« 2005年11月 | メイン | 2006年05月 »
2005年12月13日
システムログはキレイになったものの・・・。
コメントやトラックバックのスクリプトを探している段階らしく、アクセスログには大量の不信なIPがついています(・・; 検索してみると、やっぱりコイツらポーカーやカジノのスパムの、フォームを取得するリモート情報みたいね(゚-゚;) リモート情報をNSLOOKUPすると
can't get "むにゃむにゃ.com" host entry.
こうなるのが特徴みたい(・・; 試しに.htaccessで「deny from むにゃむにゃ.com」とやってみても効き目がありませんでした。 アクセスログ上、こう表示されるだけの話みたいで、コイツのIPを探してIPで蹴らないと効果なさそうです(・・; >っていうか、なかったわけだ(゚-゚;)
しかし、IPがないなんて話は絶対にない筈なので、リモートホスト情報からIPに変換出来るところを探してみます。 特にいやらしいやり口のリモホ情報の読み方はこんな感じ(゚-゚;) >下は当然ですが、判例です。
1.2.3.4.reverse.hoge.com
・・・まあ、こんなリモートないと思いますが(・・; コイツのIPは「1.2.3.4」かと思っちゃいますが、違うんだそうです(゚-゚;) 「reverse」だから、ひっくり返すんだってさ。 答えは「4.3.2.1」です。 試しに「4.3.2.1」でLOOKUPかけると「1.2.3.4.reverse.hoge.com」が出てくるので、該当するリモートで試してみるといいよ。 この手のリバースでひっくり返しているリモート情報は結構多いらしいので、行き詰ったら試してみるといいかも。
アクセスログを見ていると、こいつら不自然に大量のファイルを短時間で触っているっぽいのですぐ解ります。 検索かけるとスパム関係のサイトですでにさらされていることが多いと思う(・・; 中にはサブネットマスク使ってリストを掲示してくれてる所もあるので利用させて頂いて、.htaccessでどーん! と蹴っちゃいましょう。 たぶんイタチごっこだけどねー、心情的には結構楽になるんではないかな?と。
後は手作業だよねぇー(^^; タヌキも傾向つかめそうであれば、ブログではなく普通のファイルでリスト化しようかなー。
投稿者 tanucha : 09:17 | コメント (0) | トラックバック
リネーム作業(゚-゚;)
下記のプラグインを突っ込みまくることで、スパムの成功率は現在0%になっているようです(゚-゚;) ただ、システムログには猛烈なアタックの後が残っていて、かいくぐられた場合どうなるか考えるとかなり恐ろしい(^^; もうちっと工夫しておく必要がありそうな感じです。
取りあえず、システムログに怒涛の勢いでエラーメッセージが溢れているのは気分のいいものではないので、コメントCGIとトラックバックCGIをリネームすることにしました。 やり方はとても簡単です(゚-゚;)
mt.cfgの中に
#CommentScript mt-comments.pl
#TrackbackScript mt-tb.pl
って所があるので、このコメントアウト「#」を削除して、「hoge-come.cgi」などと書き換え、コメントCGIのファイル名も変更します。(トラックバックも同じ) 後はFTPでMTにアップロードして、再構築をかましたら終了です(゚-゚;)
今の所、システムログはこれで平穏な状況です。
投稿者 tanucha : 09:12 | コメント (0) | トラックバック
2005年12月08日
MT-Blacklist
ニヤけてきたところで、もっと簡単にしたい(゚-゚;) っていう欲が残る。 実際、今まで紹介したプラグインでつるり子さんの所にしつこく来ていたコメントスパムは一旦やみました。 「MT-NGWordBlock v2.00」のワードを増やしていけば更に充実した環境になると思うんだけれど、でも出来れば、リモートホストで制限もしたい。 メールフィルタのように(゚-゚;)
