RightBar
スパム対策業務日誌 †
2016 †
2016-12-3 †
スパム対策・アクセス追跡のためのタグ埋め込み †
- お気づきとは思うが、本サイトもたまにへんな広告が張られてしまったりする
- 対策としては
- サーバ借りてるさくらインターネット様のツールで頑張る
- pukiwiki用の対策ツール入れる
- とりあえずトラッキングしてから考える
- やること
- Googleアナリティクスの導入
- 【公式ページ】行って登録して追跡タグ取得
- pukiwiki.skin.phpのheadタグの閉じカッコ直前に入れる
- Googleサーチコンソールの連動
- 【公式ページ】行って登録して連動させる
本当はちゃんとアクセスログ読まなきゃいけないんだけど面倒くさいのである。あまり負荷が高い場合は切り戻す予定である
2017 †
2017-1-5 †
スパム対策・トップページの凍結と編集用別ページの設置 †
- トップページが丸ごと消されるクソスパム多発
- で、トップページを編集凍結し、includeプラグインで別ページを表示する方式にする
- トップ全体の別ページ化も考えたが、実験も込めて一部の別ページ化にとどめる
- これは、index.php(FrontPage)を狙ったスパムであることを想定しての物であるため、状況によっては別の対策を必要とする
2017-1-7 †
スパム対策・トップページの凍結と編集用別ページの設置 その2 †
- トップページ全体の別ページ化実施
- 実施直後に、トップでコメントを書き込み更新すると別ページに飛ぶことがわかったため、更新がほぼないであろうFAQまでとラウンジ部分をFrontPage直書きに手直し
2017-1-11 †
スパム対策・フィルターテスト進捗状況 †
- どうも投稿フォーム系が狙われているらしい。対策がプラグイン側の改修とか差し替えになるため、とても面倒くさい
- 最強と名高いspam_filter.phpを試そうとしたが、pukiwiki1.4.7仕様のため、一部ライブラリの関数が変わっている1.5.1にベタで入れると死ぬことが判明(ページ編集機能が使えなくなる)
- 正規表現による書き込み制限だけ使いたいが、その場合自分でフィルターの中身読むしかない
- 自分で修正する場合に修正する場所
- plugin.php
- spam_filter.php
- 一部スパム対策外部サイトが使えなくなっているため機能潰す
- その他必要なライブラリ
暫定結論:そのうちやる(やるとは言っていない)
- 追記:あまりにスパムがウザいので、正規表現機能フィルターだけ見込み導入
- 上記plugin.phpとspamfillter.phpのみパパッと書いたのでテストできてない
- テストしてみたが効かない
2017-1-12 †
現在導入したスパムフィルタの設定について †
- 昨日暫定版スパムフィルタを導入したが、メモを残さないとあとで困るのでここに記す
- 導入したもの【こちら】のpukiwiki1.4.7用スパムフィルタ
- が、当サイトはpukiwiki1.5.1環境なので、そのままでは導入できないことはさんざん愚痴った
- そこでフィルタの中身とファイルセットの中身を読み(基本的にphpで書かれている)、適宜修正を加える。
- plugin.php
- do_plugin_action関数内にspam_fillter関数を呼び出すコードを追加
- 1.4.7と1.5.1では微妙にplugin.phpの内容が違うため、該当部のみの移植が必要
- delegated-apnic-latest
- IPから国コードを引くための辞書。wwwディレクトリ直下にコピー
- これを書きながら気づいたが、フィルタ添付のこのファイルが古くて国コードを引けてないのでは?
