official:続・質問箱/642, official:続・質問箱/649, official:続・質問箱/650, official:自作プラグイン/redirect.inc.phpにて確認いたしました。スパム内容については既に削除済みです。 -- Ratbeta
- その他のページについても削除されている方が居られるようです。 -- Ratbeta
- InterWikiName以外のページで[http://xxx yyy]の形式を無効にすれば応急処置にはなりそうな気が。 -- Ratbeta
- dev,orgで大規模WikiSPAMを確認しました。内容については開発チームの人にもメールでお知らせしました。コロン(:)で始まるページにも来ていたのが特徴的だったのかな。 -- okkez
- いっぱい削除したので、疲れました。 Ratbeta さんもお疲れ様でした。 -- okkez
- 特定の時刻の状態に復帰するsnapshotのプラグイン(コマンド)があるとこのような時に便利そうですね。それと同一の書き込みが連続した場合にアクセス拒否する仕組みも欲しいですね。 --
- 連続書き込みの制限となるとIPの制限が一番有効でしょうかね。ただし連続で無い場合、もしくは連続書き込みの最初の書き込みは制限できないのが問題ですね。 -- Ratbeta
- 一番現実的なのは禁止単語によるブラックリストでしょうかね…。 -- Ratbeta
- お疲れ様でした。メール頂いた時にちょうど出先でしたので出遅れました (^^; -- teanan
- お疲れ様です。検証中です。まずorgについて。このクライアントは単独で、日本時間の3/9 15:10 ごろから50分までの間に、200回の書き込みを行った様です。そのほとんどには、172行(172件)のURLが埋め込まれていました。orgが受けた中では最大規模のSPAMでしょう (^^;。含まれているURLから抽出した固有のキーワードが、今現在orgに現在含まれていないことを確認済みです。 -- henoheno