ところが、リモートホストの情報はハンパなく多くて日本のIPのみを許可するとか考えるだけでもイヤになって眠くなります(笑) >頑張った人はいるようだが(^^; じゃあどうしようか、禁止を増やそうかと思っても、やっぱり無駄です(゚-゚;) んんー、リモート制限は諦めるしかないのか〜。
日本語のプラグインではありませんが、この欲求を満たしてくれるのが「MT-Blacklist」です。 ただ、ちょっと導入が難しかった。 タヌキの環境はxreaを使って、データベースはMySQL、MTのバージョンは3.151-jaです。 データベースが違う人は設定が一部異なると思うので、他探してみてねー。
3.151-jaのユーザーがダウンするのは「MT-Blacklist for MT 3.1x: tar/gzip, zip」 まあ、zipの方が解凍しやすいと思うよ。 こいつをダウンして解凍します。 いつもより量が多いから落ち着いてね。
MTの中の「mt.cfg」を修正します。 MySQLの場合、DataSourceの修正はありません。 ほっといてください(゚-゚;) 修正箇所は一箇所、「LaunchBackgroundTasks 0」を「LaunchBackgroundTasks 1」にしてください。 0を1にするだけね〜(゚-゚;) 修正したら、MTに上書きアップロードします。
解凍したファイルはMTの下にアップロードします。 MT、MTって連呼してるけど解るよね(゚-゚;) mt.cgiが入ってるディレクトリのことね。 何も考えずアップして、正解であれば「plugins」ディレクトリの下に「Blacklist」ってディレクトリが出来ている筈だよ〜。 「images」の下にも出来てるね。 んで、「EXTRAS」は新規作成されている筈だ〜(゚-゚;)
新規作成された「plugins」の中の「Blacklist」の中に二つのCGIファイルがあります。 「mt-blacklist.cgi」 及び「mt-bl-load.cgi」の属性を700にします。 まあ、CGIだからね〜、普通に700にするですよ(・・;
今、属性を変更した「mt-bl-load.cgi」を実行します。 最初にMovable Typeを設置した時にもこれと似たようなファイル走らせた記憶あるでしょ? あれと同じです。 うまくいったらば(xreaのMySQL、MTのバージョンも同じならいける筈だ) 一番下のメッセージに「このファイルは消してね。」ってメッセージが英語でかかれてますんで、こいつを見つけたら「mt-bl-load.cgi」は削除してください。
そしたらば、mt.cgiにアクセスします。 そうすると、プラグインが表示される欄にmt-blacklist.cgiへのリンクが作成されている筈です。 こいつにアドミンでアクセスしましょう。(アドミンじゃないとエラーが出るよ〜。) 初期設定をして完了です〜。
注意!! >MT4i v2.0を使用している人へ。
「plugins」の中身にある、Blacklist.plの20行目に「use lib 'plugins/Blacklist/lib';」っていう項目があります。 相対パスで書かれていますが、ここを絶対パスにしないとMT4i v2.0が動きません。 絶対パスに変更して(xreaの場合、virtualから書く) 「plugins」の中にアップロードするとMT4i v2.0のエラーがなおります。
投稿者 tanucha : 08:02 | コメント (0) | トラックバック
トラックバックSPAM防止プラグイン
今度はトラックバックスパムを防止するプラグインだよ〜。 昨日はコメントスパムだったけれど、まあ時間の問題でトラックバックスパムも来るからね(゚-゚;)
トラックバックスパムの主な特徴は、トラックバック先のURLが含まれていないことです。 まあ、普通にトラックバックする場合は相手先へのURLは入ってそうなものだけれど、悪意あるトラックバックスパムでなくても、ブログの機能としてバラまくのもたまにあるね(^^; こういうの、どうやって対策したらいいかというと、答えは簡単で自分のブログのURLが本文になければスパムとみなせばいいわけだ(゚-゚;)
これも導入はとても簡単。 ダウンロードして解凍、pluginsディレクトリに突っ込んだらそれで有効。 もうだいぶ慣れてきたでしょ?
