ものぐさの模

人事異動前のこの時期、何故か夜の席が増えます。異動が決まるとどうせ歓送迎会があるんだからまとめても....って、趣旨が異なるのでまとめようが無いのですがね。
今日もそんな夜の席、ホロ酔い気分の帰りにとある駅にて。

好みかどうかは別として、山手線のホームドアも見慣れて来ました。次期車輌であるE235系はホームドアがあっても見やすいような塗装になるとか....自動券売機がそうであったように、あと１０年もすれば首都圏の各駅はホームドアがアタリマエになるのかも知れません。「駅撮り」なんてコトバも廃れてしまうのかな？

昨日ご紹介したコメントcgiを偽装してスパムロボットからの攻撃をかわす方法ですが、どうやら効いているみたいです。本日0時からコレを書いている23時までの間に、22回POSTされましたが総て偽装アドレスである"nospam.html"に書き込もうとしています。ログはこんなカンジで、結構気持ちよく釣られてくれています。

[02/Jun/2015:00:55:38 +0900] "GET / HTTP/1.0" 200 44134 "http://rail.lazybose.net/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
[02/Jun/2015:00:55:40 +0900] "GET /2011/11/182124.html HTTP/1.1" 200 43645 "http://rail.lazybose.net/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
[02/Jun/2015:00:55:41 +0900] "GET /mt.js HTTP/1.1" 404 2275 "http://rail.lazybose.net/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
[02/Jun/2015:00:55:42 +0900] "POST /nospam.html HTTP/1.1" 404 2275 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"

アメリカLA付近からのスパムですがほぼ同じパターン・UAでネバダ付近からのスパムもあったりして、同じプログラムを使っていると思われます。しかし22回中21回はファイントラックの線路間隔を扱ったhttp://rail.lazybose.net/2011/11/182124.htmlに書き込もうとしているのですが、URLが出回っているというコトなのでしょうか?
ちょっと気になるのはコメントcgi名が書かれた"mt.js"を探りに行っているコトです。ワタシの使っているテンプレートはルートにmt.jsを置いていないために見つけられずにすんでいるようですが、もしmt.jsを見つけられたらちょっとまずいですね。とはいえ、対策はよくワカランし....今のうちから調べておくかな。

残りの1回は書き込もうとしているエントリーが異なりますから違うプログラムを使っている可能性があります。アクセス元は中国で、こんなログです。

[02/Jun/2015:12:37:50 +0900] "GET /2013/01/072215.html HTTP/1.1" 200 35536 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
[02/Jun/2015:12:37:50 +0900] "POST /nospam.html HTTP/1.1" 404 2275 "http://rail.lazybose.net/2013/01/072215.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0

いずれにしても誘導先はcgiではありませんからサーバーの負荷にはならないはずで、多少POSTを投げられても問題にならないはずで、相当効果的なスパム対策だと思われます。
もう少し様子を見てから、スパム対策をまとめておきましょうか。

スパムプログラムがコメント用cgi決め打ちで叩きに来ているのではないかという想定のもと、先日コメントcgiの名前を変えるスパム対策を施してみました。数日経ってログを確認してみました。2日間で13回cgiを叩かれていますが、同じIPアドレスから集中してPOSTされているアクセスを抜き出してみました。

[31/May/2015:03:45:43 +0900] "GET /2011/11/182124.html HTTP/1.0" 200 45788 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; rv:37.0) Gecko/20100101 Firefox/37.0"
[31/May/2015:03:45:43 +0900] "GET /2011/11/182124.html HTTP/1.0" 200 45788 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36 OPR/28.0.1750.48"
[31/May/2015:03:45:43 +0900] "GET /2011/11/182124.html HTTP/1.0" 200 45788 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0"
[31/May/2015:03:45:44 +0900] "POST /mt611/comm.cgi HTTP/1.0" 200 31772 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; rv:37.0) Gecko/20100101 Firefox/37.0"
[31/May/2015:03:45:44 +0900] "POST /mt611/comm.cgi HTTP/1.0" 200 31772 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36 OPR/28.0.1750.48"
[31/May/2015:03:45:45 +0900] "POST /mt611/comm.cgi HTTP/1.0" 200 31772 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0"
[31/May/2015:03:46:13 +0900] "GET /2011/11/182124.html HTTP/1.1" 200 45788 "-" "Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0"

[31/May/2015:03:55:37 +0900] "GET /2011/11/182124.html HTTP/1.0" 200 45788 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36"
[31/May/2015:03:55:38 +0900] "POST /mt611/comm.cgi HTTP/1.0" 200 31772 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36"
[31/May/2015:03:55:39 +0900] "GET /2011/11/182124.html HTTP/1.0" 200 45788 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36 OPR/28.0.1750.48"
[31/May/2015:03:55:41 +0900] "POST /mt611/comm.cgi HTTP/1.0" 200 31772 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.89 Safari/537.36 OPR/28.0.1750.48"
[31/May/2015:03:55:44 +0900] "GET /2011/11/182124.html HTTP/1.0" 200 45788 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0"
[31/May/2015:03:55:46 +0900] "POST /mt611/comm.cgi HTTP/1.0" 200 31772 "http://rail.lazybose.net/2011/11/182124.html" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0"
[31/May/2015:03:56:13 +0900] "GET /2011/11/182124.html HTTP/1.1" 200 45788 "-" "Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0"
[31/May/2015:03:56:28 +0900] "GET /2011/11/182124.html HTTP/1.1" 200 45788 "-" "Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0"
[31/May/2015:03:56:34 +0900] "GET /2011/11/182124.html HTTP/1.1" 200 45788 "-" "Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0"

ウクライナからやってきたスパムプログラムのようですが、よく見ると1つのエントリーに対してOS情報とブラウザ情報を偽装して3回アクセスし、コメントcgiも3回叩いています。少し時間を置いてアクセスしてはcgiを叩くのを3回繰り返しています。どうも変更したコメントcgi名をアッサリと認識しているようで、MTのスパム対策として古くから言われている「コメントcgi名を変える」というのは今や対策としては役に立たないようです。
となると別の対策が必要ですね。ググってみると色々と試している方がおられるのですが、中でも効果が高そうな方法を見つけ、早速取り入れてみました。一応コメントも書けるようですが、若干いじったりすると書けなくなったりもするかも知れません。コレで少し様子を見るコトにしますが....もう終わりにしたいんだがな。

トシのせいか体力が落ちている気がします。たいした遠足でもないのに昨日は何となく体が重くてゴロゴロしてたり、軽い庭仕事でも疲れて続かなかったりします。少しずつリハビリして体力を取り戻すしかないですな。
というワケで少しだけ野良仕事。

今週も土と安くなった野菜の苗を買って来ました。工臨運転です。

続きを読む

木曜は出張で、金曜を休みにして大人の遠足してました。

と言っても、金曜の朝に現地を出て夕方には家にいましたから比較的軽い遠足ですがね。

続きを読む