- あとで最新版を探してきて導入する
- spam_filter.php
- フィルタ本体兼フィルタ設定ファイル
- 今回は外部サイトを引っ張るタイプのフィルタは使用せず、url監視と国コードチェックを採用
- CN|KR|UA|RU|ID|TH|BR|US|AE|HK|TW|AU|ITを禁止。
- 中国、韓国、ウクライナ、ロシア、インドネシア、タイ、ブラジル、アメリカ、アラブ首長国連邦、香港、台湾、オーストラリア、イタリアである。
今後余暇を見つけてフィルタの精査、本採用または不採用による切り戻しなどを実施する
現在導入したスパムフィルタの設定について その2 †
- 11:00ごろふと覗きに来たら熱心に書き込んでいるスパム氏を発見
- アクセスログからロシア連邦のIPを確認。なんで国コード拾えないんだこいつ・・・
- 念のためページ編集者のIPが表示されるようにfile.phpとpukiwiki.skin.phpを改修
- やっぱりロシアですね・・・
- 188.143.232.0~255の編集行為を全部拒否する設定に変更
2017-1-13 †
.htaccessによるスパム排除 †
2017-1-24 †
.htaccessによるスパム排除 その2 †
- 帰宅途中にスマホでここ見たらスパム再発との由。10日しか経ってねえぞ!
- 帰宅後にエラーログを確認したところ、先のアクセス制限後にずっと扉ノックしてた奴が消えている。野郎、気付きやがった・・・
- スパムページが残っていたので最終編集者を確認、.htaccessを編集して以下の設定を追加
deny from 5.188.211.
- ロシアでした
.htaccessによるスパム排除 その3 †
- 定期的にIP変えて攻撃されてもつらいのでロシアに認可されているIPを全部拒否するよう設定
2017-4-12 †
access.logからのスパムIP同定 †
- 夜中にふとサイト見ていたらスパムコメントがいたため、念のためIP確認
- 繰り返しになるが、ログから同定するのがとても面倒くさいので多発する際はコメント欄をIP表示モードにする予定である
- とりあえずサーバから30MBあるここ一日のアクセスログを取得
- エディタで開いて該当時間帯のPOST見て雑にチェック
- 5.79.80.162って怪しくねえ?
- オランダでした
- しばらく様子見てダメなら深淵送りにします
2017-4-15 †
access.logからのスパムIP同定 その2 †
- 先日の単発スパムが 2017-04-14 (金) 02:13:45 にも出たので調査
- ……
2017-6-23 †
access.logからのスパムIP同定 その3 †
- 単発スパムが数回出たということでユーザの方から情報いただく
- 以前からお願いしていた通りトップページに書いてもらった。ありがとナス!
- 一件目、発生は2017-06-17 (土) 14:50:22
- 二件目、発生は2017-06-22 (木) 13:45:53
- 試しにIPでグーグル検索すると掲示板にスパム張ってるのとかすぐ見つけられますねこれ
2017/12/10 †
access.logからのスパム確認 文字化け文編 †
- 先日私が出張る羽目になったの11/21投稿の文字化け文の話である
- エンコード直したらtwitterだったら速攻で凍結されるような文言のオンパレードだったため荒らしと判断
- access.log読むの面倒くさかったので放置していたがいやいや確認
- 国内プロバイダですねこれ
- Nで始まる会社(滅茶苦茶多い)のWで始まるブロードバンドサービスですわ
- 【公式発表】のとおり、今のところ多発していないようなので様子見とします。
- 文言から脅迫事件としてポリス沙汰にすることも可能なので、繰り返すようなら処置します。
- また、証拠隠滅対策として【2017-11-19(日)~2017-11-25(土)】を凍結して投稿した文章を消せないようにしました。普段からコメントログを管理しているユーザ有志に感謝を
2018/7/19 †
定期的な暴力表現について †
地震で死んだ爺さんと女の子の代わりにお前らが死ねばよかったのに。 -- 2018-06-19 (火) 10:14:42
大阪の地震で死んだ女の子より、お前らクズ共が死ねばよかった -- 2018-06-30 (土) 12:19:21
地震で死んだ女児の代わりにお前らクズどもが死ねばよかった -- 2018-07-04 (水) 09:10:35
豪雨で死ぬのがRWやここのクズだったらよかったのに -- 2018-07-11 (水) 09:31:19
- すべて同一IPからの書き込み、NTT-ME大阪なのでおそらくXePhionかWAKWAKを利用している
- ってか、XePhion側(企業向け)っぽいんだけど。
- IPと書き込み時間が把握できておりログも保存しているのでMEに問い合わせ可能。
- 証拠隠滅対策として該当コメントのログページを凍結実施