投稿者 tanucha : 07:54 | コメント (0) | トラックバック
mt-spamstop-tb_20050620
「Quasi-Spam Filter Plugin」とタイプが似てるかな? 一応動いた? 取りあえずエラーが出なかったので入れてみました(^^; リンクタグが入っているとスパムとみなすプラグインで、タイトルにリンクタグを入れられた場合も排除されます。
これも導入は凄く簡単。 ファイルをダウンして解凍して、「plugins」フォルダに放り込んだらおしまい。 んー、ただ.tgzファイルの解凍に仕方がワカラン、って人いるかな? 圧縮・解凍ソフトが対応してない人は、はいどうぞ〜。
投稿者 tanucha : 07:46 | コメント (0) | トラックバック
MT-NGWordBlock v2.00
さて、リンクタグを徹底的に排除したらばスパムは減るか? というと、「んー(゚-゚;)」ってのが少しある。 現在は実際リンクタグを含むスパムが多くでまわっているようで、昨日来たスパムも全部リンクタグを含んでいたけれど、もしもこれが含まれずに単純にURLだけ書いてあったら(゚-゚;) と考えると少し心配なのも本当。
だからって、悪さをするIPを次々と蹴っていったとしても、実際は究極のイタチごっちこになるのよね〜。 恐らく5分後にはその行動が無駄であることを知ると思う(^^;
なんで、考え方を変えてコメント投稿にNGワードを設定しよう! ってのがこのプラグインの目的みたい。 リモート情報がくるくると変わっても、案外内容は変わっていなかったりするので共通するワードをみつけたら後は登録するだけ〜。 って仕組みみたいね(・・; 日本語のコメントスパムが来てる人にも効果があるかも〜。
導入は落ち着いてやれば日本語のプラグインだから出来ると思う。 特に難しいことはなかったかな? リンク先の説明通りにやってください。 ワードに「a href」なんかが入ってれば、たぶんリンクタグも蹴られると思う(^^; うまく蹴られたかどうかは、システムログに結果が出ています。
でも、原因が今イチわかんないんだけれど、「Quasi-Spam Filter Plugin」とは一緒に動かなかった。 片方がMT管理画面から見て有効な状態になってると、MT自体もエラー起こして動かなくなるみたい。 なんで、どっちかだけを入れた方がいいかもです。
投稿者 tanucha : 07:32 | コメント (0) | トラックバック
Quasi-Spam Filter Plugin
色々なタイプのコメントスパムがあるようなんだけれど、取りあえず今回来たのを調べてみるとリンクタグを本文にやたら使ったスパムが殆ど。 実際、リンクタグが記載されていたならばスパムとみなせば外国からのスパムは結構な数が弾けるみたい。 ネットで検索していったところ、このプラグインが中々人気のようでした。 タヌキは類似のスパム対策のプラグインを入れた関係でバッティングしちゃって動かなかったんだけれど、取りあえずひたすら簡単なのないのか! っていう人にお勧め〜。
導入はとても簡単。 リンク先からquasi-spamfilter.zipをダウンロードして解凍、MTディレクトリ下にある「plugins」ってディレクトリにアップロードしてください。 それだけでシンプルなスパム対策が出来ます。
ただし、タヌキの場合何故か「NGWordBlock v2.00」とぶつかっちゃったらしくて、どちらかしか有効にならないみたいなんで諦めちゃった(・・、 そのままの状態だと、両者を共存させることは難しいのかも。(解決策があるならタヌキが知りたい〜。)
投稿者 tanucha : 07:23 | コメント (1) | トラックバック
コメントスパムが来た!
コメントスパムがついにやってきました(・・; ある程度予想出来たことなんで、管理モードを表示のドメインとは別にして仕立てていたんですが、まあ気がつく人は簡単に気がつくからね〜。 でっ、被害にあったのはタヌキが設定したつるり子さんのブログなんですが、いやー飛び出したら凄まじい勢いで立て続けの五件ほど「ダダダダ!!」と来ました。
奴らのいやらしいところは、一つの宣伝だけではなく各エントリーにご丁寧に宣伝を書き込んでいくことです。 なんで、いっぺんに200通のコメントスパムが来たりすることも別に珍しいことではないらしい。 その時タヌキはたまたまメールチェックしてましたんで五件ぐらいで済みましたが、ほっといたら偉いことになってたと思う・・・(^^;
さて、プラグイン等での対処をしていないから慌てたわけですが、これ、ぼさっとしている間にバンバンスパムが飛んできますので、まず「mt-comments.cgi」の属性を400ぐらい(読みのみ許可。 たぶん動かない(苦笑)) にして深呼吸しましょう。
んで、MTが入っているディレクトリに.htaccessをぶちこんで、作業の準備をしましょう。 自分のリモートホスト以外を全部コメントも投稿もトラックバックも禁止にしちゃう、豪快に手段です(゚-゚;) 突っ込んだら、「mt-comments.cgi」の属性を700に戻す。 上記.htaccessの書き方は以下の通り。 >.htaccessとはなんぞや? って人はここ見てきてくだせい。 ここでは知ってるのを前提で話すよん。
AuthType Basic
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName Deny
<Limit GET>
order deny,allow
deny from all
allow from あなたのリモート情報
</Limit>
.htaccess入れて深呼吸したら、一眠りしてからでもいいや(笑) 次からはプラグインを取りあえず入れていきます〜。